Security Hub CSPMとは？CSPMの基礎から導入メリットまで徹底解説

はじめに 

こんにちは、株式会社メンバーズ デプオプスリードカンパニーの安藤です。

私が所属するDevOps Lead カンパニーでは、「DevOps Lab」という研究開発の取り組みを行っており、その一環としてDevSecOpsに関する実践的な研究と技術検証を進めています。今回はそのDevSecOpsの取り組みの中で、AWS環境におけるセキュリティ態勢を自動で継続的に監査・管理できるSecurity Hub CSPMの導入検証を行いました。

本記事では、その検証を通じて得られた知見をベースに、そもそも「Security Hub CSPMとは何か？」「導入することでどのようなメリットがあるのか？」といった基礎知識から導入のポイントまでを分かりやすく解説していきます。

Security Hubとは

Security Hubは、AWS環境全体のセキュリティ状況やコンプライアンスを一元的に管理・可視化するためのダッシュボード（ハブ）サービスです。 単一の機能を提供するのではなく、AWSの各種セキュリティサービス（Security Hub CSPM, GuardDuty, Inspectorなど）の検知結果を1箇所に集約できるのが最大の特徴です。
今回はその中からSecurity Hub CSPMについて解説します。
Inspectorについて解説している記事もあるので、こちらもぜひご覧ください！

Security Hub CSPMとは

Security Hub CSPMは、CSPMをAWSリソースに対して提供するサービスです。

CSPMとは「Cloud Security Posture Management」の略で、「クラウド環境の設定がセキュリティのベストプラクティスやガイドラインに従って正しく行われているかを継続的に監視・評価する仕組み」のことです。

CSPMは、以下のようなリスクを自動で検知します。

• 誰でもアクセスできる状態になっているストレージ

• MFA（多要素認証）が設定されていないアカウント

• 暗号化されていないデータベースやディスク

Security Hub CSPMは、「AWS 基礎セキュリティのベストプラクティス」や業界標準の「CISベンチマーク」といったガイドラインに基づき、AWSリソースの設定不備を自動的かつ継続的にスキャンします。検知した結果は「セキュリティスコア」として分かりやすく可視化してくれます。

導入するメリット

DevSecOpsの観点から、Security Hub CSPMを導入する主なメリットは以下の3点です。

1. セキュリティリスクの早期発見（シフトレフト） 構築したリソースの設定ミスをデプロイ後すぐに検知できるため、インシデントに発展する前に修正サイクルを回すことができます。

2. 客観的なスコアによる現状把握 「私たちのAWS環境はどれくらい安全か？」という問いに対し、100点満点のスコアで現状を定量的に評価・報告できるようになります。

3. 監査・コンプライアンス対応の自動化 手動での設定確認リストの消し込み作業が不要になり、常に最新のガイドラインに沿った状態を維持・証明しやすくなります。

検知された時の対応フロー

Security Hub CSPMがコントロールの失敗を検知した場合、放置せずに適切に処理することが重要です。基本的な対応フローは以下の3ステップになります。

Step 1: 検知内容の確認

まずはダッシュボードでステータスが「Failed」となっている項目を確認します。検知された項目には CRITICAL、HIGH、MEDIUM、LOW の重要度が割り当てられているため、影響度の高いものから優先的に対応方針を検討します。

また、EventBridgeなどの他AWSサービスとの組み合わせで、コントロールの失敗を検知した場合にメールなどで通知させることもできます。

Step 2: リソースの修復

設定ミスであると判断した場合は、速やかに修復を行います。

Security Hub CSPMの公式ドキュメントに各コントロールごとの内容と修復方法が記載されているので、修復を行う際には参考にしましょう。

Step 3: 例外的な「抑制」処理

システム要件の都合上、どうしてもガイドラインに違反する設定にせざるを得ないケースもあります（例：外部公開を前提としたWebホスティング用のS3バケットなど）。

このような場合は、対象の検知結果のワークフローステータスを「抑制済み」に変更します。コントロール自体の抑制もできるので、全リソースで特定の検知をして欲しくない場合はこちらも検討しましょう。

抑制する際は、「なぜ抑制したのか」の理由（メモ）を残しておくことができるため、誰が見てもわかるように、抑制の根拠を必ず記載しておきましょう。

運用を成功させるための「文化作り」

Security Hub CSPMを初めて有効化した際、これまでの設定不備が一斉にスキャンされるため、大量の検出結果が表示されることがあります。

ここで重要なのは、一度にすべてを完璧に修正しようとして疲弊するのではなく、チームで対応方針を決め、段階的にセキュリティ態勢を向上させていく「文化」を作ることです。

例えば、重要度に応じて、以下のような対応のルールをチーム内で合意しておくことをお勧めします。

• CRITICAL: 検知から24時間以内に対応（修正または抑制）する

• HIGH: 検知から2週間以内に対応する

このように、「どのレベルのリスクを、いつまでに対応するのか」という共通の基準を設けることで、アラートが放置されるのを防ぎ、セキュリティ対応をDevSecOpsの当たり前のサイクルとしてチームに定着させることができると思います。

まとめ

本記事では、Security Hub CSPMの概要と、DevSecOpsにおける役割、そして検知時の対応フローや運用を継続するための文化作りについて解説しました。

クラウド環境は日々変化するため、一度構築したら終わりではなく、継続的に監査・修復する仕組みが不可欠です。Security Hub CSPMを有効化することで、セキュリティのベストプラクティスをシステムに適用し続ける強力な基盤を手に入れることができます。

AWS環境のセキュリティに課題を感じている方は、まずはSecurity Hub CSPMの有効化と現状のスコア確認から始めてみてはいかがでしょうか。