今回の記事では、Security Hubのダッシュボードの見方について紹介します。
Security HubはGuardDuty、Security Hub CSPM、Inspectorの検出結果をまとめて表示するサービスです。
以下の画像のように、Security Hubには「脅威」「露出」「脆弱性」という項目があります。脆弱性については、EC2のOSやミドルウェアにおける脆弱性の検出結果だと理解しやすいと思いますが、「脅威」と「露出」については、その違いが分かりにくいのではないでしょうか。
🔴 脅威 (Threat)とは
「攻撃者や悪意ある活動が実際に検出された状態」です。
不審なAPIコール、マルウェア、不正アクセスの試みなど、現在進行中または発生した悪意ある活動を指します。すでに攻撃が成立している可能性があり、かなり危ない状況です。例:GuardDutyが検出した「異常なIPからのS3アクセス」「クレデンシャルの漏洩利用」など。
対応の緊急度:高い(すでに攻撃が始まっている可能性)
カウントアップの項目がLowであっても、脅威の場合はすぐに対処したほうがいいでしょう。
🟠 露出 (Exposure)とは
「外部からアクセス可能になっている、意図しない公開状態」です。リソースがインターネットや外部に不必要に露出している設定ミスや状態を指す。例:S3バケットのパブリック公開、セキュリティグループで0.0.0.0/0を許可しているEC2、パブリックなRDSインスタンスなど
対応の緊急度:中〜高(攻撃の入口になりうる)
🟡 脆弱性 (Vulnerability)とは
「ソフトウェアやシステムに存在する既知の欠陥(CVE等)」です。OS・ライブラリ・アプリケーションに含まれる既知のセキュリティ上の弱点を指します。例:Amazon InspectorがEC2やコンテナイメージで検出した「CVE-XXXX-XXXX(重大度:Critical)」な
対応の緊急度:CVSSスコアや悪用可能性による
まとめ比較
表にまとめるとこんな感じです。
| 項目 | 脅威 | 露出 | 脆弱性 |
|---|---|---|---|
| 本質 | 悪意ある活動の検出 | 意図しない公開状態 | ソフトウェアの欠陥 |
| 主な検出元 | GuardDuty | Config, Security Hub | Inspector |
| 緊急度 | 高 | 中〜高 | スコア依存 |
| 例え | 泥棒が侵入中 | 鍵がかかっていないドア | 錠前に欠陥がある |
露出が検出された場合は、速やかに対処するようにしましょう。