はじめに
タイトルでふざけておりますが、この先にネタ要素はありません。
また、今回は「AWS SCSを学び始める」方向けの記事であるため、
ある程度セキュリティサービスについて把握されている方は、
このページを閉じた方がいいかもしれません。
AWS Certified Security - Specialtyを受けてきたのですが、インプットに苦しんだサービスが3つほどあるので、紹介と覚え方を記そうと思います。
この記事では、該当サービスの「詳細な説明・使い方手順」は紹介しておりません
サービスを詳しく知る前に「こんな感じのサービスなんだな」というイメージを持ってもらうことで、後の詳細なサービスの説明がスッと入るといいな、と願って書いた記事です。
サービスに関する詳しい説明をお求めの方は、
「AWS BlackBelt(サービス別資料)」がおススメです。
AWS社員の方が、各サービスに応じて詳細に説明をしてくれています。「日本語」かつ「見やすい・わかりやすい」スライドを作成してくださっているので、AWS認定の対策にも活用できます。
(AWS Black Belt リンク)
https://aws.amazon.com/jp/events/aws-event-resource/archive/?cards.sort-by=item.additionalFields.SortDate&cards.sort-order=desc&awsf.tech-category=*all
今回は以下の三人組についての紹介です
・Amazon GuardDuty
・Amazon Inspector
・Amazon Detective
先に図にしてみる
今回は時系列で捉えれば飲み込みやすいと考えました。
「事件前」に活躍するInspectorは、事件が起きないように怪しいところを探し続け、「事件中」に活躍するGuardDutyは、脆弱性を突かれて起きた事件に対処し、「事件後」に活躍するDetectiveは、事件が起きた根本的な原因を迅速・効率的に調査します。
次の章ではAWS公式の記事を引用しつつ、一つずつ軽く説明していきます。
それぞれの役割
Amazon Inspector
Amazon Inspector は、Amazon EC2 インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャンします。
(引用元:https://aws.amazon.com/jp/inspector/?nc=sn&loc=0 )
上記の文にあるようにAmazon Inspectorは、ワークロードをスキャンすることで、ソフトウェアの脆弱性・ネットワークの露出がないかを確認してくれます。
イメージしやすいように言うと
「事件が起きないように監視してくれています」
外部からアクセスが可能な状態になっていることや、サービスやアカウントが悪用される可能性を特定し、「これ..事件起きそうじゃない..?」と教えてくれます。
Amazon GuardDuty
インテリジェントな脅威検出を使用して、AWS アカウント、ワークロード、データを保護します
(引用元:https://aws.amazon.com/jp/guardduty/)
Inspectorの説明を読んだ後だと、私がGuardDutyの何に着目するか予想できるかもしれませんが、
そうです! 「事件が起きた」時にGuardDutyは動きます!
事件が起こると、事前に設定しておいたEventBridgeやLambdaを用いて、問題に自動で対処してくれます。また、SNSで通知をすることも可能です。
つまり、このGuardDutyは脆弱性を特定するのではなく、「悪意を持って脆弱性を狙った攻撃を特定・対処」するのに向いています。
Amazon Detective
Amazon Detective を使用すると、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を迅速に分析および特定するのに役立ちます。
(引用元:https://docs.aws.amazon.com/ja_jp/detective/latest/userguide/what-is-detective.html#detective-features)
最後に紹介するDetectiveは、やはり「事件が起きた後」に活躍するサービスです。事件が起こった後は、事件が起きた原因を突き止め、再発防止に努めることが重要であり、それを迅速かつ効率的におこなうのがDetectiveの役割です。
あとがき
今回は、個人的にややこしいセキュリティサービス三人組を連れてきました。
個人的な話になってしまうのですが、セキュリティのインプットの際、MacieやWAF、Shieldは、「こういう役割なんだな!」と(キーワード等で)認識できるのですが、今回紹介した三人組はあまりパッと役割が出てきませんでした..。
この記事が誰かの役に立つことを願います。
(AWS SCSは受かりました)