現在、アメリカネバダ州ラスベガスにてAmazon Web Services（以下AWS™）最大のイベントであるre:Invent 2017が開催されており、弊社より2名のエンジニアが参加しております。11/29(水)13:00（JST）にAWS™よりセキュリティの新機能Amazon GuardDutyがリリースされました。利用することによるユーザーのメリット、考慮すべき点等を本ブログにてまとめます。

Amazon GuardDutyは、脅威インテリジェンス照合・相関分析・マシンラーニングを活用して脅威を洗い出します。特に下記懸念を持たれているお客様に有効な機能となります。

• AWS™コンソールアカウントに対する攻撃
• 出口対策などIPアドレスやURLをベースとした通信検知を実装していない

【攻撃検知例】

1. ①利用していないリージョンにEC2インスタンスを構築
2. ②通常と異なるAWS™ APIのコールが発生
3. ③悪意のあるIPアドレスからのアクセス、危険なサーバへのアウトバウンド通信

本機能は、既存の環境に負荷を与えずに容易に導入が可能です。実際に利用する場合は、AWS™のコンソールで【GuardDutyの有効化】ボタンを押すだけです！Agentレスの構成のため、構築済みのアプリケーションに影響を与えることなくセキュリティレベルの向上が図れます。

図1：GuardDuty検知イメージ

一方、VPC Flow Logs・CloudTrail・DNSクエリをベースとした脅威検知のため、ネットワークトラフィックの詳細解析までは対象とされておりません。AWS™責任共有モデルで言うアプリケーションサイドのセキュリティ実装については、継続してお客様責任となります。SQLインジェクションやOSコマンドインジェクションなど、高レイヤーの攻撃の検知のためには、サードパーティベンダーのサービスを利用する必要があります。

図2：AWS™の責任共有モデル

AWS™向けのセキュリティサービスであるAlert Logicは、今回のリリースに併せてGuardDuty連携を発表致します。これまでAWS™の脆弱性可視化を行っていたCloud Insightですが、GuardDutyと連携することにより、GuardDutyで検知した脅威に対するインシデントレスポンスを容易に実現致します。

図3：Cloud Insight画面イメージ

また、Cloud Insightのライセンスが含まれているCloud Defenderは、ネットワーク・Webトラフィック内の脅威解析からセキュリティログ収集、脆弱性検査までAWS™環境に必要なセキュリティ対策をすべてご提供するAWS環境のフルマネージドセキュリティサービスとなります。この度のAmazon GuardDutyのリリースにより、AWS™環境をよりセキュアに運用いただくものとして、Alert Logic×Amazon GuardDuty連携にご期待ください。

関連ページ：

※本情報は2017年11月29日時点の情報となります。

※アマゾン ウェブ サービス、AWS™は、Amazon.com, Inc.またはその関連会社の商標です。