AWS Security HubでセキュリティAラートを一元管理する|GuardDuty・Inspector・Config統合の実践
現場実践|AWS Security Hub統合管理
AWS Security Hubでセキュリティアラートを一元管理する|GuardDuty・Inspector・Config統合の実践
「GuardDutyやInspectorのアラートがバラバラで管理しにくい」——AWS Security HubでGuardDuty・Inspector・AWS Config・IAM Access Analyzerの検出結果を一元集約して管理する方法を解説します。
💡 Security Hubは複数のAWSセキュリティサービスのアラートを一箇所に集約して「セキュリティスコア」として可視化するサービス。組織全体のセキュリティポスチャーを1つのダッシュボードで把握できます。
1. Security Hubが統合するサービス
GuardDuty
脅威検知の検出結果をSecurity Hubに送信。IAMクレデンシャルの不正利用・クリプトマイニング等の脅威がFinding形式で集約される。
Inspector
EC2・Lambda・コンテナイメージの脆弱性スキャン結果をSecurity Hubに集約。CVEの重大度別に管理できる。
AWS Config
設定の非適合(Non-compliant)状態をSecurity Hubに集約。「S3バケットがパブリック」等のコンプライアンス違反を一元管理できる。
2. セキュリティ標準の自動チェック
Security Hubには「AWS基礎セキュリティのベストプラクティス」「CIS AWS Foundations Benchmark」「PCI DSS」等のセキュリティ標準が組み込まれています。有効化するだけでAWS環境が各標準に準拠しているかのスコア(0〜100%)が自動計算されます。スコアが低いコントロールから優先的に対処することでセキュリティポスチャーを継続的に改善できます。
3. マルチアカウント環境での活用
1
セキュリティアカウントを管理者として設定
Organizationsのセキュリティ専用アカウントをSecurity Hubの管理者アカウントに設定する。全メンバーアカウントの検出結果を管理者アカウントに集約できる。
2
自動応答をLambdaで実装
Security HubのFindingをEventBridgeで捕捉してLambdaを実行する。「S3バケットがパブリックになった場合に自動でブロック設定を適用する」等の自動応答が実現できる。
4. Security Hub有効化時のコスト目安
Security Hubのコスト目安(東京リージョン)
Security Hub自体は月額固定費なし(検出結果数・コントロール評価数に応じた従量課金)。中規模AWSアカウントで月額3,000〜10,000円程度が目安です。GuardDuty・Inspectorと合わせた総合的なセキュリティコストとして評価することを推奨します。
📌 この記事のポイント
- Security HubはGuardDuty・Inspector・Config等のセキュリティ検出結果を一元集約してスコアで可視化する
- AWS基礎セキュリティのベストプラクティスのスコアを継続的に改善することでセキュリティポスチャーが向上する
- マルチアカウント環境ではセキュリティアカウントを管理者にしてEventBridge+Lambdaで自動応答を実装する
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
