COLUMN

高度なインテリジェンスと機械学習で外部からの脅威を見つけ出す「Amazon GuardDuty」の仕組み

クラウドサービスといっても、そこで動作するサーバーやネットワークの利用やデータの情報セキュリティについてはAWS利用者が責任を負わなければなりません。インターネットを通じて事業を展開する事業者は、絶えずサイバー攻撃の脅威に備えなければなりません。ここでは、外部からの脅威をAIや機械学習によって検知できるAWSのサービス「Amazon GuardDuty」について紹介します。

情報セキュリティに対する脅威のリスクを検知するAmazon GuardDuty

WebサイトやWebサービスなど、インターネットを通じてサービスや製品を提供する事業者は、情報セキュリティや法令遵守の観点から、サイバー攻撃に対する備えをしておく必要があることはご存知のとおりです。

クラウドサービスであるAWSでは、AWS側が設備やハードウェア、仮想化の仕組みなど、クラウドの基盤となる部分における情報セキュリティについて責任を負い、AWSのユーザーは、その上で利用するシステムやソフトウェア、アプケーション、データ、アカウント情報などを守る責任を負います。これを、AWSでは責任共有モデルと呼んでいます。

一般的な脅威としては、ホームページの改ざんや、サーバーの設定書き換えによる乗っ取り、サーバーやネットワークに対して意図的に高い負荷かけるなどのサイバー攻撃があります。このような攻撃に対する防御や、攻撃を受けたあとの対応は、AWSユーザー自身が行わなければなりません。そのためにAWSでは情報セキュリティやコンプライアンス関連のサービス・ソリューションを提供しています。

また、現代においては、もはや情報セキュリティの脅威は常に生じているといっても過言ではありません。そのため、潜在的な脅威を含め、継続的に脅威を検出する仕組みが必要です。「Amazon GuardDuty」は、AWSユーザーが構築したシステム環境への予期しない振る舞いや、悪意のある振る舞いをモニタリングして検出できるサービスです。

たとえば、Webサイトの脆弱性をきっかけとしてサーバーを乗っ取る、セキュリティグループ設定を狙う、AWSアカウント情報が漏洩して不正に利用されてしまうといった脅威に対してや、たとえ設定に問題がなかったとしても何らかの攻撃の予兆を検出してAWSアカウントとリソースを保護します。

膨大なログと、高度な脅威インテリジェンスから異常なふるまいを検出

Amazon GuardDutyが検出する脅威のタイプは、悪意のあるスキャン、インスタンスの侵害、アカウントの侵害です。通信に利用可能なポートを探す行為や、乗っ取られたサーバーによるボットネットからの指令、異常やネットワークトラフィック量、マルウェアよるAPIコール、異常なユーザー追加やユーザー権限の変更などをモニタリングします。

これらの異常を検出するためのリソースは、展開しているAWS上から取得できるログを活用します。構築したシステムのネットワークの流れを記録するVPC flow logsと、EC2インスタンス上から実行されたリクエストに関するDNSログ、そしてAWSに対する操作の履歴を残すCloudTrailのイベントログです。

収集されたこれらのログに対して、AWSの情報セキュリティに加え、クラウドベースのエンドポイント保護プラットフォーム「CrowdStrike」、世界中のサイバー攻撃データをリアルタイムに収集しフィルタリングする「Proofpoint」からの最新の脅威インテリジェンスを統合して脅威を検知していきます。

脅威インテリジェンスのデータには、攻撃者が使用しているIPアドレスがあります、脅威と考えられるIPのリストからのAPI呼び出しなどを検知することができるのです。検知対象となる脅威のIPアドレスリストは、ユーザーによって追加・削除のカスタマイズが可能です。

また脅威の認識にはAIや機械学習の技術も使われ、既知・未知の脅威に備えることができます。GuardDutyによって検出される脅威の目的には次のようなものがあります。

Amazon GuardDutyが検出する脅威には0.0から10.0の範囲で「Severity」という重要度が設定されます。これは、ユーザーが対処するための優先度をつけやすくするためです。たとえば、管理しているリソースに影響を及ぼす前にブロックされた悪意の疑いのあるものはSeverityが低く（0.1 – 3.9）、大量のトラフィックや通常のふるまいと違う動作についてのSeverityは中程度（4.0 – 6.9）、EC2インスタンスやユーザーアカウントの操作については Severityが高く（7.0 – 8.9）設定されています。

脅威へすばやく対応するための通知や脅威緩和の仕組みや体制づくりもサポート

サイバー攻撃に対する備えは必須ですが、最近では攻撃もはや100％は防ぎようがなく、攻撃を受けた場合にいかに迅速に復旧して事業への損害を最小化することを目的とする、「サイバーレジリエンス」という考え方が重視されています。

Amazon GuardDuty でも、脅威の検出だけでなく、脅威を検出した場合の対応をあらかじめ設定しておくことができます。Amazon CloudWatch イベントと迅速に対応できるアプリケーションをサーバーレスで作れる「AWS Lambda」を活用することで、脅威の対応をオートメーション化し、攻撃への対応、復旧を速やかに行うことができます。

脅威が検知されたら、そのレベルに応じて自動応答する内容を設定できるのです。たとえば、中程度レベル異常の脅威が発見されたら、AWS Lambdaを通じてチームのSlackに送信するなどの処理を設定できます。通知を受け取ったメンバーは、異常時おける対応計画に速やかに移れます。

また、組織内で複数のAWSアカウントやリージョンにてシステムを展開している場合には、あるAWSアカウントで検知したAmazon GuardDutyによる脅威の調査結果を、ほかのAWSアカウントのAmazon GuardDutyに転送して統合管理することもできます。

これにより、情報セキュリティ管理を担当するチームのアカウントで、組織内のすべてのAmazon GuardDutyによる検出を一元管理・集計することも可能です。集計した調査結果は CloudWatch イベントからも入手することができるため、組織で利用している他のエンタープライズ管理システムとの統合もできるでしょう。

機械学習を使用して機密情報などのデータを保護するAmazon Macieとは

Amazon GuardDutyは、機械学習・異常検知の仕組みを使って外部からの攻撃を検知して組織のシステムやAWSのアカウントを守りますが、同じように、機械学習を使ってクラウドストレージであるAmazon S3に保存したデータを守るサービスに「Amazon Macie」があります。

Amazon Macieでは、所有しているデータやデータへのアクセスに関連する脅威を検出します。機密情報が外部からアクセス可能な設定になった、情報セキュリティが確保されていない方法で機密情報が保存されている、大量のデータがダウンロードされているなど、あるべき状態と異なる振る舞いをモニタリングし、場合によってはアクセス制限を変更したり、パスワードをリセットしたりするなどのオートメーションなアクションを設定できるようになっています。

Amazon GuardDutyの利用料について

Amazon GuardDutyの利用料は、分析されたAWS CloudTrailイベントの数量と分析されたAmazon VPC Flow LogおよびDNS Logデータの量にて応じて課金されます。

詳しくは、公式サイトをご覧ください。
https://aws.amazon.com/jp/guardduty/pricing/

Amazon GuardDuty活用のまとめ

クラウドサービスの利用には、手軽にコンピューターリソースを得られて、必要に応じて自由に規模を伸縮できるメリットがあります。オンプレミスの場合と異なり、設備やハードウェア管理の必要がありませんが、AWSアカウントやAWSに展開しているワークロードやデータに関する情報セキュリティ管理はAWSユーザーが責任を負います。

ユーザーが適切な管理を行えるようAWSはさまざまなセキュリティサービスを用意しています。なかでもAmazon GuardDutyは、外部からの脅威を検知し、インシデントを未然に防ぐためのものです。

また、検知した脅威のレベルに応じてその後の処理を自動化させたり、組織内の異なるAWSアカウントのリソースを管理したりできます。システム担当者の方は、Amazon GuardDutyによる一元管理を検討してみてはいかがでしょうか。