Amazon GuardDutyの説明、AWSのセキュリティの脅威検出、CloudWatch等を用いた対処についての概要

はじめに

システムの写真

今回はAmazon GuardDuty(以後、GuardDuty)についてご紹介していきたいと思います。AWSは、脅威検知のためにGuardDuty、AWS Config、AWS CloudTrail、AWS SecurityHubの4つのサービスを有効化すべきであるとしています。本記事ではGuardDutyと他3つのサービス、またこれに関連するAWSセキュリティ検知サービスとCloudWatch等を用いた対処をあわせて説明したいと思います。

脅威検知の難しさ

脅威検知が難しいといわれているのはなぜでしょうか。昨今システムは複雑化し、大量のログが発生しています。このログから脅威を探しあてることは困難になってきています。また、検知精度を上げることも困難です。厳しければ誤検知、緩めれば脅威を見逃すこととなります。またこのようなセキュリティに関する技術者は多くないのが現状です。「ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能」を導入しているのは、大企業でも29.9%であったのに対し、中小企業は7%と、ログを活用した対策が普及しているとは言い難い状況です。

イベントを収集する

脅威はインシデント(好ましくない出来事)を引き起こす潜在的な原因です。すべてのインシデントはイベントに含まれます。またすべてのイベントはインシデントではありません。膨大なイベントからごく一部のインシデントを検視する必要があります。そのためにはまずイベントを収集する必要があります。これはAWS CloudTrailとAWS Configによって行います。AWS CloudTrailは自分のAWSアカウントで発生したAPIコールの全記録になります。そもそもAWSが提供するサービスはほぼ全部がAPIとして提供されており、自分の環境でアクセスされたAWSサービスのほぼ全てがCloudTrailに記録されます。AWS Configは、イベントの記録ではなく、選択されたリソース(EC2サーバなど)の構成情報の記録や監視ができます。これは、一般的に構成管理・変更管理に必要とされる情報です。

Amazon GuardDuty(膨大なログから脅威を検知する)

GuardDutyとは、セキュリティの観点からセキュリティリスクを検知・可視化するAWSマネージドサービスです。分析のソースにはVPC FlowLogs(VPCネットワークインターフェースでのIP通信ログ)、前述したAWS CloudtTrailEventLogs、DNS Logsを利用し、メタデータの連続ストリームを分析します。悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを使用して脅威を認識します。脅威の種類としては、(具体例)悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威が挙げられます。脅威はHIGH、MEDIUM、LOWに分類され、脅威検出レポートの画面から脅威の内容の詳細を確認することができます。脅威は数十のカテゴリ(バックドア等)に分類されて表示されます。

AWS Security Hub

AWS Security Hubは、AWS環境におけるセキュリティとコンプライアンス状態を一元表示します。GuardDutyだけにとどまらず、Amazon Inspector(EC2インスタンスへの自動セキュリティ評価)、Amazon Macie(機械学習による機密情報の検出、分類、保護)、AWS Config(AWSアカウントのセキュリティの状態)、その他サードパーティの製品(ウイルス対策ソフト、IDS/IPSなど)などの情報を集約して表示、これにより、セキュリティの傾向を分析し、重要度の高いセキュリティ課題を特定できます。

脅威への対処

CloudWatch等を用いた対処についてご紹介いたします。検知した脅威への手動による対処では、AWS Security Hubは脅威への対処の起点となります。AWS Security Hubで確認されたinsight(脅威)をセキュリティ担当者は調査し、対処が必要なものなのか判断します。インシデントにつながる可能性あると判断すれば、仮にEC2が侵害されている可能性があるものであったならば、EC2インスタンスをストップするなどの対処を行うこととなります。具体的な処理としては、AWS Security HubのCustomActionから、Amazon CloudWatch Eventsを通してEC2インスタンスを停止するAWS Lamdaを実行する流れとなります。またこれは検知した脅威への手動による対応となりますが、できることなら自動での脅威への対応が望ましいことから、イベントドリブンな脅威への対応もあります。AWS Config RulesやAmazon CloudWatch Eventsを活用し自動で脅威に対して対応するものです。AWS Config Rulesとは継続的にリソース変更を監視しあるべき状態になっているかどうかを継続的に自動で評価します。例えば公開状態になっているS3バケットはないか、すべてのIAMユーザーでMFAが有効になっているかなどです。80以上のAWS提供のマネージドルールがありすぐに利用可能です。

おわりに

今回はGuardDutyの説明を通して、AWSのセキュリティの脅威検出、CloudWatch等を用いた対処についての概略を記載しました。GuardDutyは、他のAWSのサービスとも連携して、AWSのセキュリティを高めることができる大変便利な機能となっています。ぜひこの機会に導入を検討してみてはいかがでしょうか?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です