トップ > AWS Configレコーダー不要でCSPM即稼働?検証してみた

AWS Configレコーダー不要でCSPM即稼働?検証してみた

記事タイトルとURLをコピーする

はじめに

今月誕生日の人、おめでとうございます🎉 エデュケーショナルサービス課の森純子です。

AWS Summit Japan 2026まであと3週間ですね!気になるセッションの予約は完了してますか? ハンズオンセッションやGameDayは速攻で満席になりましたね…来年こそは!と思っています。

さて、2026年6月2日、AWS ConfigがInternal Service-Linked Rulesをサポートしました。

aws.amazon.com

このアップデートにより、Security Hub CSPM(Cloud Security Posture Management、以下CSPM)が、AWS Configのレコーダー設定なしで稼働するようになりました。

本記事では以下を解説します:

  1. CSPMとは何か
  2. 以前は何が問題だったのか
  3. 今回のアップデートで何が変わったか
  4. 実機検証の結果

詳細

CSPMとは

CSPM(Cloud Security Posture Management)は、クラウド上のリソースがセキュリティ的に正しく設定されているかを自動で継続チェックする仕組みです。

一般的なCSPMのチェック項目:

  • 暗号化が有効か
  • MFA(多要素認証)が設定されているか
  • ネットワークのアクセス制御が適切か

AWSの場合、Security Hub CSPMがこの役割を担い、AWSリソース固有のチェックを行います:

  • Amazon S3バケットがパブリック公開されていないか
  • IAMユーザーのMFAが有効か
  • Amazon EBSボリュームが暗号化されているか
  • Amazon RDSインスタンスが公開されていないか
  • セキュリティグループで0.0.0.0/0にSSHが許可されていないか

これらを数百項目、全リソースに対して自動で回し続けます。

日本のお客様では、次のユースケースで導入率が高そうです:

  • 金融・保険 — FISC安全対策基準への対応
  • 医療 — 3省2ガイドライン対応
  • 上場企業 — J-SOX(IT統制)の証跡
  • 官公庁・自治体 — ISMAPクラウドサービスリスト対応
  • マルチアカウント運用 — 全アカウントのガバナンス統一

以前は「CSPMを動かすにはAWS Configのレコーダーが必要だった」

Security Hub CSPMは、裏側でAWS Configのルールを使ってリソースの設定を評価しています。 そのため以前は、CSPMを動かすために以下が必要でした:

  1. AWS Configのサービスリンクレコーダーを設定する
  2. 記録対象のリソースタイプを正しく設定する
  3. その記録に対してAWS Config課金が発生する

AWS Control TowerやAWS Organizationsで自動展開している場合、設定の手間は少ないものの、AWS Configのレコーダー設定に依存していること自体がリスクでした。

具体的には:

  • AWS Configのレコーダーで記録対象のリソースタイプが不足していると、CSPMがWARNINGを出して正しく評価できない
  • レコーダーの設定不備に気づかず、CSPMがINCOMPLETEのまま放置されるケースも発生していた

今回のアップデート「Internal Service-Linked Rules」

AWS ConfigがInternal Service-Linked Rulesをサポートしました。 これにより、Security Hub CSPMがAWS Configのレコーダーなしで、内部的にルール評価を完結させるようになりました。

ポイント:

  • AWS Configのサービスリンクレコーダーも顧客管理レコーダーも不要
  • 顧客管理のAWS Config環境には一切干渉しない
  • CSPM評価分のAWS Config課金が発生しない
  • 評価結果はSecurity Hub CSPMに直接配信される

一言で言うと、Security Hub CSPMが顧客のAWS Config設定に頼らず、自立稼働するようになったということです。 本当にAWS Configのレコーダーなしで動くのか、実際に検証してみました。

やってみた

環境

  • Security Hub:有効化してない状態
  • Config:レコーダー設定オフ
手順
  1. Security Hubコンソールを開く
  2. 「使用を開始」をクリック
  3. セキュリティ機能で「カスタマイズ機能」を選択

  4. 次の通り設定:

  5. セキュリティ管理:有効(デフォルト)

  6. Security Hub CSPMによる体制管理:有効
  7. Amazon GuardDutyによる脅威分析:全てOFF

  8. Amazon Inspectorによる脆弱性管理:EC2スキャン、ECRスキャン、Lambdaスキャン(基本機能のためOFFにできず有効のまま)

    1. リージョンで「特定のリージョンを有効にする」を選択し、ap-northeast-1のみ指定
    2. リソースタグ:Name = security-hub-test
    3. 「Security Hub の有効化」をクリック
結果
  • Security Hubの体制管理(作成者:AWS Security Hub CSPM)が100%カバーで稼働

Security Hub 設定後画面

  • AWS Configのレコーダーは停止したまま

AWS Config顧客レコーダー画面

AWS Configサービスリンクレコーダー画面

つまり、AWS Configのレコーダーが一切動いていない状態で、Security Hub CSPMが正常稼働していることを確認できました。

まとめ

今回のアップデート「AWS Config Internal Service-Linked Rules」のポイントを整理します。

恩恵

  • 新規アカウントはSecurity Hubを有効化するだけでCSPMが即稼働する
  • AWS Configのレコーダーの設定不備でCSPMが動かなかった、という事故がなくなる
  • CSPM評価分のAWS Config課金がなくなる

注意点

  • AWS Config課金が減る面もありますが、大半のアカウントはAWS Configをインベントリ管理や監査証跡など他の目的でも使っているため、コスト面のインパクトは限定的です
  • メインの恩恵は運用負荷の軽減ですね

マルチアカウント環境を運用保守されている方にとっては、新規アカウント作成後の初期設定がいち工程楽になるアップデートだと思います。

この記事がどなたかの運用改善のお役に立てれば幸いです。

クラウド活用の「ちょっとした不安」や
「もっと良くしたい」に応えます
サーバーワークスは、AWSの構築から運用まで
幅広く支援しています
資料ダウンロード相談する

swx-sumiko-mori