Access Analyzer と AWS Security Hub を統合する
AWS Security Hub では、AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集するため、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立てることができます。
AWS Identity and Access Management Access Analyzer を Security Hub と統合すると、IAM Access Analyzer から Security Hub に検出結果を送信できるようになります。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。
目次
IAM Access Analyzer が Security Hub に検出結果を送信する方法
Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、調査結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。「AWS Security Hub ユーザーガイド」の「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 「AWS Security Hub ユーザーガイド」の「Taking action on findings」(検出結果に対するアクションの実行) を参照してください。
Security Hub のすべての検出結果で、AWS Security Finding 形式 (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 AWS ユーザーガイド の「AWS Security Hub Security Finding 形式 (ASFF)」を参照してください 。
AWS Identity and Access Management Access Analyzer は Security Hub に結果を送信する AWS サービスの1つです。未使用のアクセスの場合、IAM Access Analyzer は、IAM ユーザーまたはロールに付与されているが使用されていないアクセス権限を検出し、それぞれの検出結果を生成します。その後、IAM Access Analyzer は検出結果を Security Hub に送信します。外部アクセスの場合、IAM Access Analyzer は、組織またはアカウント内のサポートされているリソースへの外部プリンシパルへのパブリックアクセスまたはクロスアカウントアクセスを許可するポリシーステートメントを検出します。IAM Access Analyzer はパブリックアクセスの検出結果を生成し、それを Security Hub に送信します。クロスアカウントアクセスの場合、IAM Access Analyzer は、一度に 1 つの外部プリンシパルに対して 1 つの検出結果を Security Hub に送信します。IAM Access Analyzer に複数のクロスアカウント検出結果がある場合、IAM Access Analyzer が次のクロスアカウント検出結果を提供する前に、単一の外部プリンシパルに対する Security Hub 検出結果を解決する必要があります。アナライザーの信頼ゾーン外のクロスアカウントアクセスを持つ外部プリンシパルの完全なリストについては、IAM Access Analyzer で検出結果を表示する必要があります。
IAM Access Analyzer が送信する検出結果のタイプ
IAM Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。IAM Access Analyzer からの検出結果では、Types に対して次の値が示される可能性があります。
-
外部アクセスの検出結果 – 影響/データ漏えい/外部アクセスの許可
-
外部アクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/外部アクセスの許可
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用のアクセス許可
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ロール
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーパスワード
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーアクセスキー
結果が送信されるまでのレイテンシー
IAM Access Analyzer が新しい結果を作成すると、通常は 30 分以内に Security Hub に送信されます。まれに、特定の条件下で、ポリシーの追加や更新が IAM Access Analyzer に通知されないことがあります。たとえば、Amazon S3 アカウントレベルのブロックパブリックアクセス設定への変更には、最大 12 時間かかることがあります。また、AWS CloudTrail ログ配信で配信の問題がある場合、ポリシーを変更しても、検出結果でレポートされたリソースの再スキャンはトリガーされません。このような場合、IAM Access Analyzer は、次の定期スキャン時に新しいポリシーまたは更新されたポリシーを分析します。
Security Hub が使用できない場合の再試行
Security Hub を使用できない場合、IAM Access Analyzer は定期的に検出結果の送信を再試行します。
Security Hub の既存の結果を更新する
結果を Security Hub に送信した後、AWS Identity and Access Management Access Analyzer は結果アクティビティの追加の観測を反映するために、更新を Security Hub に送信します。更新は同じ検出結果に反映されます。
IAM Access Analyzer は外部アクセスの検出結果をリソースごとにグループ化するため、Security Hub 内のリソースに関する検出結果は、IAM Access Analyzer 内のリソースに関する結果の少なくとも 1 つがアクティブである場合にのみアクティブになります。リソースに関する IAM Access Analyzer のすべての検出結果がアーカイブまたは解決されると、Security Hub の検出結果がアーカイブされます。パブリックアクセスとクロスアカウントアクセスの間でポリシーアクセスを変更すると、Security Hub の検出結果も更新されます。この更新には、検出結果の種類、タイトル、説明、および重大度の変更を含めることができます。
IAM Access Analyzer は未使用のアクセスの検出結果をリソースごとにグループ化しないため、IAM Access Analyzer で未使用のアクセスの検出結果が解決されると、Security Hub の検出結果が解決されます。未使用のアクセスの結果を生成した IAM ユーザーまたはロールを更新すると、Security Hub の結果が更新されます。
Security Hub での IAM Access Analyzer の検出結果の表示
Security Hub で IAM Access Analyzer の検出結果を表示するには、概要ページの [AWS: IAM Access Analyzer] セクションの [結果を参照] を選択します。または、ナビゲーションパネルから [検出結果] を選択することもできます。次に、値が IAM Access Analyzer である [Product name:] フィールドを選択して、AWS Identity and Access Management Access Analyzer の検出結果のみを表示するようにフィルタリングすることができます。
Security Hub での IAM Access Analyzer の結果名の解釈
AWS Identity and Access Management Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。ASFF では、[Types] フィールドに検出結果タイプが表示されます。ASFF タイプは、AWS Identity and Access Management Access Analyzer とは異なる命名規則を使用します。次の表は、Security Hub に表示される AWS Identity and Access Management Access Analyzer の検出結果に関連付けられたすべての ASFF タイプの詳細を示しています。
| ASFF 結果タイプ | Security Hub 検出結果のタイトル | 説明 |
|---|---|---|
| エフェクト/データエクスポサ/外部アクセス許可 | <resource ARN> パブリックアクセスを許可 | リソースにアタッチされたリソースベースのポリシーは、リソースに対するすべての外部プリンシパルへのパブリックアクセスを許可します。 |
| ソフトウェアと構成のチェック/AWS セキュリティのベストプラクティス/外部アクセスの許可 | <resource ARN> クロスアカウントアクセスを許可 | リソースにアタッチされたリソースベースのポリシーは、アナライザーの信頼ゾーン外の外部プリンシパルへのクロスアカウントアクセスを許可します。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用のアクセス許可 | <リソース ARN> には、未使用のアクセス許可が含まれます | ユーザーまたはロールには、未使用のサービスおよびアクションのアクセス許可が含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ロール | <リソース ARN> には、未使用の IAM ロールが含まれます | ユーザーまたはロールには、未使用の IAM ロールが含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーパスワード | <リソース ARN> には、未使用の IAM ユーザーパスワードが含まれます | ユーザーまたはロールには、未使用の IAM ユーザーパスワードが含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーアクセスキー | <リソース ARN> には、未使用の IAM ユーザーアクセスキーが含まれます | ユーザーまたはロールには、未使用の IAM ユーザーアクセスキーが含まれます。 |
IAM Access Analyzer からの一般的な検出結果
IAM Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。
以下に、外部アクセスの検出結果に関する IAM Access Analyzer からの一般的な検出結果の例を示します。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }
以下に、未使用のアクセスの検出結果に関する IAM Access Analyzer からの一般的な検出結果の例を示します。
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }
統合の有効化と構成
Security Hub との統合を利用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、 AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。
IAM Access Analyzer と Security Hub の両方を有効にすると、自動的に統合が有効になります。IAM Access Analyzer は、Security Hub への検出結果の送信を即時に開始します。
検出結果の送信を停止する方法
Security Hub への結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。
「統合からの検出結果のフローの無効化と有効化 (コンソール)」またはAWS Security Hubユーザーガイドの「統合からの検出結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください 。
