CIS AWS Foundations やその他の推奨事項を読んで、ベストプラクティスに沿っているかを手動で確認することも可能ですが、それには膨大な労力が必要です。自動化されたセキュリティポスチャの評価が強く推奨されます。この機能を提供するクラウドセキュリティポスチャマネジメントマネジメント (CSPM) は複数存在します。
AWS Security Hub もその一つで、セキュリティのベストプラクティスについて自動化された継続的なチェック機能を提供しています。
この発見的統制は NIST の特定フェーズに沿ったもので、重要度が CRITICAL と HIGH の検出結果に対応することが極めて重要です。セキュリティチームの誰かを割り当てて、最も重要な非準拠項目を分析し、修正するようにしましょう。
AWS Security Hub に関するこのクイックウィンは、セキュリティ標準に関するものです。セキュリティ標準を有効にしてサービスを利用すると、ベストプラクティスとのギャップを特定し、修正手順を提供します。チェック 1 回あたりわずか 0.001 USD で、数クリックで有効にでき、30 日間の無料トライアルがあります。トライアルでは、トライアルがない場合に発生する使用量を示すので、翌月のコストを見積もることができます。
AWS Security Hub のようなマネージドサービスを使用した継続的なコンプライアンスではなく、個別の(一時的な)チェックを実行したい場合は、Self-Service Security Assessment Tool を使用できます。オープンソースツールの Prowler や Scout Suite などのコントロールが統合されています。
また、マルチベンダーをサポートするオープンソースツールの Cloud Custodian を使用して、AWS Security Hub に直接結果を送信することもできます。
継続的なコンプライアンスチェックのためのサードパーティツールとしては、以下のようなツールがあります。これらは同様の結果を得ることができ、マルチクラウド環境でよく使用されます。
セキュリティポスチャの視点を補完するために、無料サービスの AWS Trusted Advisor を使用して、アカウントの設定ミスや重要なセキュリティアラートを特定できます。
ビジネスサポートまたはエンタープライズサポートを利用しているお客様は、AWS Trusted Advisor の全ての チェック項目 にアクセスできます。
AWS Security Hub が全てのアカウントで一元的な設定で有効化されていますか?
AWS Security Hub の検出結果の修正に取り組むチームや担当者はいますか?
セキュリティスコアは KPI の一部として報告されていますか?時間とともに改善傾向にありますか?
あるいは、一貫性なく有効になっていませんか?(「本番環境のみ」や、AWS Config が有効になっているアカウントのみなど)
Security Hub や CSPM を使用していない場合: