OPS

Amazon GuardDutyを利用するべき3つの理由とは?

AWSユーザーがAmazon GuardDutyを利用するべき3つの理由とは?

2021.10.28

本記事のポイント

Amazon GuardDutyとは、AWS環境やAWSアカウントに対するサイバー攻撃を検出するソリューションです。本記事では、筆者がAWSユーザーがAmazon GuardDutyを利用するべきだと考える3つの理由を、概要説明と合わせてご紹介いたします。

攻撃や脅威の検知例も記載しており、AWSセキュリティ対策にお悩みの方は特に必見の内容となっています。ぜひご覧ください。



はじめに

Amazon Web Services(以下、AWS)を利用している皆様の中には、「セキュリティ対策に不安があるけど、できるだけ手間をかけたくない」「セキュリティ対策はしているが、実際に対策ができているのか不安」とお悩みの方も多くいらっしゃるのではないでしょうか。

そこで今回は、AWSのセキュリティサービスであるAmazon GuardDuty(以下、GuardDuty)のご紹介と、AWSユーザーがGuardDutyを利用するべき3つの理由を解説します!

記事前半ではGuardDutyの概要について、後半ではGuardDutyの設定方法と攻撃、脅威の検知例をお伝えします。ぜひご覧ください。


> GuardDutyで検知したセキュリティ脅威。対応方法をご提案! 詳細はこちら

Amazon GuardDutyの概要

GuardDutyとは、以下のAWSサービスを機械学習で分析することで攻撃や脅威の検知を行う継続的なセキュリティモニタリングサービスです。

・ VPCフローログ
・ AWS CloudTrail
 ・ 管理イベントログ
 ・ S3データイベントログ
 ・ DNSログ

参考サイト
Amazon GuardDutyとは (Amazon GuardDutyユーザーガイド)

Amazon GuardDutyを利用するべき3つの理由とは?

GuardDutyの概要についてご理解いただいたところで、AWSユーザーがGuardDutyを利用すべき3つの理由をお伝えします。

1. AWS アカウント全体で継続的に監視できる

「セキュリティ対策をリソースごとに考えなければいけないのが手間」という方も多くいらっしゃるのではないでしょうか。 GuardDutyは、AWSアカウント全体のセキュリティに関して監視することができます。※異なるリージョンでは別途設定が必要です。

2. 脅威の通知と対応が自動化できる

AWSやSaaSなどで発生するイベントを利用して様々なAWSサービスとつなげる「Amazon EventBridge」やアプリケーションからの通知を受け取ることができる「Amazon SNS」、イベント発生時にコードを実行する「AWS Lambda」などを利用することで、脅威検知の通知と修復対応までを自動化する事ができます。

3. 導入が容易である

上に記載した2つのメリットも強力ですが、筆者がAWSユーザーの誰もがGuardDutyを利用するべきだと考えるもっとも重要な理由の一つが、導入の容易さです。

GuardDutyはコンソールからワンクリックで設定することができるのです。本記事でも実際にAmazon GuardDutyを設定してみますので、ぜひ参考にしてみて下さい。


> GuardDutyで検知したセキュリティ脅威。対応方法をご提案! 詳細はこちら

攻撃、脅威の検知

では実際にGuardDutyを利用して攻撃、脅威の検知を実施してみましょう。

準備

GuardDutyを有効化。
AWSサービス一覧から「GuardDuty」を選択。

GuardDutyを有効化

「今すぐ始める」をクリック。

GuardDuty - 今すぐ始める

GuardDutyの有効化をクリック。

GuardDutyの有効化をクリック

設定は以上です。簡単ですね!

攻撃、脅威検知

今回は攻撃、脅威の例としてAWS CloudTrailの証跡を無効化してみます。

ログ記録を無効化しアクティビティの形跡を消すことで、攻撃者がAWSリソースを悪意のある目的で使用した際にユーザーからの追跡を困難にするケースです。今回は検証用に用意した以下の証跡を無効化します。

GuardDuty - AWS CloudTrailの証跡を無効化1

証跡名をクリックし、遷移した画面の「ログ記録の停止」をクリック。

GuardDuty - AWS CloudTrailの証跡を無効化2

ステータスがオフとなりました。

GuardDuty - AWS CloudTrail ステータスオフ

GuardDutyのコンソールを確認。
30分程で検知しました!

GuardDutyのコンソールを確認、検知完了

検知内容は脅威の概要だけではなく、影響を受けるリソースや重要度なども表示されます。
詳細については以下を参照してみてください。

結果の詳細 (Amazon GuardDutyユーザーガイド)


> GuardDutyで検知したセキュリティ脅威。対応方法をご提案! 詳細はこちら

自動化に向けて

前節ではもっともシンプルな攻撃、脅威検知の例をお伝えいたしました。前節の例では検知結果をGuardDutyコンソールから確認し内容に応じて手動で対応策を実施する必要がありました。

しかしGuardDutyをAWS EventBridge(以下EventBridge)と連携させることで様々なソリューションを自動化する事ができます。

例えばEventBridgeとAWS SNSを組み合わせることで検知内容をメール送信することができます。他にはEventBridgeとAWS Lambdaを組み合わせることで検知内容に合わせて任意のプログラムを実行することだってできます!

EventBridgeについては以下を参照してみてください。

Amazon EventBridgeとは (Amazon EventBridgeユーザーガイド)

まとめ

今回は、Amazon GuardDutyの概要とAWSユーザーが利用するべき理由について解説しました。またさらなる自動化へ向けてEventBridgeを活用することで検知内容をメール送信できることや攻撃、脅威への対応が自動化できることも紹介しました。

Amazon GuardDutyは、お伝えしました通り導入が簡単かつ様々なソリューションに対応できるため、皆様もお使いのAWS環境に導入を検討してみてはいかがでしょうか?

最後に、当社ではAmazon GuardDutyでセキュリティ調査結果が送られてきたけど「英語で書いてあるからよく分からない」や「どこが危険か分かったけど、具体的な対策が分からない」などのお悩みの方に最適なサービス Safing をご提供しています。 Safing は、脆弱性や脅威を検知するだけではなく、対応策まで記載された日本語レポートを自動でご提供します。

メールだけではなくslackやオートコールにも対応した24時間365日のセキュリティ検知自動通知と対応策が記載されたレポートの提供を包括したサービスとなっておりますので、ご興味のある方がいらっしゃいましたら、ぜひお気軽にご相談ください。

日々AWSを利用している皆様のセキュリティ対策を一緒に考えていければと思います!
最後までお読みいただき、ありがとうございました。


> GuardDutyで検知したセキュリティ脅威。対応方法をご提案! 詳細はこちら