AWS Security HubにおけるOrganizations連携機能の注目アップデート

はじめに

今回は、先日発表されたAWS Security Hubに関するアップデートの中から、Organizations連携の機能について解説します。本稿執筆時点（2025年7月）ではプレビュー機能となっており、正式リリース時には機能が変更される可能性があることに留意ください。

Organizations連携機能の注目アップデート

Organizations連携の観点で筆者が最も注目したアップデートは、Security Hubポリシーの追加です。これは組織ポリシーの一種で、アクセス制御を行うService Control Policy（SCP）などと並列に扱われるポリシータイプです。AWSの公式ドキュメントに記載があるように管理アカウントに対しても適用が可能な組織ポリシーです。

ただし本稿執筆時点では、後述するSecurity Hub Advancedの有効/無効をコントロールできる機能のみの提供となっています。機能としては第18回で紹介した宣言型ポリシーに近く、筆者としてはそちらへの統合もあり得るのではないかと考えています。

設定作業を行う前に、Security Hub Advancedについて説明します。これまでもSecurity Hubでは、GuardDutyやInspectorなどのセキュリティサービスにより検知された情報を集約し、一覧で表示することは可能でしたが、Security Hub Advancedでは可視化機能が強化され、より詳細な情報を確認できるようになりました。

可視化機能の中で最も注目すべき機能は「攻撃パス可視化」機能で、下図のようにAWSリソースの関係性を可視化し、攻撃者がどのように侵入する可能性があるかを確認できます。

• 

  強すぎる権限を持つインスタンスプロファイルを指定していることを示す図

現時点では、どの検出結果に攻撃パス可視化が適用されるかが一見してわかりにくい点が難点ですが、とても強力な機能だと思いますので、今後のアップデートで改善されることが期待されます。

このアップデートに伴い、これまで単にSecurity Hubと呼ばれていた基本機能はSecurity Hub CSPM（Cloud Security Posture Management）と呼ばれるようになりました。

Security Hubポリシーの適用方法

それでは、実際にSecurity Hubポリシーを利用する方法を紹介していきます。第4回で紹介したように、すでにSecurity Hubの機能をセキュリティ関連サービス全般を扱うセキュリティアカウントに委任管理している前提で説明します。

• 

管理アカウントでの操作

まずは管理アカウントでSecurity Hub Advancedを利用するための事前作業を行います。

（1）管理アカウントにログインし、Security Hubのコンソールを開き、Security Hub Advancedのリンクをクリックします。筆者の環境ではSecurity Hub CSPMのメニューに遷移したため、サイドメニューからクリックしましたが、「Security Hubの使用を開始」画面が表示される場合は、「セキュリティハブ-パブリックプレビュー」を選択し、「使用を開始」ボタンをクリックします。

• 

• 

（2）オンボードの画面が表示されますので、内容を確認の上、チェックボックスにチェックを入れたうえで「設定」ボタンをクリックします。なお余談ではありますが、サービスリンクロールに追加で付与される権限はバックアップポリシーに関する操作権限となっており、今後のサービスアップデートにより、Security Hub Advancedでバックアップポリシーの管理も可能になるのではないかと推察されます。

• 

• 

（3）設定が成功したことを確認します。

• 

委任管理者アカウントでの操作

続いて、委任管理者アカウントでの設定作業を行います。

（1）委任管理者アカウントにログインし、Security Hubのコンソールを開きます。管理アカウントと同様に、Security Hub Advancedの利用を開始するための画面が表示されるはずですので、「セキュリティハブ-パブリックプレビュー」を選択し、「使用を開始」ボタンをクリックします。

• 

（2）Security Hubの有効化画面で、「有効化」ボタンをクリックします。

• 

（3）設定が成功したことを確認し、「Security Hubに移動」ボタンをクリックします。

• 

（4）Security Hubのコンソールへ移動します。

• 

（5）サイドメニューから「設定」をクリックし、「ポリシーを作成」ボタンをクリックします。

• 

（6）ポリシーの作成画面が表示されるので、今回は特定のリージョンのSecurity Hub Advancedを有効化するポリシーを作成します。ポリシー名を任意の名前で入力し、リージョンの選択でap-northeast-1（東京リージョン）およびap-northeast-3（大阪リージョン）を選択します。またSecurity Hubポリシーを適用する先を限定するため、「特定の組織単位とアカウント」を選び、ターゲットとして、Users OUを選択し、「次へ」ボタンをクリックします。

• 

• 

（7）ポリシーの確認画面が表示されるので、内容を確認の上、「作成」ボタンをクリックします。

• 

（8）ポリシーの作成が成功したことを確認します。

• 

（9）Organizationsメニューからステップ5～8で作成されたSecurity Hubポリシーを確認することも可能です。Organizationsコンソールを開き、左メニューから「ポリシー」を選択し、「Security Hubポリシー」をクリックします。

• 

（10）先ほど作成したSecurity Hubポリシー名をクリックします。

• 

（11）ポリシーの詳細が表示され、内容を確認することが可能です。

• 

Security Hubポリシーの動作確認

それでは、実際にSecurity Hubポリシーが適用されていることを確認していきます。

メンバーアカウントでの操作

（1）メンバーアカウントにログインし、まずは東京リージョンでSecurity Hubのコンソールを開きます。有効化設定が適用されているため、アクセス直後からダッシュボードが表示されているはずです。

• 

（2）大阪リージョンに切り替えます。同様にダッシュボードが表示されているはずです。

• 

（3）それでは再び東京リージョンに切り替えて、サイドメニューの「設定」-「一般」をクリックし、「無効化」ボタンをクリックします。

• 

（4）ポップアップ画面でテキストボックスに「無効化」と入力し、「無効化」ボタンをクリックします。

• 

（5）Security Hubポリシーにより、無効化ができないことを示すエラーメッセージが表示されます。

• 

（6）これでSecurity Hubポリシーが適用されていることが確認できました。

今後課題となり得るポイント

現時点ではSecurity Hub Advancedはプレビュー機能であることから、正式リリース時に課題となり得るポイントについても考察しておきます。

• Security Hub Advancedは下図のように複数のAWSサービスの依存関係を有しています。これは、攻撃パスを分析する際に、AWS Configが収集したリソース構成情報、Amazon GuardDutyによる脅威検知結果、Amazon Inspectorによる脆弱性スキャン結果などを多角的に利用するためです。

• 

そのため、Security Hub Advanced自体の有効化以外にもこれらのサービスの有効化方式についても整理する必要があります。現時点では下図に表現した方法での有効化となるとは思いますが、多岐にわたる設定が必要となるため、Security Hub Advancedの機能にて一元的にコントロールできる機能の提供が望まれます。

• 

• 今回のアップデートによりSecurity Hubをコントロールする方法は、SCP（Service Control Policies）とSecurity Hubポリシーの2つが出てきました。SCPの機能は強力であり、想定外の影響が出る可能性があるため、本番運用でSCPの追加/変更は心理的なハードルが高くなりがちでした。Security HubポリシーではSecurity Hubに関する制御に限定されるため、そうした心理的なハードルは低くなると考えられます。ただ本稿でも触れていますが、機能としては宣言型ポリシーに類似していると思いますので、今後のアップデートで宣言型ポリシーとの統合もあり得るのではないかと考えています。

まとめ

今回は、AWS Security HubのOrganizations連携機能について解説し、課題となり得るポイントを詳しく考察しました。本記事がOrganizations配下のAWSアカウントの運用管理のお役に立てば幸いです。