増加するサイバー攻撃の脅威に対処するには? Amazon GuardDuty のご紹介

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

経営課題としてのサイバーセキュリティ

近時 IT を活用したデジタルトランスフォーメーション(DX)が経営革新のために欠かせない要素として認識されるようになってきました。

一方で自動車やスマートフォンに代表される、すべてのモノがネットワークされる Internet of Things (IoT) と呼ばれる状況では、ネットワークを通じたサイバーセキュリティの脅威にさらされることになります。

そのためサイバーセキュリティ対策も DX の進展に伴って喫緊の課題となっています。

経済産業省でも「サイバーセキュリティ経営ガイドライン」1 を公開し経営者として取り組むべきサイバーサイバーセキュリティのリスクと課題について注意喚起を行っています。

サイバーサイバーセキュリティの経営上のリスク

セキュリティインシデントが発生した場合の平均対応コストは約1億7,600万円という推計もあります。2 インシデントが発生した場合の費用は対外的なコストと対内的コストがあります。

対外的なコストとしては以下の費用が発生が考えられます。

  • 営業継続費用
  • 社告費用
  • コールセンター開設・増設・増員費用
  • 謝罪文作成・送付費用
  • お詫び品・金券調達・送付費用
  • 訴訟費用
  • 損害賠償禁

対内的コストとしては以下が考えられます。

  • 外部調査機関への調査依頼日
  • システム復旧費用
  • データ復旧費用
  • 再発防止案策定費用
  • 再発防止策導入費用
  • 利益損害
  • その他

※ TrendMicro「「セキュリティインシデントに関する被害コスト調査」を発表」3 より

一度セキュリティインシデントが発生した場合に起こる直接的な金銭的な被害だけではなく、信用の失墜による取引上の機会損失、さらには情報被害による社会的な影響等、単なる情報漏洩や風評被害というだけでは収まらない、企業存続にかかわるリスクが発生する恐れがあります。

サイバーセキュリティ要員の確保

一方でサイバーセキュリティ対策を行うにあたって必要な人材を確保し体制を整えようとしても、必ずしも必要な人材が確保できるとは限りません。2020年には 19万人以上のセキュリティ人材が不足4 するとの推計もあります。

また仮に高度な知識を有する要員をそろえることができたとしても、そのような人材を常時セキュリティ監視のために待機させておくことは効率的とは言えないでしょう。

サイバーセキュリティ運用の自動化

そのため サイバーセキュリティ運用においても自動化することが必要となります。DevSecOps や SOAR (Security Orchestration, Automation and Response) と呼ばれる分野です。

自動化のファーストステップはセキュリティインシデントの検出です。検出できなければ何もすることができません。今回ご紹介させていただく「Amazon GuardDuty」はセキュリティインシデントの検出を担うソリューションとなります。

Amazon GuardDutyでの脅威の検出方法

Amazon GuardDuty では以下のログを監視し脅威を検出します。

  • VPC Flow Logs (通信の記録)
  • AWS CloudTrail event logs (AWSの操作記録)
  • DNS logs (参照しているURLやドメインの記録)

上記の記録から、疑わしい通信パターンや、ドメイン名、通信先等を過去の知見と A.I. による検出(パターン検出、異常検出)を駆使して脅威を検出します。

Amazon GuardDutyで検出できる脅威

Amazon GuardDuty では以下の脅威を検出できます。詳細は Amazon GuardDuty のマニュアル5 に譲りますがここでは検出できる脅威の概要だけ示します。なお結果タイプは追加、削除されることがあります。

Backdoor 結果タイプ

EC2 インスタンスに仕込まれたバックドア等のマルウェアの活動を検出します。 以下の詳細なタイプがあります。

  • Backdoor:EC2/XORDDOS
  • Backdoor:EC2/Spambot
  • Backdoor:EC2/C&CActivity.B!DNS
  • Backdoor:EC2/DenialOfService.Tcp
  • Backdoor:EC2/DenialOfService.Udp
  • Backdoor:EC2/DenialOfService.Dns
  • Backdoor:EC2/DenialOfService.UdpOnTcpPorts
  • Backdoor:EC2/DenialOfService.UnusualProtocol

Behavior 結果タイプ

通常想定される動作とは異なる動作を検出します。 以下の詳細なタイプがあります。

  • Behavior:EC2/NetworkPortUnusual
  • Behavior:EC2/TrafficVolumeUnusual

CryptoCurrency 結果タイプ

ビットコインマイニングが行われている兆候を監視します。 以下の詳細なタイプがあります。

  • CryptoCurrency:EC2/BitcoinTool.B!DNS
  • CryptoCurrency:EC2/BitcoinTool.B

PenTest 結果タイプ

侵入テストが行われていないか監視します。 以下の詳細なタイプがあります。

  • PenTest:IAMUser/KaliLinux
  • PenTest:IAMUser/ParrotLinux
  • PenTest:IAMUser/PentooLinux

Persistence 結果タイプ

AWS セキュリティアクセス許可の変更を検出します。 以下の詳細なタイプがあります。

  • Persistence:IAMUser/NetworkPermissions
  • Persistence:IAMUser/ResourcePermissions
  • Persistence:IAMUser/UserPermissions

ポリシー結果タイプ

ルートアカウントの使用について報告します。 以下の詳細なタイプがあります。

  • Policy:IAMUser/RootCredentialUsage

Recon 検索タイプ

異常なネットワーク活動を観測します。 以下の詳細なタイプがあります。

  • Recon:EC2/PortProbeUnprotectedPort
  • Recon:IAMUser/TorIPCaller
  • Recon:IAMUser/MaliciousIPCaller.Custom
  • Recon:IAMUser/MaliciousIPCaller
  • Recon:EC2/Portscan
  • Recon:IAMUser/NetworkPermissions
  • Recon:IAMUser/ResourcePermissions
  • Recon:IAMUser/UserPermissions

ResourceConsumption 結果タイプ

AWSリソースの利用について検出します。l 以下の詳細なタイプがあります。

  • ResourceConsumption:IAMUser/ComputeResources

Stealth 結果タイプ

AWS 上のセキュリティ設定について検出します。 以下の詳細なタイプがあります。

  • Stealth:IAMUser/PasswordPolicyChange
  • Stealth:IAMUser/CloudTrailLoggingDisabled
  • Stealth:IAMUser/LoggingConfigurationModified

Trojan 検索タイプ

疑わしい外部との通信について検出します。 以下の詳細なタイプがあります。

  • Trojan:EC2/BlackholeTraffic
  • Trojan:EC2/DropPoint
  • Trojan:EC2/BlackholeTraffic!DNS
  • Trojan:EC2/DriveBySourceTraffic!DNS
  • Trojan:EC2/DropPoint!DNS
  • Trojan:EC2/DGADomainRequest.B
  • Trojan:EC2/DGADomainRequest.C!DNS
  • Trojan:EC2/DNSDataExfiltration
  • Trojan:EC2/PhishingDomainRequest!DNS

未許可結果タイプ

許可されていない通信を検出します。 以下の詳細なタイプがあります。

  • UnauthorizedAccess:IAMUser/TorIPCaller
  • UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
  • UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
  • UnauthorizedAccess:IAMUser/MaliciousIPCaller
  • UnauthorizedAccess:EC2/TorIPCaller
  • UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
  • UnauthorizedAccess:EC2/SSHBruteForce
  • UnauthorizedAccess:EC2/RDPBruteForce
  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
  • UnauthorizedAccess:IAMUser/ConsoleLogin
  • UnauthorizedAccess:EC2/TorClient
  • UnauthorizedAccess:EC2/TorRelay

Amazon GuardDuty での検出後の対処

Amazon GuardDuty では、脅威の検出は行いますが対応はユーザに委任されています。組織のセキュリティポリシーやシステムの構成、重要度などによって同じセキュリティ事象であっても対処が異なるためです。

検出された脅威は AWS 上のログ管理ツールである Amazon CloudWatch Events に記録されます。また AWS 上のメッセージ連携ツールである Amazon SNS を通じて、スマホにメッセージを送信したり、メールを送信したりできます。

セキュリティインシデント対処の自動化

さらに Amazon GuardDuty からのセキュリティイベントを契機として AWS Lambda を読み出すことができます。 AWS Lambda では制限があるものの任意のプログラムを実行することができます。

興味深いのは他システムとの連携でしょう。例えば TrendMicro DeepSecurity との連携です。TrendMicro DeepSecurity では他システムとの連携のために API (他のプログラムから機能を呼び出す仕組み) が公開されており、AWS Lambda から API を通じて TrendMicro DeepSecurity の機能を呼び出すことができます。また連携の実装例も公開されています。6

例えば疑わしい EC2 インスタンス (コンピュータ) を検出した場合にウィルススキャンを実行し、また通信を遮断する、ログを保存するなどの動作を自動的に実行することが可能です。

以上、参考にしていただければ幸いです。


  1. 経済産業省「サイバーセキュリティ経営ガイドライン v2.0」(PDF)
  2. TrendMicro「「セキュリティインシデントに関する被害コスト調査」を発表」(html)
  3. TrendMicro「「セキュリティインシデントに関する被害コスト調査」を発表」(html)
  4. 総務省「我が国のサイバーセキュリティ人材の現状について」(PDF)
  5. GuardDuty のアクティブな結果タイプ
  6. Integrate Deep Security with AWS Services

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.