脅威検出の味方!Amazon GuardDutyとは

2024.08.21
マルチクラウド 基礎 セキュリティ AWS クラウド活用
脅威検出の味方!Amazon GuardDutyとは

こんにちは。技術本部の技術戦略推進部に所属している髙橋 洋樹です。私が所属する部署は全社の開発技術力の強化をミッションとしています。私はその中でもパブリッククラウドに関する全社共通基盤の企画・運用、アーキテクトの育成、ガイドラインの策定などを推進しており、過去に以下のブログを執筆しています。よろしければ併せてご覧ください。

さて今回はAWSのセキュリティサービス「Amazon GuardDuty」を取り上げます。昨今、ランサムウェアや不正ログインといったサイバー攻撃が増加しています。これらの攻撃はクラウドにおいても例外なく行われており、クラウド利用者は責任共有モデルに基づいて自らの責任範囲について適切に対処していく必要があります。

AWSはクラウドのセキュリティを最優先事項と捉え、利用者の役に立つ様々なセキュリティサービスをリリースしています。2017年末にリリースされたAmazon GuardDutyもその一つです。リリースから約6年が経過し認知度や活用度は上がってきた一方で、いまだに有効化していない、あるいは有効化しただけという方も中にはいらっしゃいます。ぜひこの機会にAmazon GuardDutyの理解を深めていただき、運用されているクラウド環境をよりセキュアに保つための一助になればと思います。

なお今回はAmazon GuardDutyのサービス概要や必要性についてご紹介し、次回のブログでより高度な活用方法について述べたいと思います。

Amazon GuardDutyの重要性

従来のセキュリティ対策は、ファイアウォール(FW)などによる境界防御が中心でした。しかし、近年のサイバー攻撃は高度化し、国家レベルの資金と人材が投入される規模の事案も発生しており、こうした状況下では、企業の防御に完全を期すことは難しくなっています。

そこで、昨今注目されているのが「攻撃者が侵入することを前提」としたセキュリティ対策です。具体的には、システムへの不正アクセスをいち早く察知する「脅威検出」の考え方が重要視されています。この考え方は、米国立標準技術研究所(NIST)が公開している「NIST CSF 2.0」というサイバーセキュリティのフレームワークにも記されています。

図1:NIST CSF 2.0
図1:NIST CSF 2.0

このフレームワークは「特定」や「防御」といった予防策だけでなく、「検出」から「復旧」までの事後対応にも焦点を当てている点が、ISMS(情報セキュリティマネジメントシステム)など従来のセキュリティの枠組みと比較して大きく異なります。

そして、まさにこの「検出」を支えるサービスとなるのが、AWSが提供するマネージド型脅威検出サービス「Amazon GuardDuty」です。Amazon GuardDutyは、AWSアカウントやEC2等のリソースに対するユーザの操作や通信などのログを継続的にモニタリングし、機械学習を用いて悪意のあるアクティビティや異常な動作をリアルタイムで検出します。そのため、ユーザは初動対応を素早く実施することが可能となり、インシデント発生時の影響を少なく抑えることが期待できます。では引き続き、Amazon GuardDutyがどのような脅威を検出してくれるのかを見ていきましょう。

図2:Amazon GuardDutyの仕組み
図2:Amazon GuardDutyの仕組み
引用:Amazon GuardDuty

Amazon GuardDutyの脅威検出

基本機能

Amazon GuardDutyは主な基本機能として、下図に示す「悪意のあるスキャン」、「インスタンスへの脅威」、「アカウントへの脅威」を検出することができます。具体的な脅威としてはそれぞれポートスキャン、DDoS、CloudTrailの無効化などが挙げられます。検出にはVPC Flow Logs、CloudTrail、DNSログが利用されています。ログはAmazon GuardDutyの内部で取得されているので、各機能を利用者側で有効化する必要はありません。

引用:Amazon GuardDuty - AWS Black Belt Online Seminar

脅威が検出された場合、Amazon GuardDutyのダッシュボードで結果を確認することができます。検出結果から確認できる内容は脅威によって異なりますが、例えばCloudTrailのロギングが無効化された場合、いつ、誰が、どのIPから、無効化操作をしたのか確認できます。管理者はこの結果をもとに脅威に対応します。

引用:ぎりぎり20分で話し切るAmazon GuardDutyによる脅威検知

保護プラン

Amazon GuardDutyには基本機能の他に保護プランというものがあります。これは追加料金を払うことで、Amazon GuardDutyが保護する対象のリソースを広げるものです。2024年7月現在では以下の保護プランが存在します。

名称 機能
S3 Protection S3 Protectionオブジェクトのアクセスログから脅威を検出します。
EKS Protection EKSクラスターの監査ログから脅威を検出します。
ランタイムモニタリング EC2やECS/EKSにエージェントをデプロイして、脅威を検出します。
Malware Protection(for EC2/for S3) Malware Protection(for EC2/for S3)EC2で脅威が検出された場合、EBSのスナップショットからMalwareの検出を行います。また、S3に新規にアプロードされたオブジェクトに対してMalwareの検出を行います。
RDS Protection RDS Protection RDSのログインイベントを監視して脅威を検出します。AuroraとRDS PostgreSQLで利用できます。
Lambda Protection LambdaのNWログを監視して脅威を検出します。

保護プランはオプションで、いつでも有効化/無効化が可能です。また、30日間の無償試用期間もあるため、他のセキュリティツールで対策ができている、当該サービスの利用予定が一切ない、など無効化する明確な理由がない場合は有効化を検討しましょう。なお、これからAmazon GuardDutyを有効化する場合、「ランタイムモニタリング」以外の保護プランは既定で有効化されています。古いAWSアカウントの場合は既定で有効になっていない項目がある可能性が高いです。設定を改めて見直されることをお勧めします。

おわりに

今回はAmazon GuardDutyの必要性や概要・機能についてご紹介しました。まずはサービスの有効化や各機能がどこで確認できるのかなどを試してみてください。次回は今回の内容を踏まえた上で、Amazon GuardDutyのより高度な活用方法についてご紹介したいと思います。また当社では、AWS包括的技術支援サービスを提供しています。AWSのセキュリティ向上に向けてお困りのことがございましたらこちらからお気軽にお問い合わせください。

  • 記載されている会社名、製品名は各社の商標または登録商標です。

関連ページ

おすすめブログ

まる見え!パブリッククラウド移行(1):基礎知識と米国メガクラウド4社の比較
まる見え!パブリッククラウド移行(1):基礎知識と米国メガクラウド4社の比較
パブリッククラウドと聞いて、真っ先に思い浮かぶのが米国メガクラウド4社ではないでしょうか?本ブログでは、パブリッククラウドへの移行を検討する際に重要となる基礎知識や各社のサービス特長を解説します!特に4社のサービス比較表は必見です。ぜひご覧ください!
AWSコンテナ入門(1):Amazon ECSとAmazon EKSの役割と概要
AWSコンテナ入門(1):Amazon ECSとAmazon EKSの役割と概要
「Amazon ECS」と「Amazon EKS」というサービスをご存じでしょうか?どちらも、AWSが提供するコンテナ関連のサービスなのですが、名前も似ており使い分けがいまいちピンと来ていない方も多くいらっしゃることと思います。これを機に、ECSとEKSの役割や特長について学んでみませんか?