【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた

422件のシェア(そこそこ話題の記事)

こんにちは、臼田です。

AWSサービスの中では「これは全員必須」のサービスはいくつかありますが、その中でも2017年のre:Inventで登場したGuardDutyは最強の脅威検知サービスです。(多分な私的見解を含みます)

GuardDutyを有効化するだけで、EC2やALBなどの運用しているサービスへの攻撃やAWSアカウント自体への攻撃を検知することができます。手間いらず!具体的には下記のようなものを検知できます。

  • コインマイニング
  • ssh/RDPブルートフォースアタック
  • IAM Userの不正ログイン
  • C&Cサーバへの通信
  • ポートスキャン
  • 漏洩したクレデンシャルの利用

通常であれば様々なログを監視したり相関分析する必要がありますが、そのあたりはGuardDuty側がいい感じに機械学習して判断してくれます。

利用者はGuardDutyが見つけた検知結果を受け取るだけです。素晴らしい!

GuardDuty自体の詳細は下記をチェック。

【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ

そんな「これは全員必須」のサービスであるGuardDutyですが、まだ有効にしていないアカウントも、私が仕事をしている限りでは沢山見受けられます。

いくつか要因が考えられますが、利用者の思い違いやコストがその一つです。

なのですべてのAWSアカウントで有効化してもらうために、これからみなさんを説得します。

そもそもGuardDuty有効化するような環境ではないと思っているそこのあなた

「そんな大した情報も扱ってない小規模環境だからGuardDutyはいらないよ」

AWSを利用している以上そんな事はありません。

セキュリティ対策の一つの側面は守るべき情報をしっかり守ることであり、逆に言えば顧客情報を扱わない環境や、検証環境などは見捨てられがちです。

しかし、AWSアカウントへの攻撃が一度成功すると、情報搾取ではなくコインマイニングが盛んに行われます。

普段使わないリージョンで気付かれないようにEC2が建てられ、利用者は次の請求のタイミングで気づきます。

本番環境以外のセキュリティ意識が甘くなりやすいAWSアカウントは格好の的。

すべてのAWSアカウント、すべてのリージョンでGuardDutyを有効化する必要があります。

GuardDutyの唯一のネック(だと思われているもの)

「でもお高いんでしょう?」

僕たちが何度「GuardDutyは安いです!」と言ってもなかなか伝わりません。GuardDutyの料金は下記のようになっています。

  • VPC フローログと DNS ログ分析: 1.10 USD/GB〜
  • AWS CloudTrail イベント分析: 4.40 USD/1,000,000 イベント〜
  • 東京リージョン想定。詳細はこちら

まあ、これだけではわかりませんよね?

というわけでここからGuardDutyの安さを証明します

GuardDutyのAWS利用費割合の算出

弊社では何千ものAWSアカウントを管理していますが、ここからGuardDutyの利用費の割合を算出しました!

GuardDutyはAWS利用費全体のうち、85%以上のアカウントで1%以下の料金で利用しています!

そして、95%以上のアカウントで2%以下の料金で利用しています!

つまり大多数のアカウントでは、通常のAWS利用費が$1,000なら$10以下でGuardDutyが利用できています

適当な図を書くとこんな感じです。

これだけしか利用費がかからないのに、降りかかる様々な脅威を検知してくれます!

GuardDutyがコスパ最強の脅威検知サービスであることが証明されました。Q.E.D.

どうですか?有効化したほうがいいと思いましたか?

最後の砦、実際の利用費

これだけの情報を持ってしても、有効化できない環境もあるかもしれません。

「でも結局うちの環境でいくらかかるかわからないと上司を説得できないんですよ」

じゃあ、やってみましょう。

GuardDutyは無料で30日間利用できます。その間に実際いくらかかるかわかります!

下記はGuardDutyを無料で利用している際の画面ですが、実際の想定利用料が表示されています。

もちろん、トライアル終了後に無効化もできるのでとりあえず有効化する事に躊躇する要素はありません。

まとめ

GuardDutyがコスパ最強の脅威検知サービスであることを証明しました。

これを有効化しない理由はありません。

  • 検証環境を使っているあなた
  • 上司を説得できないそこのあなた

とりあえず無料トライアルをポチッと始めましょう。

ちなみに全アカウント全リージョン有効化するなら下記のCloudFormationでポチーっとすると幸せになれます。

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

マルチアカウントで展開するならこちら

複数アカウントのGuardDutyの通知を一つのアカウントにまとめる構成を実装してみた

ボタン一発で有効化して、よいAWSライフを。

おまけ

ちなみに、他の「これは全員必須」のサービスは下記です。

  • CloudTrail
  • AWS Config

他にもIAMやSecurity Groupの管理も必須ですが、上記はほぼ有効化するだけ、ですので下記を参考にすぐにやりましょう。

AWS CloudTrailを全リージョン一括で有効化出来るようになりました

AWS Configはとりあえず有効にしよう