AWS Security Hubが新たなセキュリティ統合サービスとなり、アタックパスの可視化ができるようになりました

• アップデート概要
• 従来のSecurity Hub
• 新しいSecurity Hub
• アタックパスの可視化
• まとめ

AWS re:Inforce 2025が開催され、セキュリティサービスのアップデートがたくさん発表されました。
今回は、AWS Security Hubの位置づけが変わり、新たなセキュリティ統合サービスとなったうえにアタックパス表示ができるようになったので、検証してみました。

aws.amazon.com

Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) | AWS News Blog

アップデート概要

• Security Hubのコンプライアンスチェック機能がSecurity Hub CSPMとして分離

• AWS Security Hubは以下のセキュリティサービスを統合し、集中管理する役割になった

  • Amazon GuardDuty

  • Amazon Inspector

  • AWS Security Hub CSPM

  • Amazon Macie

• 露出検出結果として、外部からアクセスできる可能性のあるリソースを特定し、アタックパスを可視化

• セキュリティに重点を置いた資産インベントリ

• 以下のチケットシステムとの統合による自動対応ワークフロー

  • Jira
  • ServiceNow

従来のSecurity Hub

こちらが従来のSecurity Hubです。
どのセキュリティ基準が有効で、どれほど検出されているかがリソースや重要度ごとに表示されています。
見慣れた画面ですが、この機能が今回のアップデートで「Security Hub CSPM」という名前になっていることが確認できます。

新しいSecurity Hub

こちらが新しいSecurity Hubです。
ダッシュボード概要には、脅威の概要、露出の概要、リソース概要、セキュリティカバレッジの統計が表示されています。

サイドパネルから、それぞれのセキュリティサービスから収集した検出結果を確認できます。
それぞれ、以下の対応になります。

脅威を見てみましょう。
脅威はGuardDutyから得られた検出結果です。
検出結果のタイトルと重要度が一覧で確認でき、フィルタすることができます。
ちなみにこれらのイベントは、GuardDutyのサンプルイベントを発生させたものです。

1つの検出結果を確認してみます。
re:Invent 2024で発表された、GuardDuty拡張脅威検出による攻撃シーケンスも表示されています。

続いて、態勢管理を見てみます。
態勢管理はSecurity Hubから得られた検出結果です。
先ほどの脅威と同様に、検出結果のタイトルと重要度が一覧で確認でき、フィルタすることができます。

1つの検出結果を確認してみます。
コンプライアンス違反の詳細な理由が表示されています。

新しいSecurity Hubであは、リソース一覧を確認するとともできます。
サイドパネルの「インベントリ」→「リソース」をクリックします。
セキュリティに関するリソース一覧ですが、調査に役立つと思います。

アカウント、リージョン、リソースタイプや検出タイプごとにグループ化できるのも嬉しい点です。

続いて、検出結果のJSONログを見てみます。

従来のSecurity HubはASFF (AWS Security Finding Format)でしたが、新しいSecurity HubではOCSF (Open Cybersecurity Schema Framework)になっています。
標準化され、統合されたログとして処理することが可能なので、サードパーティのセキュリティサービスとの連携も容易になります。

また、重要度やステータスも簡単に変更できます。

アタックパスの可視化

それでは、今回のメインともいえるアタックパスの可視化を確認してみます。
以下のようなテスト環境を用意しました。

インターネットからHTTP接続可能なEC2に、S3バケットへの操作権限を付与したIAMロールをアタッチしています。

しばらくすると、露出の概要で検知がありました。
6時間ごとに評価されるので気長に待ちましょう。

概要タブでは、原因となる特性が確認できます。
今回は、MisconfigrationとReachabilityが原因としてあがっています。

そして、アタックパスとリソース情報が表示されていました。
アタックパスは後程確認します。

特性タブでは原因となる特性、リソースタブではリソース情報がそれぞれ表示されています。
概要タブで表示されていたものと同じで、2つのタブに分割して表示されていました。

「ビューを拡大」をクリックすると、先ほどの情報を1つのページで確認できます。
自分にとって見やすい方法で見るとよいでしょう。

アタックパスを全画面表示します。
リソースの関連やインターネットからの到達可能性が分かりやすく表示されています。
リソースの右上の赤丸のアイコンに書かれた数字が、原因となる特性数を表しています。

該当のリソースをクリックすると、リソース情報と原因となる特性が表示されます。

ちなみに、さらに待っていると重要度がMediumからHighに上がっていました。

最初の確認時にはなかったVulnerabilityが増えているので、時間がたってからInspectorの情報が連携されて重要度が上がったためだと思われます。

また、アラート情報はJiraとServiceNowに連携することができ、対応のワークフローを組むことができます。

まとめ

Security Hubが大きく進化し、よりプロアクティブにセキュリティ対策がしやすくなりました。
特に、アタックパスの可視化は具体的なイメージをもって対応できるので嬉しいポイントです。
いわゆるCNAPPに求められる機能が追加され、よりCNAPP感が増したアップデートです。
個人的にはかなりアツいアップデートなので、ぜひ使っていきましょう。