Security Hub の新コントロールと運用における Tips

1. Classmethod, Inc.
2022年のアップデートを
振り返ろう
~ Season 3 ~
Security Hub の新コントロールと
運用における Tips

2. Furusawa
自己紹介
クラスメソッド株式会社
自社Webサービスの開発・運用
Terraform / Vim / Amazon S3
2022 APN AWS Top Engineers
フロントエンド開発
インフラの整備 / 細かい改修

3. 2022年 私の気になるアップデート
今日のテーマ

4. 『AWS Security Hub で 36 のセキュリティベストプラクティス
コントロールが新たにリリース』

5. Security Hub の簡単な紹介
● AWS 内やサードパーティツールからの検出結果の集約
○ セキュリティ関連情報の"Hub" としての機能
● セキュリティのベストプラクティスに準拠していないリソース
を検出。スコア（%）による定量評価
○ AWS 基礎セキュリティのベストプラクティス
○ CIS AWS Foundations Benchmark
○ PCI DSS
● 修復方法を含むAWS 公式ドキュメントへのリンク

6. 新規コントロール* のアップデート（2022年）
コントロール ≒ Best Practiceに則った検知ルール
2月 13 個のコントロールが追加
3月 12 個のコントロールが追加
4月 5 個のコントロールが追加
7月 36 個のコントロールが追加
2022年 7月迄で、既に 66 個の
コントロールが追加された
*

7. どんなコントロールが追加されたか（抜粋）
ECS.10
ECS.12
S3.13
CFn.1
etc.
AutoScaling.3 Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service
Version 2 (IMDSv2) を必要とするように設定する必要があります
Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えること
はできません
AutoScaling.4
Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要
があります。
ECS クラスターでは、Container Insights を有効にする必要があります
CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要
があります
S3 バケットでは、ライフサイクルポリシーを設定する必要があります
WAF リージョンルールには、 1 つ以上の条件が必要です
WAF.2

8. サービス別に見ると...
AutoScaling.3
AutoScaling.4
AutoScaling.6
EC2.23
EC2.24
EC2.27 (廃止)
ECR.1
ECR.2
ECS.3
ECS.4
ECS.5
ECS.8
ECS.10
ECS.12
EFS.3
EFS.4
EKS.2
S3.13
ELB.12
ELB.13
ELB.14
WAF.2
WAF.3
WAF.4
WAF.6
WAF.7
WAF.8
NW FW.3
NW FW.4
NW FW.5
Redshift.9
SNS.2
CFn.1 Kinesis.1
OpenSearch.7
CloudFront.10
Compute / Container Security Network Storage
Data Analytics
Dev Tool
複数の用途で使用 / 多様な対応が必要
検証後まとめて修正可能なケースも

9. 重要度別に見ると...
Critical
High
Medium
Low
AutoScaling.3
AutoScaling.4
AutoScaling.6
CFn.1
CloudFront.10
EC2.23
EC2.24
ECS.3
ECS.4
ECS.5
ECS.8
ECS.10
ECS.12
EFS.3
EFS.4
EKS.2
ELB.12
ELB.13
ELB.14
NW FW.3
NW FW.4
NW FW.5
Kinesis.1
S3.13
Redshift.9
OpenSearch.7
SNS.2
WAF.2
WAF.3
WAF.4
WAF.6
WAF.7
WAF.8
該当なし
ECR.1
ECR.2
設定不備の検知が可能

10. Security Hub を活用したセキュリティ運用の Tips

11. バージニア北部リージョン (us-east-1) でも Security Hub を有効に
● 現在は 14 個のコントロールがサポートされていない
○ CloudFront、AWS WAF に関連したコントロール
● 例えば...
○ CloudFront ディストリビューションでは、オリジンアクセスア
イデンティティを有効にする必要があります
○ WAF グローバルウェブACL には、1 つ以上のルールまた
はルールグループが必要です
Tips 1
東京リージョンでは使用できないコントロールがある
CloudFront.2
WAF.8

12. ● 一部リソースの重複する記録を1 リージョンに限定することで
Config のコストを削減（IAM や KMS のコントロールが対象）
利用料金についての豆知識
● Config の機能により非準拠リソースを検知
● Security Hub はその検知結果を集約・管理
Tips 2
AWS Config の料金も発生
複数リージョン有効化時のコスト削減方法
詳細は、AWS公式『Security Hub ユーザーガイド』をご参照ください

13. Tips 3
● 本番環境のアカウントである必要はない
● 2022年 8月のアップデート → DevelopersIOも
新規コントロール追加などのアップデート情報をSNSで取得
新規追加があると、スコアが下がる場合がある
● スコアが "%" で計算されるため
● 「なぜ急に下がったのか？」が分かりやすい
サブスクライブするだけなので設定はカンタン
新規コントロールの自動追加OFFも設定可能ですが
適切なタイミングで有効にする必要があります

14. Tips 3
{
"AnnouncementType": "NEW_STANDARDS_CONTROLS",
"Title": "AWS Security Hub launches 2 new security best practice controls",
"Description": "AWS Security Hub has released 2 new controls for its
Foundational Security Best Practice standard (FSBP) to enhance your Cloud
Security Posture Management (CSPM).
snip
If you have Security Hub set to automatically enable new controls and are
already using AWS Foundational Security Best Practices, these controls are
enabled for you automatically. Security Hub now supports 225 security
controls to automatically check your security posture in AWS."
}

15. Secuirty Hub を起点とした改善活動の「継続」を
● 早い段階での導入がおすすめ。有効化は1st step
● 中長期の対応工数を確保し、優先順位の議論を
● 不要リソースの削除を並行して行うと効率的
● 担当者 1 人では判断に時間がかかる場合が多い
● インフラだけで閉じないコントロールもある
● 地道に "割れ窓" を直していれば協力して貰える
Tips 4
修正対応には、多くの時間や調整が必要な場合も
チームで対応する。関係者への事前の連絡もしたい
導入をご検討中の方向け

16. まとめ
2022年に Security Hub のコントロールは増えた
その分、修正対応を一つひとつ行うことでBPに近づける
今後のAWS運用で、欠かせないツールになるかもしれない

17. ありがとうございました！