はじめに
awsのあれこれに苦手意識がある私ですが、今回AWSのログとセキュリティを業務で軽く触ることになったので、まずはセキュリティ部門を軽くまとめます。ほぼawsのページから抜粋しているので、早見表的な感じで活用できたらと思います。
AWSセキュリティ部門
-
Amazon Inspector
- 役割:脆弱性管理サービス
- アプリケーションやインフラストラクチャにおける既知の脆弱性を見つけ出し、修正を支援することに特化しています
-
AWS Security Hub
- 役割:セキュリティ状態の統合管理サービス
- 複数のセキュリティサービスからの情報を統合的に管理・可視化し、AWS環境全体のセキュリティ状態を把握し、優先順位付けされた改善策を講じるためのハブとなります。InspectorやAmazon GuardDutyといった他のAWSセキュリティサービスや、サードパーティのセキュリティソリューションからの検出結果も集約し、共通のフォーマットで表示します。
-
Amazon GuardDuty
- 役割:脅威検出サービス
- AWS環境内で実際に発生している、または発生しようとしている脅威をリアルタイムで検知し、セキュリティインシデントへの対応を支援します。機械学習、異常検出、脅威インテリジェンスを活用して、潜在的な脅威(例: 不正アクセス、クリプトマイニング、資格情報の漏洩など)を特定します。
Amazon Inspector
Amazon EC2 インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャンします。
メリット
-
ソフトウェアの脆弱性を検知
Amazon EC2、AWS Lambda 関数、Amazon ECR のコンテナイメージなどの AWS ワークロード、および継続的インテグレーションと継続的デリバリー (CI/CD) ツール内のソフトウェアの脆弱性や意図しないネットワークへの露出をほぼリアルタイムで検出します。 -
修復に優先順位をつける
Amazon Inspector のリスクスコアを使用して修復に優先順位を付け、平均修復時間 (MTTR) を短縮します。 -
脆弱性評価の対象範囲を最大化
EC2 インスタンスをシームレスにスキャンし、エージェントベースのスキャンとエージェントレススキャンを切り替える -
SBOMエクスポートを一元管理
開発サイクルの早い段階でセキュリティを組み込み、監視対象のすべてのリソースのソフトウェア部品表 (SBOM) エクスポートを一元管理します。
ユースケース
-
コンピュータロードワークにおけるゼロデイ脆弱性をすばやく発見
50 を超える脆弱性インテリジェンスソースにより、検出の自動化、脆弱性ルーティングの迅速化、MTTR の短縮を実現できます。 -
バッチの修復を優先順位付け
現在よく見られる脆弱性とエクスポージャー(CVE)情報、およびネットワークのアクセシビリティを基に、状況に応じたリスクスコアを作成して、脆弱なリソースに優先順位を付けて解決します。 -
コンプライアンスの要件に準拠
Amazon Inspector スキャンを使用して、NIST CSF、PCI DSS、およびその他の規制のコンプライアンス要件とベストプラクティスをサポートします。 -
開発サイクルの早い段階でセキュリティをシフト
開発者ツールに脆弱性スキャンを組み込み、監視対象リソース用に統合された SBOM をエクスポートします。
AWS Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。
メリット
-
継続的モニタリング
セキュリティのベストプラクティスからの逸脱をワンクリックで検出します。 -
セキュリティ検出結果の集約
AWSおよびパートナーサービスからのセキュリティ検出結果を、標準化されたデータ形式で自動的に集約します。
AWS(GuardDuty、Inspector、Macieなど)で検出されたセキュリティアラートを一元管理します。 -
自動応答を開始する
自動化された対応と修復アクションにより、解決までの平均時間を短縮します。 -
セキュリティ体制
AWS ベースのアプリケーションのセキュリティ体制を視覚化します。 -
連携機能
AWS Organizationsと連携し、組織内の複数アカウントのセキュリティ状況を一元管理できます。
ユースケース
-
Cloud Security Posture Management (CSPM) を実施する
エキスパートによって厳選されたセキュリティコントロールのコレクションに基づく自動チェックでリスクを軽減し、CIS、PCI DSS などの一般的なフレームワーク向けの組み込みマッピング機能を使用してコンプライアンス管理を簡素化します。 -
Security Orchestration, Automation, and Response (SOAR) ワークフローを開始する
Security Hub の Amazon EventBridge との統合により、検出結果を自動的にエンリッチ化もしくは是正するか、またはチケットシステムに送信します。 -
統合を簡素化することで時間と費用を節約する
AWS のサービスとダウンストリームツールの統合をまとめ、検出結果を正規化することで、Security Information and Event Management (SIEM)、チケット発行、および他のツールへのデータインジェストを簡素化および合理化します。 -
セキュリティに関する検出結果を関連付けて、新しいインサイトを獲得する
セキュリティに関するさまざまな検出結果をアカウントやリソースごとに検索、相関、集約、ファインチューニングしたり、Security Hub ダッシュボードで検出結果を視覚化したりすることで、中心的なセキュリティチームと DevSecOps チームの対応と是正の取り組みにより良く優先順位を付けることができます。
Amazon GuardDuty
Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリングして悪意のあるアクティビティがないかを確認し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。
メリット
-
継続的モニタリング
AWS 環境全体の潜在的な脅威を継続的に監視することで、アカウント、ワークロード、データを安全に保ちます。 -
AI/ML を活用した脅威の検出
異常検出、AI、ML、脅威インテリジェンス、行動モデリングを使用して脅威をすばやく検出できます。 -
脅威への迅速な対応
自動分析とカスタマイズされた修復案により、脅威の特定、関連付け、対応をすばやく行い、事業の中断を最小限に抑えることができます。 -
スケーラブルなフルマネージド脅威検知
自動分析で AWS 環境のすべてのアカウントに脅威検出をスケールすることにより、脅威の検出を合理化して手作業を減らすことができます。 -
AWS コンピューティングワークロードのエンドツーエンドの可視性
Amazon Elastic Compute Cloud (Amazon EC2)、サーバーレスワークロード、コンテナワークロード (AWS Fargate 上のワークロードを含む) など、さまざまな AWS コンピューティングタイプにわたってアカウント、データ、リソースを保護します。
ユースケース
-
生成 AI ワークロードにおける疑わしい多段階のセキュリティ脅威を検出
人工知能 (AI) セキュリティガードレールの異常な削除、モデルの使用状況、または Amazon Bedrock、Amazon SageMaker、セルフマネージド AI ワークロードで API を呼び出すために使用されている Amazon EC2 認証情報の流出などの多段階攻撃シーケンスを特定します。 -
調査を加速し、是正を自動化する
自動化された脅威シグナルの関連付けと、処方的な修復案により、脅威をより迅速にトリアージできます。Amazon Detective で根本原因を突き止めましょう。検出結果を AWS Security Hub と Amazon EventBridge、またはサードパーティのソリューションに転送します。 -
ランサムウェアやその他の種類のマルウェアからの保護
Amazon EC2 インスタンスとコンテナワークロードに関連付けられた Amazon Elastic Block Store (Amazon EBS) ボリュームのスキャンを開始し、Amazon S3 バケットへのアプロードを自動的に監視することで、バックドア侵入、暗号通貨関連のアクティビティ、トロイの木馬などのマルウェアの存在を検出します。 -
AWS コンテナワークロードの脅威検出を一元化
インスタンスとサーバーレスコンテナの両方のワークロードを含む、Amazon EKS と Amazon ECS の AWS コンテナ環境に対する脅威を 1 か所で特定、プロファイリング、管理できるため、セキュリティチームとアプリケーションチームの複雑さが解消されます -
PCI DSSなどのコンプライアンス要件をより簡単に満たすことができます
特定のコンプライアンスフレームワークで義務付けられている侵入検知要件を満たす能力を実証してください。