Amazon GuardDuty
Amazon GuardDutyとは?
クラウド環境では世界中からアクセスが集まるため、攻撃者に狙われるリスクが常に存在する。しかし、膨大なログを人間が目視で監視し続けることは現実的ではない。GuardDutyはAWSが収集するAPIの呼び出し履歴(CloudTrailログ)、仮想マシンの通信記録(VPCフローログ)、DNSの問い合わせ履歴などを自動で解析し、異常の兆候を洗い出す。機械学習や既知の脅威情報(悪意あるIPアドレスやドメイン名のリスト)との照合を組み合わせることで、人間では気づきにくい複雑な攻撃パターンも検出できる。
主な検出可能な事象として、AWSアカウントへの不審なログイン試行、外部の悪意あるサーバとの通信、通常とは異なるAPIの呼び出しパターン、マルウェアへの感染が疑われるEC2インスタンスの動作、仮想通貨マイニングへの悪用などがある。検出内容は「finding」(検出結果)として一覧化され、重要度や影響範囲、関連するリソースが示されるため、管理者は対応の優先度を判断しやすい。
GuardDutyは検知と通知を担うサービスであり、不審な通信を自動遮断するような対処は行わない。ただし、他のAWSサービスとの連携により、自動対応の実装も可能である。例えば、通知サービスで管理者に警告を送ったり、AWS Lambdaのようなイベント処理機能などと組み合わせて問題のあるインスタンスを隔離したりする仕組みを作ることができる。
料金は解析対象のログ量に応じた従量制で、最初の30日間は無料で試用できる。AWSアカウント単位で有効化でき、複数アカウントをまとめて管理する機能も備えるため、小規模なシステムから大規模な企業環境まで対応している。ログの収集や異常検出はAWS側で処理されるため、利用者は検出結果の確認と対処に集中できる。
共有ボタンをタップ