【超安価】使わないリージョンのセキュリティ対策はGuardDutyに任せよう

85件のシェア(ちょっぴり話題の記事)

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさんセキュリティ対策していますか?

AWS環境上でのセキュリティ対策も様々ありますが、不正なAPI操作や通信を検知するサービスとしてGuardDutyがあります。

【速報】自動セキュリティ分析サービス「Amazon GuardDuty」が発表されました!! #reinvent

今回はこのサービスを上手く利用して、超安価で使わないリージョンのセキュリティ対策を行う設定をしていきたいとおもいます。

なぜ使わないリージョンのセキュリティ対策が必要なのか

使わないリージョンならセキュリティ対策の必要はないと思いますよね?

しかしながら、普段使わないリージョンを好んで使いたがる人がいます。そう、攻撃者です。

AWS環境での攻撃の一例として、仮想通貨をマイニングするためのハイスペックなインスタンスの起動があります。これを行う場合、普段利用しているリージョンでやるとすぐにバレてしまうので、攻撃者は利用されていないリージョンにインスタンスを起動します。

一般的には被害を受けてからこれに気づくのは、次の請求のタイミングかAWSからAbuse Reportのメールが送られてきたタイミングになります。

AWS特有の運用イベントまとめ(非障害系)

その頃には被害は結構な額になっていることが多いので、出来るだけ早くこれに気づく必要があります。

ちなみに、AWS環境の不正利用は検証用のAWSアカウントでも多発しています。これは、検証用のアカウントのほうがゆるーく管理されていることがままあるためです。

したがって、AWS環境の不正利用に気づくためには、管理している全てのAWSアカウントで対策を行う必要があります。

とはいえ、こういった攻撃は普段から起きるわけではないのでなるべくお金をかけずに対策したいです。

そこで有効なのがGuardDutyです!

GuardDutyを使うと超安価でセキュリティ対策対策できるワケ

GuardDutyの料金体系は下記のとおりです。

Amazon GuardDuty の料金表 – アマゾン ウェブ サービス (AWS)

主に2種類の料金体系がありますが、どちらも分析したログの量に依存して計算されます。ベースの利用料はありません。

つまり、普段利用していないリージョンではCloudTrailやVPC・DNSのログはほとんど発生しないので超安価と言ってもいいでしょう!むしろほぼ無料と言ってもいいかもしれないです。

異常があった場合にはもちろんそれなりのログが出るので多少はかかりますが、それもインスタンスの利用料等と比べると割合は高くなく、かつ有事の際の必要経費であると割り切れると思います(かなり安いですが)。

実際には検知した内容を通知するためにCloudWatch Eventを設定したり、SNSトピックにメールアドレスを登録したりする必要もありますが、こちらも実際に通知されない限りは追加の料金がかからないので超安価です。

料金 - Amazon CloudWatch | AWS

料金 - Amazon Simple Notification Service(SNS) | AWS

通知が飛んだとしても無料枠の範囲内か微量の料金ですので、気にするレベルではないでしょう。

そのため、使わないリージョンはGuardDutyを利用しない手はありません!

使わないリージョンでGuardDutyを一括有効化する方法

下記のブログを参考にStackSetsを利用して一括有効化しましょう!

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

もちろん、GuardDuty自体は非常に強力なAWS純正の驚異検知サービスであり、一般的にはそこまで利用費がかからないため、通常利用するリージョンをついでに有効化しても十分な費用対効果が得られますのでこれを機に全リージョン有効化してもいいと思います!

まとめ

超安価で利用できるセキュリティ対策として、GuardDutyを利用する方法をまとめました。

GuardDutyを始め、利用した分だけ課金されるサービスは他にもたくさんあります。うまく利用して安価で効果的なセキュリティ対策を行っていきましょう!