見出し画像
Photo by 4hintaro

個人のAWSアカウントでもSecurity Hubを有効化することを推奨したい

mayumi-yamazaki

はじめに

AWS Security Hubは、AWSのセキュリティ状態を包括的に把握することができるサービスです。
セキュリティ業界標準およびベストプラクティスに照らしてAWS環境のセキュリティ状態を評価することができます。
セキュリティが重要だということは理想として分かっていても、実際どれだけの価値があるのか、試してみないことには評価が難しいのではないかと思います。
利用料への影響も気になりますよね。
なんとAWS Security Hubは、30日間無料で評価することができます。

私は以下をあらためて確認したかったので、個人利用のAWSアカウントでAWS Security Hubを有効化してみました。

  • AWS Security Hubを有効化すると、個人の環境だと、どのような項目が検出されるのか?

  • 何ドルくらいかかりそうか?

  • 個人的にも使い続けたほうがよいと思うか?

前提

ここにはAWS Security Hubを有効化したAWSアカウントの前提を記載します。

  • 今回の例ではAWS Security HubとOrganizationsの統合は実施していません。

  • このAWSアカウントでは、一時的にEC2などのリソースを起動することはありますが、目的を達成したらこまめに停止したり削除したりしているため、常に稼働しているサーバーやデータベースは存在しません。

  • AWS Security Hubの有効化の前にAWS Configを有効化しました。

  • AWS Security Hubのセキュリティ基準は、よく利用する以下の3つを選択しました。

    • AWS基礎セキュリティのベストプラクティスv1.0.0

    • CIS AWS Foundations Benchmark v1.2.0

    • CIS AWS Foundations Benchmark v1.4.0

評価期間での確認結果

セキュリティ基準のチェックで検出された項目および対応

セキュリティ基準のチェック結果は、AWS Security Hubのコンソールから簡単に確認できます。

AWS Security Hub > 概要

コストをかければセキュリティを上げることはできますが、業務では使わない個人の検証環境なので、コストとのバランスを考慮します。
Severity(重要度)が「Critical(重要)」および「High(高)」の項目に注目して対策することにしました。

Severityで絞ると、対策が必要なコントロールは下記に示す3つのみでしたので、「失敗」を「成功」に変えるための対応は30分以内に終わりました。

<重要度:Critical(重要)>

【IAM.6】 Hardware MFA should be enabled for the root user

AWSアカウントのrootユーザーに対してハードウェアMFAを有効にします。もし仮想MFAを使っている場合は削除する必要があります。

ユーザーガイドを見る

<重要度:High(高)>

【EC2.2】 VPC default security groups should not allow inbound or outbound traffic

必要なアクセスのみに絞ったセキュリティグループを作成します。
はじめから作成されているデフォルトのセキュリティグループを削除することはできないため、デフォルトのセキュリティグループのインバウンドルールとアウトバウンドルールを削除します。

ユーザーガイドを見る

【CloudTrail.1】 CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events

CloudTrailでマルチリージョンの証跡を1以上構成します。また、ログ記録する管理イベントのAPIアクティビティの読み取りおよび書き込みチェックは外さないようにします。

ユーザーガイドを見る

なお、理由があって対応の予定がないAWS Security Hubコントロールはノイズになるため、無効化することもできます。

Security Hub controls that you might want to disable(ユーザーガイド)

使用量から見た利用料見積もり

セキュリティ基準のセキュリティチェックについては1アカウント、東京リージョンで619項目でした。
最初の100,000チェックまでは 単価$0.0010/チェックなので、約$0.6となります。
検出結果取り込みイベントについては最初の10,000まで無料のため、無料の範囲に収まっています。
よってトータル$0.6となりました。
(なおConfigと合わせても$1程度でした。)

Security Hub > 使用

おわりに

個人のAWSアカウントだと、セキュリティを確保するのは自分の責任です。チームや組織で利用する場合とは異なり、もしセキュリティに穴があったとしても、誰かが親切に教えてくれたりはしないので、個人で利用するAWSアカウントでもSecurity Hubを有効にすることをお勧めしたいと思います。

この記事が気に入ったらサポートをしてみませんか?