コンテンツにスキップ
Reports
Classmethod Security Hub Unused Access

Security HubでIAM Access Analyzerの未使用アクセスFindingsが追加コストなしで使えるようになりました

要約

2026年5月20日頃にリリースされたSecurity Hubアップデート:IAM Access Analyzerの「未使用アクセス検出」(従来は有料機能)がSecurity Hub基本プランで追加コストなく利用可能に。

検出される4つのFinding type(いずれも過去90日間未使用が対象):

  • UnusedIAMRole: 90日間Assume Roleされていないロール
  • UnusedIAMUserAccessKey: 90日間使われていないアクセスキー
  • UnusedIAMUserPassword: 90日間コンソールサインインなし
  • UnusedPermission: 付与されているが90日間未使用の個別IAM権限

仕組み

  • Security Hub有効化で サービスリンクアナライザー がIAM Access Analyzerに自動作成
  • アナライザーはus-east-1で実行(Security Hubがus-east-1で有効でなくても動作)
  • 未使用アクセスのfindingsは全リージョンのSecurity Hubに複製・表示
  • 評価は24時間おき、次の評価時に利用実績があればfindingは自動解決

ポリシー推奨機能

  • UnusedPermission に対して最小権限ポリシーをオンデマンド生成(GenerateRecommendedPolicyV2 API、2026年5月5日追加)
  • 「改善」タブを開いた時点で生成開始(数十秒かかる)

露出(Exposure findings)との連携:EC2・Lambda・ECSサービス・EKSクラスター・IAMユーザーに対しては未使用権限情報がExposure findingの補足情報として付与

Security HubのCNAPP/CIEM化:今回のアップデートは「CIEM(Cloud Infrastructure Entitlement Management)への第一歩」と公式が明言

Classmethod Pubsub Ai Inference SmtReports