AWS環境におけるマルウェア対策は、クラウドの特性を理解した上で適切なサービスを選定することが求められます。
特にEC2インスタンスのセキュリティを確保するためには、どのような脅威検知の仕組みを導入するかが重要です。
本記事では、AWSが提供する脅威検知サービスであるAmazon GuardDutyを中心に、その仕組みや設定方法、サードパーティ製品との比較を通じて、自社の要件に最適なマルウェア対策を見つけるためのポイントを解説します。
目次
なぜAWSにマルウェア対策が必要?責任共有モデルに基づく対策範囲
AWSを利用する上で、セキュリティ対策の範囲を定義する「責任共有モデル」の理解は不可欠です。
このモデルでは、AWSがクラウドの基盤(ハードウェア、ソフトウェア、ネットワークなど)のセキュリティに責任を持ち、利用者はクラウド上で構築する環境(OS、データ、アプリケーションなど)のセキュリティに責任を負います。
つまり、EC2インスタンスのOSやその上で動作するアプリケーションへのマルウェア感染対策は、利用者側の責任範囲となります。
そのため、利用者は自らの手で適切なセキュリティ設定やマルウェア対策を講じる必要があります。
責任共有モデルについては、こちらの記事で詳細をご紹介しています。
マルウェア対策の第一候補「Amazon GuardDuty」とは
Amazon GuardDutyは、AWS環境を継続的にモニタリングし、悪意のあるアクティビティや不正な動作を検出する脅威検出サービスです。
その機能の一つである「マルウェア保護」は、EC2インスタンスやコンテナに潜むマルウェアを検出します。
このサービスはエージェントのインストールが不要で、既存の環境に影響を与えることなく、簡単にマルウェア対策を始められる点が大きな利点です。
関連記事:Amazon GuardDutyとは?脅威検知の仕組みや機能、メリットを解説
エージェントレスでEC2インスタンスに負荷をかけないスキャンの仕組み
Amazon GuardDutyのマルウェア保護は、エージェントレス方式を採用しているため、スキャン対象のEC2インスタンスにパフォーマンス上の影響を与えません。
マルウェアスキャンのトリガーを検知すると、Amazon GuardDutyは対象インスタンスにアタッチされているEBSボリュームのスナップショットを自動的に作成します。
その後、AWSが管理するサービスアカウント内で一時的なEC2インスタンスを起動し、そのスナップショットから復元したボリュームをスキャンします。
この仕組みにより、稼働中のワークロードから完全に分離された環境でスキャンが実行されるため、CPUやメモリなどのリソースを消費することなく安全な調査が可能です。
気になる利用料金は?Amazon GuardDutyの課金体系を分かりやすく解説
Amazon GuardDutyの料金は、分析されるデータ量に応じた従量課金制が基本です。
マルウェア保護機能に関しては、この基本料金に加えて、スキャンされたデータ量に基づいて追加の料金が発生します。
無料期間も用意されていますので、この期間を利用して、自社の環境でどの程度のコストが発生するかを見積もることが可能なサービス体系となっています。
Amazon GuardDutyマルウェア保護の始め方とスキャン方法
Amazon GuardDutyマルウェア保護の利用開始は非常にシンプルで、GuardDutyコンソールから数クリックで有効化できます。
有効化後のスキャン方法には、Amazon GuardDutyが脅威を検知した際に自動で実行されるものと、ユーザーが任意のタイミングで実行できるオンデマンドスキャンの2種類があり、用途に応じて使い分けることが可能です。
脅威を自動検知して実行される「自動スキャン」
自動スキャンは、Amazon GuardDutyがEC2インスタンスの不審なアクティビティを検知した際に自動的に開始されます。
例えば、インスタンスが既知のC2(コマンド&コントロール)サーバーと通信した場合や、異常なネットワークトラフィックが観測された場合などがトリガーとなります。
自動スキャンは、セキュリティインシデントへの迅速な初期対応を実現するための重要な機能です。
任意のタイミングで実行できる「オンデマンドスキャン」
オンデマンドスキャンは、ユーザーが特定のEC2インスタンスを指定し、任意のタイミングでスキャンを開始できる機能です。
この機能は、特定のインスタンスに不審な点が見られた場合の詳細調査や、新規にデプロイした環境のセキュリティチェック、定期的なコンプライアンス監査の一環など、様々なユースケースで活用できます。
スキャンを開始するには、対象インスタンスのARN(Amazon リソースネーム)を指定するだけでよく、コンソール画面で簡単に実行することが可能です。
Amazon GuardDutyマルウェア保護を有効化する具体的な設定手順
Amazon GuardDutyマルウェア保護の有効化は、AWSマネジメントコンソールから直感的な操作で完了します。
まず、AWSマネジメントコンソールにサインインし、サービス一覧から「GuardDuty」を選択します。
Amazon GuardDutyのダッシュボードが表示されたら、左側のナビゲーションペインから「Malware Protection」をクリックしてください。
保護設定の画面に移動したら、「有効化」ボタンを押すだけで設定は完了です。
これにより、Amazon GuardDutyは脅威を検知した際に自動的にマルウェアスキャンを開始するようになります。
個別の設定変更も同画面から可能で、例えば特定のリソースをスキャン対象から除外するタグを設定することもできます。
Amazon GuardDutyだけで十分?サードパーティ製品との比較と正しい選び方
Amazon GuardDutyはAWS環境における脅威検知のベースラインとして非常に強力なサービスですが、それだけですべてのマルウェア対策が完了するわけではありません。
Amazon GuardDutyの役割は主に「検知」であり、リアルタイムでの「防御」や感染後の「駆除」まではカバーしていません。
そのため、自社のセキュリティ要件によっては、サードパーティ製のセキュリティ製品との併用を検討する必要があります。
リアルタイム防御や自動駆除も求めるならサードパーティ製品を検討
システムの要件として、マルウェアの侵入を即座にブロックする必要がある場合や、感染が確認された際に迅速な自動駆除が求められる場合には、サードパーティ製品の導入が有効です。
また、WAF(Web Application Firewall)と組み合わせることで、ネットワークの入口での攻撃対策と、OS内部のマルウェア対策という多層的な防御が可能になります。
ただし、導入や管理コストが発生する点には考慮が必要です。
自社のセキュリティ要件に合わせた最適なマルウェア対策の選定ポイント
最適なマルウェア対策を選定するには、まず自社のセキュリティ要件を明確にすることが重要です。
考慮すべきポイントとして、システムの重要度と取り扱うデータの機密性、準拠すべきセキュリティ基準やコンプライアンス要件、許容できる運用コストと管理負荷、インシデント発生時に求められる対応速度、の4点が挙げられます。
例えば、まずはAmazon GuardDutyを導入して広範囲な脅威検知の体制を構築し、特に重要なデータを扱うサーバーや外部からのアクセスが多いWebサーバーにのみ、追加でサードパーティ製品を導入するといった段階的なアプローチが考えられます。
まとめ
AWSにおけるマルウェア対策は、まず責任共有モデルを正しく理解し、利用者側の責任範囲を認識することから始まります。
AWSネイティブの脅威検知サービスであるAmazon GuardDutyは、エージェントレスで導入が容易なため、対策の第一歩として非常に有効です。
しかし、Amazon GuardDutyの主目的は「検知」であり、リアルタイムの「防御」や「駆除」といったより高度な要件を満たすためには、サードパーティ製品との併用も視野に入れる必要があります。
自社のシステムの重要度やコンプライアンス要件を考慮し、これらのサービスを適切に組み合わせて多層的な防御を構築することが、安全なクラウド利用の鍵となります。
