セキュリティアカウントの設定
委任管理者として指定されたセキュリティアカウントでSecurity Hubへ移動し、サイドメニューから「設定」をクリックすると、以下の画面のようにOrganizations配下のAWSアカウントが自動で追加されていることを確認できます。
ここでは、実運用上よく実施する1リージョンへの集約およびOrganizatinons配下のAWSアカウントの一括でのSecurity Hub有効化の方法について紹介します。
まずは、1リージョンへの集約設定方法を説明します。
(1)「リージョン」をクリックします。
(2)「検出結果の集約を設定」ボタンをクリックします。
(3)集約先のリージョン(画像では東京リージョン)を選択し、集約したいリージョンを選択します。この時に「将来のリージョンをリンク」にチェックを入れると、今後AWSのリージョンが増えた時にも自動的に集約対象に加えてくれます。集約したいリージョンの選択が終われば、「保存」ボタンをクリックします。
(4)集約設定がされていることを確認します。
続いて、Security Hubの一括有効化方法を説明します。
(1)「アカウント」をクリックします。
(2)有効化を行いたいアカウントの左のチェックボックスにチェックを入れ、「Actions」-「Add member」をクリックします。
(3)ポップアップ画面で「Add member」をクリックします。
(4)StatusがEnabledになっていることを確認します(少々時間を要します)。
課題となりやすいポイント
上記のセットアップ手順でも触れていますが、Security Hubはリージョンサービスであるため、リージョン毎に有効化を行う必要があります。前回に紹介したConfigと違い、メンバーアカウントのSecurity Hubでの一括有効化は可能なものの、リージョンごとのSecurity Hubの委任管理者アカウントの指定や有効化作業が必要になるため、忘れないように実施してください。
Security Hub自身の機能に関する内容ですが、履歴は最大で90日しか確認ができません。昨年の同時期の結果がどのようであったかを確認するという要件を満たすためには、定期的に履歴のエクスポートをする仕組みを用意する必要があります。
Security Lakeを利用することで、S3にSecurity Hubの検出結果をエクスポートすることが可能なため、長期保管の要件がある場合は、利用を検討ください。
Security Hubでの検出結果はインサイトという機能を利用することで簡単なフィルタリングなどを実現できますが、大量のAWSアカウントの検出結果を分析するには、やや貧弱と感じることが多いかと思います。その場合は、Quicksight等のBIツールとの連携も検討ください。
まとめ
今回は、AWS Secutiy HubのOrganizations連携ステップとセットアップ時や実運用上で課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントのSecurity Hubの管理にお役に立てば幸いです。
次回は、Amazon GuardDutyのOrganizations連携について紹介します。