🏨 マンション管理で例えると超わかりやすい!
CISベンチマーク = マンションの「安全基準チェックリスト」
「火災報知器は設置されているか?」「非常口は確保されているか?」「防犯カメラは稼働しているか?」
こうした安全基準を
自動で継続的にチェック
してくれるのが
AWS Security Hub
と
AWS Config
の連携です!
人手でチェックするのは大変...でも自動化すれば24時間365日安心✨
🏠 マンション管理でたとえると?
安全基準チェックリスト
「国際的なセキュリティ専門家」が作った
AWSの安全基準リスト
「MFAは有効か?」
「ログは記録しているか?」
「暗号化はされているか?」
など、守るべきルールが明確に定義されています
各部屋の巡回検査員
マンションの各部屋を巡回して
「今どうなっているか」を記録
「この部屋の鍵は施錠されているか」
「火災報知器は正常か」
リソースの設定変更も全部記録!
管理事務所のダッシュボード
全フロアの検査結果を
一箇所に集約して表示
「3階の101号室で問題発見!」
「全体の安全スコアは85点」
など、全体像がすぐわかる!
🔄 3つのサービスの連携フロー
CIS ベンチマーク
セキュリティ基準
(チェック項目)
Security Hub
基準を有効化
結果を集約・表示
AWS Config
実際の設定をチェック
変更を継続監視
📋 CIS AWS Foundations ベンチマークとは?
CIS(Center for Internet Security)
が策定した
AWSアカウントのセキュリティ設定に関する
国際的なベストプラクティス集
100以上のチェック項目で、あなたのAWS環境の安全性を評価します
1. IAM(認証・認可)
- ルートアカウントにMFAが有効か
- ルートのアクセスキーが削除されているか
- パスワードポリシーが適切か
- 未使用の認証情報が削除されているか
2. ログ記録・監視
- CloudTrailが全リージョンで有効か
- ログファイルの検証が有効か
- S3バケットログが有効か
- CloudWatchログが設定されているか
3. ネットワーク
- デフォルトVPCが使用されていないか
- セキュリティグループが適切か
- VPCフローログが有効か
- 不要なポートが開いていないか
4. ストレージ
- S3バケットが公開されていないか
- EBSボリュームが暗号化されているか
- S3のサーバー側暗号化が有効か
- RDSが暗号化されているか
5. モニタリング・アラート
- 不正なAPI呼び出しのアラート設定
- ルートアカウント使用時のアラート
- セキュリティグループ変更の通知
- IAMポリシー変更の検知
6. 暗号化・キー管理
- KMSキーのローテーション設定
- 転送中データの暗号化
- 保存データの暗号化
- 証明書の有効期限管理
🔍 AWS Config の役割
AWS Config は
「リソースの設定を記録・評価する検査官」
各リソースが「今どうなっているか」を継続的に監視します
設定の記録
AWSリソースの設定情報を自動的に記録。変更があれば即座に検知します。
ルールで評価
Config Rulesで設定が基準を満たしているか自動評価。違反があれば検出。
結果を送信
評価結果をSecurity Hubに自動送信。集約されたダッシュボードで確認可能。
継続監視
設定変更のたびに再評価。常に最新の状態をチェックし続けます。
🎯 AWS Config が必要な理由
Security Hubは基準を持つが、実データはConfigが取得
「いつ」「誰が」「何を」変更したか追跡可能
違反検出時にLambdaやSSMで自動修復も可能
🏢 AWS Security Hub の役割
Security Hub は
「セキュリティ情報の司令塔」
複数ソースからの情報を集約し、統一されたダッシュボードで管理します
セキュリティスコア表示
CISベンチマークへの準拠率を
0〜100%のスコア
で表示。
「現在のセキュリティ状態」が一目でわかり、改善の優先順位も明確に。
検出結果の集約
AWS Config、GuardDuty、Inspector など
複数サービスの結果を一元管理
。
バラバラだった情報がひとつのダッシュボードに集約されます。
セキュリティ基準の有効化
CIS AWS Foundations Benchmark を
ワンクリックで有効化
。
自動的に必要なConfig Rulesが作成され、評価が始まります。
マルチアカウント対応
AWS Organizations連携で
複数アカウントを一括管理
。
組織全体のセキュリティ状況を集約して確認できます。
自動化アクション
EventBridge連携で
検出時の自動対応
が可能。
Slack通知、チケット作成、自動修復など柔軟に設定できます。
トレンド分析
時系列での
セキュリティスコアの推移
を確認。
改善活動の効果を可視化し、レポート作成にも活用できます。
⚖️ AWS Config vs Security Hub 役割比較
| 項目 | AWS Config | Security Hub |
|---|---|---|
| 主な役割 |
検査官
リソース設定の記録・評価 |
司令塔
セキュリティ情報の集約・表示 |
| 何をするか |
各リソースの設定を取得し
ルールに基づいて評価 |
評価結果を集約して
統一ダッシュボードで表示 |
| CISベンチマーク |
チェック項目を
実際に評価する |
基準を有効化し
結果を表示する |
| 必須か? |
✅ 必須
実際の評価に必要 |
✅ 必須
基準の有効化に必要 |
| 変更履歴 |
✅ 保持する
いつ誰が変更したか追跡 |
❌ 保持しない
現在の状態のみ |
| スコア表示 |
個別ルールの
準拠/非準拠のみ |
✅ 全体スコア
0〜100%で表示 |
| マルチアカウント |
アグリゲーターで
集約可能 |
✅ Organizations連携
で一括管理 |
| 料金体系 |
記録されたリソース数
ルール評価回数で課金 |
チェック数
検出結果取り込み数で課金 |
🚀 セットアップ手順
AWS Config を有効化
まず AWS Config を有効化します。これがないと Security Hub の CIS チェックが機能しません。
全リソースタイプの記録を有効にすることを推奨します。
--configuration-recorder name=default,roleARN=arn:aws:iam::ACCOUNT_ID:role/ConfigRole \
--recording-group allSupported=true,includeGlobalResourceTypes=true
Security Hub を有効化
Security Hub を有効化します。マネジメントコンソールまたは CLI で有効化できます。
--enable-default-standards
CIS AWS Foundations Benchmark を有効化
Security Hub のセキュリティ基準から「CIS AWS Foundations Benchmark」を有効化します。
v1.2.0、v1.4.0、v3.0.0 などバージョンを選択できます。
--standards-subscription-requests \
StandardsArn=arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.4.0
評価開始を待つ(約24時間)
Config Rules が自動作成され、評価が開始されます。
初回の完全な評価結果が出るまで最大24時間かかる場合があります。
結果の確認と対応
Security Hub ダッシュボードでセキュリティスコアと検出結果を確認。
CRITICAL/HIGH の項目から優先的に対応していきましょう。
Security Hub の CIS ベンチマーク評価は、裏側で AWS Config を使用しています。Config が有効でないと評価が動きません。
2. 全リージョンで有効化を推奨
CIS ベンチマークは「全リージョンでの設定」をチェックする項目があります。特定リージョンだけだと FAILED になる場合があります。
3. 料金に注意
Config(リソース記録・ルール評価)と Security Hub(チェック数)の両方で課金されます。大規模環境では事前にコスト試算を!
4. 100% 達成が目標ではない
すべての項目を満たす必要はありません。ビジネス要件に応じて「抑制」(無効化)することも適切な判断です。
💼 ユースケース別活用法
金融機関のコンプライアンス
金融規制で求められるセキュリティ要件を継続的に評価。
監査時にはSecurity Hubのレポートをエビデンスとして提出できます。
CIS ベンチマーク + PCI DSS 基準を併用して多層的な評価を実現
ヘルスケア業界のデータ保護
患者データを扱うシステムの暗号化設定やアクセス制御を継続監視。
設定変更があれば即座に検知して通知します。
EventBridge連携でSlack/Teams通知を設定し、即時対応を可能に
スタートアップのセキュリティ基盤
少人数でもセキュリティを担保。自動化された評価で
「やるべきこと」が明確になり、効率的に改善できます。
まずは CRITICAL/HIGH の項目だけに集中して段階的に改善
マルチアカウント環境の統合管理
Organizations連携で数十〜数百のアカウントを一括監視。
管理アカウントから全体のセキュリティ状況を把握できます。
委任管理者を設定してセキュリティ専用アカウントで集中管理
すべてを一度に直そうとしない!CRITICAL → HIGH → MEDIUM → LOW の順で対応しましょう。
2. 抑制(Suppress)を活用:
ビジネス上の理由で対応不要な項目は「抑制」に設定。誤検知やノイズを減らしてスコアを正確に保ちます。
3. 自動修復を検討:
よくある違反は Systems Manager Automation や Lambda で自動修復。例:「パブリックS3バケットを自動で非公開に」
4. 定期レポートを設定:
週次・月次でセキュリティスコアの推移をレポート。経営層への報告や改善効果の可視化に活用。
5. 新リソース作成時のチェック:
Config の評価はリアルタイム。新しいリソース作成直後から評価されるので、早期に問題を発見できます。
❓ よくある質問
Security Hub:セキュリティチェック数 × $0.0010/件(最初の10万件)
小規模環境なら月額数ドル〜、大規模環境では事前にコスト試算を推奨します。
🎓 まとめ
🏨 マンション管理 = AWS セキュリティ管理
CIS ベンチマーク × Security Hub × AWS Config で
継続的なセキュリティ評価を自動化
できます!
国際的な
セキュリティ基準
(チェックリスト)
リソースの設定を
継続的に記録・評価
(検査官)
結果を集約して
スコアで可視化
(管理事務所)
🎯
大切なポイント:
✅ Config と Security Hub の
両方が必須
✅ 全リージョンでの有効化を推奨
✅ CRITICAL/HIGH から優先的に対応
✅ 100% を目指すより「適切な抑制」も重要
これで24時間365日、自動でセキュリティをチェック!🎉