AWS応用 アカデミー

AWS Security HubとGuardDuty

はじめに

クラウドインフラの活用が進む一方で、セキュリティの課題もますます高度化しています。AWSでは、Security HubGuardDutyといったマネージドサービスを使うことで、セキュリティイベントの可視化・検知・対応が自動化され、継続的なセキュリティの強化が可能になります。

本章では以下の内容を中心に、AWSにおけるセキュリティの最前線を具体的に解説します:

  • Security HubとGuardDutyによるイベント検知と対応
  • AWS Configによる設定監査と証跡の取得
  • KMS(Key Management Service)を使った暗号化管理と鍵ローテーション

セキュリティイベントの検知と対応

Security Hubとは?

AWS Security Hubは、複数のセキュリティサービス(GuardDuty, Inspector, Macieなど)からの検出結果を一元的に集約・可視化するためのダッシュボードサービスです。ベストプラクティスの自動評価や、セキュリティ基準(CISベンチマークなど)への準拠状況確認が可能です。

# Security Hubの有効化(全リージョン対応) aws securityhub enable-security-hub --region ap-northeast-1

GuardDutyとは?

AWS GuardDutyは、ネットワークトラフィックやログデータを機械学習で分析し、マルウェアや不審なアクティビティをリアルタイムに検出するサービスです。以下のような脅威に対応可能です:

  • 不正なIPアドレスからのアクセス
  • 不審なAPIコール(例:MFA無しでの重要操作)
  • 異常なDNSクエリや通信
# GuardDutyの有効化 aws guardduty create-detector --enable

イベント駆動型の自動対応(例)

Amazon EventBridgeとAWS Lambdaを組み合わせることで、GuardDutyの検出イベントに応じた自動対処が可能になります。

# 例:EC2インスタンスを隔離するLambda関数をトリガー EventBridgeルール → LambdaでSG変更 or 停止処理

AWS Configと監査証跡の取得

AWS Configとは?

AWS Configは、AWSリソースの設定変更履歴を記録し、コンプライアンス監査やトラブルシュートに不可欠な証跡を提供するサービスです。

たとえば、「S3バケットが公開設定になっていないか」「IAMポリシーが意図しない権限を持っていないか」などのチェックが可能です。

設定の有効化

# Config記録の開始(全リソース対象) aws configservice put-configuration-recorder \ --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role

Configルールの例

  • required-tags:全リソースに必須タグが設定されているか
  • s3-bucket-public-read-prohibited:S3バケットがパブリック読取可能になっていないか

これにより、セキュリティ基準の継続的な準拠状態の監視が可能になります。

CloudTrailとの併用

CloudTrailを併用することで、「誰が」「いつ」「どのリソースに」変更を加えたかの証跡が残ります。証跡ログはS3に保存され、SIEM連携や監査対応にも活用されます。

KMSの運用と暗号鍵ローテーション

KMSとは?

AWS KMS(Key Management Service)は、データの暗号化鍵(CMK)を管理するマネージドサービスです。多くのAWSサービス(S3, EBS, RDSなど)と連携し、暗号化を簡単に有効化できます。

鍵の種類

  • AWS管理キー(AWS managed CMK):各サービス用にAWSが自動管理
  • カスタマー管理キー(Customer managed CMK):ユーザー自身が作成・制御可能

暗号鍵のローテーション

セキュリティベストプラクティスとして、鍵は定期的にローテーションすべきです。KMSでは、カスタマー管理キーに対して自動ローテーションを有効化できます。

# 自動ローテーションの有効化 aws kms enable-key-rotation --key-id arn:aws:kms:ap-northeast-1:123456789012:key/xxxx

アクセス制御のポイント

  • KMSキーに対するIAMポリシーとキーのポリシーの二重管理
  • IAMユーザーに直接権限を付けず、ロールベースで設計
  • CloudTrailで暗号化・復号の使用履歴を追跡

まとめ

本章では、AWSにおけるセキュリティ監視と構成監査、そして暗号鍵管理について、実運用に即したベストプラクティスを解説しました。

  • Security HubとGuardDutyで脅威を検知・集約・可視化
  • AWS ConfigとCloudTrailでリソースの監査証跡を確保
  • KMSでデータを暗号化し、安全な鍵管理とローテーションを実施
採用情報 長谷川 横バージョン
SHARE

blog 関連記事

すべて見る
PHP Code Snippets Powered By : XYZScripts.com
お問い合わせ