BLOGベアサポートブログ

Amazon GuardDutyとは?AWS環境の脅威検出サービスを解説

AWSではさまざまなセキュリティ関連のサービスが提供されています。その1つがAmazon GuardDutyで、AWS環境に対する脅威を迅速に検出して、被害を防ぐサービスです。AmazonはすべてのAWSアカウントにおいて、Amazon GuardDutyを有効にするよう推奨しています。本記事では、Amazon GuardDutyの概要やメリット、検出できる脅威、料金まで詳しく解説します。

Amazon GuardDutyとは

Amazon GuardDutyとは、AWSアカウントとワークロードのログを継続的にモニタリングし、悪意のあるアクティビティや異常な動作を検出してAWS環境を保護するマネージド型脅威検出サービスです。管理画面から有効化するだけで簡単に使用を開始できます。

Amazon GuardDutyの監視対象となるものは次のとおりです。

  • AWS CloudTrail イベントログ
  • AWS CloudTrail 管理イベント
  • VPC Flow Logs
  • DNS ログ

Amazon GuardDutyの仕組み

Amazon GuardDutyは、上記のログを基礎データソースとして自動的に取得してモニタリングします。

悪意のあるIPアドレスやドメインのリストなどの脅威インテリジェンス、また機械学習を使用して分析を行うことで、不審な通信や不正アクセスといった脅威を検出することが可能です。検出結果は、管理コンソールから関連する情報や内容の重要度などと併せて確認でき、対処についてはユーザーが必要性を判断して実行します。

また2022年7月に追加された新機能「Malware Protection」によって、EC2インスタンスやECS・EKSなどのコンテナワークロード上のマルウェアスキャンも可能になりました。

Amazon GuardDutyのメリット

Amazon GuardDutyを有効化する主なメリットは次のとおりです。

AWSアカウント全体の監視と運用ができる

Amazon GuardDutyは、有効化直後からAWSアカウント全体を監視し、総合的に脅威を特定します。幅広いモニタリングで膨大なログを自動的に取得し、脅威インテリジェンスや機械学習によって分析を行います。これにより脅威を確実かつスムーズに検出することが可能です。

また、複数のAWSアカウントの一元管理を行うことも可能です。管理権限を持つアカウントを操作するだけで、Amazon GuardDutyの設定やサービスコントロールポリシーの変更を、登録したアカウント全てに適用させることができます。
運用担当者の負荷を軽減しつつ、セキュリティを強化できます。

脅威の重要度を可視化できる

Amazon GuardDutyは、検出した脅威の潜在的なリスクを1.0〜8.9のスコアで評価し、3段階の重要度で示します。7.0~8.9の値に[High](高)、4.0~6.9の値に[Medium](中)、1.0~3.9の値に[Low](低)の重要度をそれぞれ割り当てます。担当者はこの評価を参考に対処方法や優先順位を判断することが可能です。

重要度
High7.0~8.9
Medium4.0~6.9
Low1.0~3.9

Amazon GuardDutyが検出する脅威

Amazon GuardDutyが検出する具体的な脅威の例としては以下のとおりです。

既知の脅威

主に脅威インテリジェンスによる分析によって検出されます。

  • 不正アクセス(データの探索・取得・変更の送信元を検証する)
  • C&C(Command and Control)サーバによる活動
  • 暗号資産のマイニング
  • 既知のマルウェアに感染したホスト
  • 匿名プロキシ
  • マルウェアやハッキングツールをホストしているサイト

未知の脅威

主に機械学習による分析によって検出されます。

  • ユーザーの異常な挙動(通常時と違うロケーションやアカウントの追加・削除、権限付与の変更など)
  • 異常なトラフィックパターン(普段と異なる転送量や転送失敗、特定のポートへの過剰な通信など)

Malware Protectionとは

Malware Protectionとは、Amazon GuardDutyの新機能として追加されたマルウェア検出機能です。これにより今まで検出していた脅威に加えて、マルウェアも検知できるようになりました。

Malware Protectionは、EC2のインスタンスやコンテナワークロードにアタッチされたボリュームをスキャンすることによりマルウェアを検出します。ただしこれまでのAmazon GuardDutyと同様に、マルウェアを含むすべての脅威に関して、あくまで「検出」を行うだけであることに注意しましょう。マルウェア検出後の隔離やブロックについては、ユーザーが判断して対応する必要があります。

Amazon GuardDutyの料金

Amazon GuardDutyの料金は、サービスログ、イベント、ワークロード、また分析されたデータの量に基づいて算出されます。デフォルトのサービス範囲である基本料金とオプションの保護プラン料金が含まれ、有効化と同時に両方の料金が発生します。

監視対象となるログの量やイベント数によって料金が変動するため、事前の利用料の見積もりが難しいと感じるかもしれません。しかし、Amazon GuardDutyには30日間の無料期間が設けられており、無料期間中の利用量に基づいた想定料金を確認することができます。導入時にはこれを目安にするのがお勧めです。

またAmazon GuardDutyはログの量やイベント数が 一定数を超えると、ボリュームディスカウントが適用されます。料金の詳細はAWSの以下のサイトをご確認ください。

AWS「Amazon GuardDuty の料金」https://aws.amazon.com/jp/guardduty/pricing/(2024/7/4 確認)

まとめ

Amazon GuardDutyは、AWSアカウントとワークロードのログを継続的にモニタリングするマネージド型脅威検出サービスです。さまざまなログを自動的に取得し、脅威インテリジェンスと機械学習による分析を行い不審な通信や不正アクセス、マルウェアなどの脅威を検出します。

また、AWSアカウント全体から検出した脅威の重要度を示すため、運用担当者はこの結果を参考に対処方法や優先順位を判断することが可能です。運用負荷を軽減しつつ、脅威の検知漏れを防いで安全性を高めることができます。自社システムのセキュリティを強化するため、ぜひ検討してみてください。

このエントリーをはてなブックマークに追加

RELATED関連記事