AWSのマルウェア対策とは？Amazon GuardDutyをおすすめする理由を解説

2024.02.29

AWS（Amazon Web Services）を利用する上で、マルウェア対策を実施しているでしょうか。

マルウェア対策によって、システムのセキュリティを強化できるメリットがあります。

本記事では、マルウェア対策とは何か、AWSにおけるセキュリティの責任範囲、おすすめのAWSサービスをご紹介します。

記事終盤では、GuardDuty実行型とオンデマンドのマルウェアスキャンの違いも解説するので、AWS上でのマルウェア対策を検討している場合はぜひ参考にしてください。

AWSにおけるマルウェア対策とは？
AWSのセキュリティにおける責任範囲
- AWS側の責任範囲
- ユーザー側の責任範囲
マルウェア対策にはAmazon GuardDutyがおすすめ
GuardDuty実行型とオンデマンドのマルウェアスキャンの違い
まとめ

AWSにおけるマルウェア対策とは？

AWS（Amazon Web Services）におけるマルウェア対策は、セキュリティを強化し、クラウド環境内での脅威からデータを守るための重要な側面です。

AWSには、マルウェア対策におすすめのサービスが数々あります。

例えば、AWSのサービスであるAmazon Inspectorは、EC2インスタンスに対して自動的にセキュリティ脆弱性を検出し、レポートを提供します。これにより、マルウェアが悪用する可能性のあるセキュリティ上の問題の特定が可能です。

また、Amazon GuardDutyは、異常なアクティビティや不正な動きを検出し、アカウント内での不正アクセスや悪意のある動きを監視します。マルウェアや不正アクセスを早期に発見し対処することが可能です。

セキュリティグループとネットワークACLを使用して、ネットワークトラフィックを制御し、不正な通信を防ぐこともできます。必要な通信だけを許可し、それ以外の通信を拒否することで、マルウェアの広がりを防止できます。

AWSのセキュリティにおける責任範囲

ここでは、AWSのセキュリティにおける責任範囲について、AWS側とユーザー側に分けて解説します。

AWS側の責任範囲

AWS側の責任範囲は、物理的なセキュリティからクラウドサービスのセキュリティまで包括的です。

データセンターやネットワークなどの物理的なインフラストラクチャのセキュリティを担当する場合、施設のアクセス制御、監視、防火壁、物理的なセキュリティ対策などが含まれます。

EC2インスタンスが実行される物理的なサーバーおよびハイパーバイザのセキュリティを確保する役割も果たしており、具体的にはハードウェアの保護、ハイパーバイザの更新、仮想化のセキュリティなどです。

また、全体のクラウドインフラストラクチャのセキュリティを維持し、DDoS攻撃からの保護など、グローバルなセキュリティ対策を提供します。

ユーザー側の責任範囲

ユーザーは、自身のデータのセキュリティを確保する責任があります。具体的には、データの暗号化、アクセスコントロールの適切な設定、バックアップと復旧計画の実施などが挙げられます。

AWS Identity and Access Management（IAM）を使用して、ユーザーはAWSリソースへのアクセスを制御する責任があるでしょう。ユーザーは最小特権の原則に基づいて、必要最小限の権限だけを付与するように心がける必要があります。

また、ユーザーは仮想プライベートクラウド（VPC）やセキュリティグループ、ネットワークACLなどを使用して、自身のネットワークセキュリティを構築し管理する責任があります。VPC内での通信の暗号化やセキュアな通信プロトコルの使用も含まれるでしょう。

マルウェア対策にはAmazon GuardDutyがおすすめ

数あるAWSサービスのなかでマルウェア対策におすすめなのは、Amazon GuardDutyです。ここでは、マルウェア対策にAmazon GuardDutyをおすすめする理由を4つご紹介します。

異常なアクティビティの検出

GuardDutyは、AWSクラウド環境内での異常なアクティビティを検出することに特化しています。不正なAPIコール、不審なネットワークアクティビティ、異常なインスタンスの挙動などが含まれており、悪意のあるアクティビティや攻撃パターンの早期発見が可能です。

GuardDutyは複数のデータソースから情報を収集し、異常なアクティビティを検出します。VPC Flow Logs、CloudTrailイベント、DNSログなどが含まれ、統合的な分析を行うことで高い精度で異常を検出します。

また、GuardDutyは機械学習アルゴリズムを使用して異常を検出することが可能です。通常のアクティビティとの比較やパターンの分析を行い、新たな脅威や攻撃手法にも対応できます。

検出された脅威の重要度の評価

GuardDutyは、検出された脅威に対して重要度のスコアを割り当てます。スコアは検出されたイベントやアクティビティの重要性を示しており、ユーザーがどの脅威に優先的に対応すべきかを判断するのに役立つでしょう。

検出された脅威のタイプに応じて異なる評価を行うことができ、例えば不正なIAMアクセスは重要な脅威と見なされる可能性があります。そのため、特定の脅威に対してより適切な対策が可能です。

アラートと通知

GuardDutyは、検知した異常なアクティビティに対して即座にアラートを生成します。ユーザーは異常が発生した瞬間に対策を講じることができ、リアルタイムなアラートはマルウェアやサイバー攻撃に対する素早い対応を可能にします。

検出したアラートは、異なる通知手段でユーザーに伝えることが可能です。例えば、Amazon SNS（Simple Notification Service）を使用してメール、SMS、HTTPエンドポイント、Lambda関数などに通知を送信できます。そのため、異常なアクティビティに対する情報を適切な形式での受け取りが可能です。

また、GuardDutyはAWSマネジメントコンソール内でアラートや検知されたイベントを視覚化するダッシュボードを提供しています。ユーザーは、ダッシュボード上で簡単に検知された脅威やアクティビティを把握し、詳細な情報を取得できます。

統合されたセキュリティインテリジェンス

GuardDutyは、AWSが提供する脅威インテリジェンスデータベースと連携しています。そのため、既知のマルウェアや攻撃手法に対する情報を取得し、それに基づいて異常なアクティビティの検出が可能です。

また、VPC Flow Logsを分析してネットワークトラフィックに関する情報を取得するので、不正な通信や異常なネットワークパターンを検知して、マルウェアの活動を追跡できます。

GuardDutyは機械学習アルゴリズムを使用して、通常のアクティビティと異常なアクティビティを比較します。これにより、新たな脅威や攻撃パターンにも対応が可能です。

GuardDuty実行型とオンデマンドのマルウェアスキャンの違い

ここでは、AWSでマルウェア対策を実施する上での、GuardDuty実行型とオンデマンドのマルウェアスキャンの違いについて解説します。

スキャンの起動方法

GuardDutyの実行型のマルウェアスキャンは、自動的に定期的に実行されます。GuardDutyは、異常なアクティビティや標準的なネットワーク通信パターンとの異常を検出する際に、マルウェアスキャンも実施します。

ユーザーが明示的にスキャンをトリガーする必要はなく、常に最新の情報に基づいてセキュリティのモニタリングが行われるでしょう。

一方で、オンデマンドのマルウェアスキャンは、ユーザーが手動で実行する必要があります。ユーザーが必要に応じて、特定のタイミングでクラウド環境を対象にしてスキャンをトリガーし、特定のイベントが発生した際やセキュリティチェックの要件がある場合に利用されます。

設定の有無

GuardDuty実行型マルウェアスキャンの場合、アカウントで有効にする必要があります。有効にする手順は、以下のとおりです。

こちらにアクセスしてGuardDutyコンソールを開く
ナビゲーションペインの「保護プラン」で「Malware Protection」を選択する
表示されたステータスごとに「有効にする」または「無効にする」を選択する
「保存」をクリックする

GuardDutyの委任された管理者アカウントが組織内の管理アカウントと一致していない場合、管理アカウントは組織のGuardDuty実行型マルウェアスキャンを有効にしましょう。

委任GuardDuty管理者アカウントを指定していない場合は、設定ページの委任GuardDuty管理者アカウントaccountIDで設定を行う必要があります。組織内のGuardDuty ポリシーを管理するために指定する12桁を入力し、「Delegate（委任）」を選択するのみです。

管理アカウントとは別に委任 GuardDuty管理者アカウントを指定している場合は、Settings（設定）ページの「Delegated Administrator（委任された管理者）」で、「Permissions（許可）」設定をオンにする必要があります。

一方で、オンデマンドのマルウェアスキャンも、アカウントでGuardDutyを有効にするための設定が必要です。ただし、機能レベルで設定する必要はないでしょう。

新しいスキャンを開始するまでの待ち時間

GuardDuty実行型マルウェアスキャンは、24時間ごとに1度実施されます。自動的に開始されるので、毎回特別な操作を行う必要がありません。

オンデマンドのマルウェアスキャンは、前回のスキャン開始時間から1時間後にスタートさせることができます。

無料トライアル期間の有無

GuardDuty実行型マルウェアスキャンは、アカウントで有効に設定すると、30日間の無料トライアル期間が適用されます。ただし、はじめて有効にしてから30日間なので、無効にしてから有効にしてもリセットされません。

オンデマンドのマルウェアスキャンは、新規でも無料トライアル期間が適用されないので把握しておきましょう。

まとめ

AWSにおけるマルウェア対策は、セキュリティの責任範囲がAWSとユーザーに分かれ、Amazon GuardDutyを活用することがおすすめです。

GuardDutyは異常検知や脅威評価、アラート通知、統合されたセキュリティインテリジェンスを提供し、実行型・オンデマンドのマルウェアスキャンも可能です。

スキャンの起動や待ち時間はスケジュールやユーザートリガーにより異なり、無料トライアル期間も用意されています。

GuardDutyのマルウェア対策機能は充実しているので、セキュリティに関する包括的な対策を実施したい場合に活用してみてください。

ビジネスブログ一覧に戻る