目次
AWS Security Hub CSPM の特徴
AWS Security Hub と AWS Security Hub CSPM は、クラウド環境を保護する AWS サービスです。これらのサービスは相互に補完し合い、併用することで AWS 環境のセキュリティ状況に関する貴重な情報を提供します。Security Hub CSPM は、AWS 環境がベストプラクティスや業界標準に沿っているかを継続的に評価し、検出結果は自動的に Security Hub に送信されます。
- Security Hub CSPM = 設定不備・準拠状況を見るサービス(チェックする)
- Security Hub = 検出結果を集約して、優先順位付け・対応につなげるサービス(チェックした結果を評価する)
CSPM は、Cloud Security Posture Management の略です。Posture とは 姿勢 や 態勢 という意味です。つまりセキュリティの状態や体制について管理をするサービスと言えます。
Security Hub について
Security Hub については以下のページで解説しています。
Security Hub と Config の違い
Security Hub CSPM は、ベストプラクティスに基づきセキュリティ全体を俯瞰・評価する包括的な管理ツールです。AWS Config はリソースの設定変更履歴を記録し、特定ルールに基づくコンプライアンスをチェックする構成管理ツールです。
- AWS Config = リソース設定を記録・評価する土台
- Security Hub CSPM = その土台を使って、セキュリティ基準としてまとめてチェックする仕組み
Security Hub CSPM は Config のチェック結果を利用することもあり、相互に補完し合っています。
Findings(検出結果)
検出結果(Findings)とは、セキュリティ チェックまたはセキュリティ関連の検出に関する観測可能なレコード(記録)です。セキュリティ上、確認してほしい事象を Security Hub が共通フォーマットで集約したレコード(記録)と言えます。検出結果は、以下のいずれかのソースから発生する可能性があります。
- Security Hub CSPM のコントロールのセキュリティ チェック。
- 別の AWS サービスとの統合。
- サードパーティ製品との統合。
- カスタム統合。
Security Hub CSPM は、すべてのソースからの検出結果(Findings)を、AWS セキュリティ検出形式(ASFF、AWS Security Finding Format)と呼ばれる標準の構文と JSON 形式に正規化(共通のフォーマット化)します 。Security Hub CSPM はコントロールチェックを実行して検出結果(Finding)を作り、さらに Inspector などの統合サービスやサードパーティー製品からの検出結果(Findings)も取り込みます。
Findings はアラートそのものというより、調査・対応の単位になる1件の記録と考えられます。たとえば、「S3 バケットが公開状態」「不審な API コール」などが 1 件ずつ Findings として並びます。
Workflow.Status(ワークフローステータス)
Workflow.Status は人間(管理者)が設定します。この検出結果(Finding)を人間側がどう扱っているかという調査・運用上の状態です。たとえば Active、Notified、Resolved、Suppressed などに更新できます。
RecordState
RecordState は、その Finding 自体が今も有効な記録かという プロバイダー側の記録状態 です。たとえば ACTIVE と ARCHIVED があります。
コメント