AWS GuardDutyの利用メリット4つ｜特徴や使い方も解説

AWS GuardDutyとは

AWS GuardDutyとは、AWSのアカウントやワークロード、保存されたデータに対する攻撃を検知する脅威検出サービスです。 AWS GuardDutyを利用することで、AWS環境などセキュリティ状況をモニタリングし、通知してくれるようになります。 また、AWS GuardDutyは、AWSユーザーであれば誰でも手軽に利用できます。

AWS GuardDutyの利用料金

AWS GuardDutyは、月額での課金制となっています。 東京リージョンの場合、AWS CloudTrail管理イベント分析は100万イベントあたり4.72米ドル、AWS CloudTrail S3データイベント分析は最初の5億イベントまでは100万イベントあたり1.04米ドル、VPCフローログとDNSログ分析は最初の500GBまではGBあたり1.18米ドルとなっています。

AWS GuardDutyの必要性3つ

AWSをより安全に利用するには、AWS GuardDutyを利用する必要があります。 AWS GuardDutyは、AWSユーザーであれば必ず利用すべきサービスであると言えます。しかしAWS GuardDutyを利用する必要性について、よく理解していないという方も多いのではないでしょうか。 ここではAWS GuardDutyの必要性3つをご紹介しますので、ぜひ参考にしてみてください。

AWS GuardDutyの必要性1：AWSアカウント自体への攻撃リスク

AWS環境のセキュリティリスクとして、アカウント自体が攻撃を受けるリスクがあります。 ウィルスなどによる攻撃は一般的にリソースに対する攻撃だと思われがちですが、攻撃を受ける可能性があるのはAWSアカウントも同じです。 具体的にはIAMのクレデンシャル情報が狙われており、IAMのクレデンシャルを盗まれると高いインスタンスタイプのEC2を使用したコインマイニングなどが行われる可能性があります。

AWS GuardDutyの必要性2：AWS構築環境への標的が増えている

AWS環境のセキュリティリスクとして、AWSリソースに対する攻撃が増えているというリスクがあります。 クラウドサービスであるAWS環境はインターネットからアクセスできるため、攻撃の標的となるリスクはオンプレミスよりも高い状態です。 もちろん適切なセキュリティ設定を行うことで高いセキュリティを保持することも可能ですが、全てのユーザーが高度なセキュリティを維持できるわけではありません。

AWS GuardDutyの必要性3：セキュリティの検証まで手が回らない

AWS環境は晒されている攻撃リスクに対して、きちんとしたセキュリティ検証を行うまで手が回っていません。 攻撃リスクに関しては根本的に対策を実施する必要がありますが、AWS側ですぐに対応ができるというわけではありません。 そのため、AWSユーザー側でAWS GuardDutyを利用し、脅威を検知することで被害を防いだり、軽減したりする必要があります。

AWS GuardDutyの利用メリット4つ

AWS GuardDutyを利用することで、さまざまなメリットがあります。 ここまでAWS GuardDutyの必要性についてご紹介しましたが、利用することで具体的にどのようなメリットがあると考えられるのでしょうか。 ここではAWS GuardDutyの利用メリット4つをご紹介しますので、ぜひ参考にしてみてください。

GuardDutyの利用メリット1：誰でも簡単に利用できる

AWS GuardDutyはAWSを利用しているユーザーなら、誰でも簡単に利用可能です。 AWSを利用していれば、AWSマネジメントコンソールから数回クリックするだけでAWS GuardDutyを有効化することができます。 また、複数アカウントのサポートも提供しているため、既存アカウントも新規アカウントもすべて適用でき、簡単に管理可能です。

GuardDutyの利用メリット2：手間がかからない

AWS GuardDutyは、ソフトウェアをインストールするような手間がかかりません。 AWS GuardDutyはAWSが提供するクラウドコンピューティングサービスとなっているため、ソフトウェアやハードウェアをデプロイしたり、ユーザー自身で維持管理するような手間が発生しません。 また、複数あるアカウント全体での調査結果も、1つのAWS GuardDuty管理アカウントにまとめます。

GuardDutyの利用メリット3：従量課金制である

AWS GuardDutyは、従量課金制の料金モデルになっています。 AWS GuardDutyは他の多くのAWSのサービスと同様に、使用した分だけ請求される従量課金制となっています。そのため、オンプレミスのように初期コストが不要で、月額制のように使っていない分があっても支払うような無駄な費用が発生することもありません。

GuardDutyの利用メリット4：無料トライアルがある

AWS GuardDutyは、無料トライアルも用意されています。 従量課金制なので、月々どの程度使用したらいくらかかるかという目安はありますが、実際に使用した場合のコストがどの程度になるのかわかりにくいという方も多いでしょう。 そういった場合でも、AWS GuardDutyなら30日間の無料トライアルを利用することができるため、実際に使用してみることで簡単に費用を算出することができます。

AWS GuardDutyの特徴5つ

AWS GuardDutyには、5つの機能的な特徴があります。 AWS GuardDutyを利用することで、自身が管理しているAWSアカウントやリソースに対して具体的にどのようなことができるのかわからないという方も多いでしょう。 ここではAWS GuardDutyの特徴5つをご紹介しますので、どのような特徴があるのか参考にしてみてはいかがでしょうか。

AWS GuardDutyの特徴1：セキュリティ状況のモニタリング機能

AWS GuardDutyでは、AWSアカウントでのセキュリティ状況をモニタリングすることができます。 Amazon GuardDutyはユーザーのAWSアカウントやワークロード、Amazon S3で保存しているデータを保護するために、不正な動作や悪意のある行動をモニタリングするものです。 また、セキュリティ状況を継続的にモニタリングすることで、どのような脅威があったのか特定できます。

AWS GuardDutyの特徴2：AWS上で有効化が可能

AWS GuardDutyは、AWSマネジメントコンソールで有効化できます。 前述のとおり、AWS GuardDutyは特別な操作や手間をかけることなく、AWS上で簡単に有効化できます。また、複雑な設定を行う必要もなく、AWSマネジメントコンソールから有効化するだけですぐに利用を開始することができます。

AWS GuardDutyの特徴3：ログを機械学習で分析する

AWS GuardDutyは、ログを継続的に分析することができます。 AWS GuardDutyでは、AWS CloudTrailのイベントログやAmazon VPCフローログ、DNSログといったデータソース全体でのログを収集し、何百億件ものイベントを機械学習によって分析しています。 また、ログを分析した結果、攻撃と予測できる状況を検知することが可能になります。

AWS GuardDutyの特徴4：検知状況の一元管理

AWS GuardDutyは、エンタープライズ規模の一元管理が可能です。 AWS GuardDutyはAWS Organizationsを使用することで、複数アカウントへのサポートも実現します。複数アカウントへのセキュリティのモニタリングを提供し、アカウント全体でのレポートを1つのアカウントに集約できます。 そのため、既存のエンタープライズ規模のイベント管理システムと統合することも容易です。

AWS GuardDutyの特徴5：AWSの他のソリューションと併用できる

AWS GuardDutyは、他のAWSサービスとも併用可能です。 AWS GuardDutyは単体で防御を行うことはできませんが、Amazon CloudWatchイベントとAWS Lambdaを組わせることで、自動修復アクションが実施できるようになります。 そのため、他のAWSソリューションと併用することで、よりセキュリティの強化が期待できます。

AWS GuardDutyの使い方5つ

AWS GuardDutyの使い方をご紹介します。 AWS GuardDutyを利用する場合は、AWS上で簡単に有効化できることをご紹介しましたが、より詳しい使い方について知っておきたいという方もいるでしょう。 ここではAWS GuardDutyの使い方5つをご紹介しますので、ぜひ参考にしてみてはいかがでしょうか。

AWS GuardDutyの使い方1：有効化する方法

AWS GuardDutyを有効化する場合、AWSマネジメントコンソールにある有効化ボタンを押しましょう。 前述のとおり、有効化する方法は非常に簡単で、AWSマネジメントコンソール上でクリックするだけで簡単に有効化できます。 ただし、通知設定などは別途必要になります。また、この方法だと各リージョンで実施する必要があるため、可能であれば全リージョンで有効化する方法を実施するのがおすすめです。

全リージョンで有効化するには？

AWS GuardDutyを全リージョンで有効化する場合、StackSetsなどを使用する方法があります。 現行の機能では全リージョンで有効化するには手動で操作しなければいけませんが、CloudFormationのStackSetの機能を利用し、全リージョンでの有効化と通知の設定まで行えるテンプレートを作成している人もいます。 そのため、StackSetsや提供されているテンプレートを利用するのがおすすめです。

AWS GuardDutyの使い方2：通知の設定方法

AWS GuardDutyの通知の設定は、CloudWatchルールを使用しましょう。 CloudWatchのサービス画面の「ルール」から「ルールの作成」を選択し、イベントソースに「GuardDuty」「GuardDuty Finding」を選択することで、「ターゲット」であるSNSへ検知結果を渡せるようになります。

AWS GuardDutyの使い方3：複数アカウントの管理設定方法

AWS GuardDutyを複数アカウントで設定する場合、メンバーアカウントとして招待する方法があります。 AWS GuardDutyでマルチアカウントをまとめるには、AWS GuardDutyを有効にしたアカウントをマスターアカウントに設定し、他のアカウントをメンバーアカウントとして招待しましょう。 こうすることで、通知をマスターアカウントで受け取ることができます。

AWS GuardDutyの使い方4：VPCフローログを使う場合

AWS GuardDutyでVPCフローログを使う場合、解析対象のVPCフローログの設定を行います。 VPCフローログとは、VPCネットワークの間を行き来するIPトラフィックをキャプチャできる機能です。AWS GuardDutyでは、VPCフローログを継続的に分析することができます。

出力設定のやり方

解析対象であるVPCフローログの出力設定を実施しましょう。 VPCフローログでログを出力できるように設定を有効にしましょう。フローログはAmazon CloudWatchやAmazon S3に発行することもできます。また、AWS GuardDutyは取得したログを保存せずに分析にのみ使用しています。

AWS GuardDutyの使い方5：AWS CloudTrailを使う場合

AWS GuardDutyでAWS CloudTrailを使う場合、解析対象のVPCフローログの設定を行います。 AWS CloudTrailとは、指定したイベントのログを自動的に残す機能です。AWS GuardDutyではCloudTrailイベントを継続的に分析することができます。

証跡作成の設定のやり方

解析対象であるCloudTrailの証跡の作成を行いましょう。 AWSマネジメントコンソールでCloudTrailコンソールを開き、証跡セクションから「Create trail」を選択します。さらに「Trail name」で名前を設定し、「Storage location」で「Create new S3 bucket」を選択します。 このような手順で作成すると、作成した新しい証跡が「Trails」に表示されます。

AWS GuardDutyでセキュリティ対策しよう

AWS GuardDutyを利用することで、AWSのセキュリティ状況をモニタリングし、通知してくれるようになります。 ぜひこの記事でご紹介したAWS GuardDutyの必要性やメリット、特徴、使い方などを参考に、AWS GuardDutyを活用してみてはいかがでしょうか。]]>