Amazon GuardDuty での脅威検出：脅威検出の実例から学ぶ

Transcript

1. Amazon GuardDuty での脅威検出： 脅威検出の実例から学ぶ KINTOテクノロジーズ株式会社 セキュリティ・プライバシー部 クラウドセキュリティグループ 桑原大輔

2. 自己紹介 • 氏名 ： 桑原 大輔（くわはら だいすけ） • 所属 ：

   KINTOテクノロジーズ株式会社 (KTC) @Osaka Tech Lab クラウドセキュリティ グループ 兼 サイバーセキュリティ グループ • 業務 ： 主に AWS や Google Cloud などの クラウドレイヤのセキュリティや SOC 業務を担当

3. 01 02 03 04 Agenda クラウドを取り巻く脅威 Amazon GuardDuty とは 脅威検出の実例

   まとめ

4. クラウド利用者はどの部分のセキュリティに ついて責任があるのか？ 出典：https://pages.awscloud.com/rs/112-TZM-766/images/T1_AWS-Builders-Online-Series_2023-Q3_Presentation-Deck-Opening.pdf

5. 日々発生するセキュリティ脅威の中で、 クラウド特有の脅威も多数ある 出典：https://threats.wiz.io/all-incidents

6. AWS は、セキュリティ構成ミスや認証情報の漏洩といった リスクに対し、脅威アクターが悪用する代表的な手法や 攻撃パターンを公開している 出典：https://aws-samples.github.io/threat-technique-catalog-for-aws/

7. AWS 環境内のセキュリティ脅威を検知する サービス：Amazon GuardDuty 出典：https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2025_Amazon-GuardDuty-Basic_0131_v1.pdf

8. AWS 環境におけるログを継続的に分析し、機械学習や 異常検知技術を用いて脅威を自動的に検出・通知する 出典：https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2025_Amazon-GuardDuty-Basic_0131_v1.pdf

9. [参考] KTC ではマルチクラウド環境であり、 サードパーティーの脅威検知サービスも活用 クラウド 仕組み データソース AWS • Amazon

   GuardDuty • AWS CloudTrail • VPC flow logs • DNS log • S3 CloudTrail データイベント Google Cloud • Sysdig Secure CDR （Cloud Detection and Response） • Cloud Audit Logs Azure • Sysdig Secure CDR （Cloud Detection and Response） • Azure アクティビティログ クラウドレイヤの 脅威検出 例 • クラウド環境内での不正な活動や不正アクセス、疑わしい行動 • 異常な API 呼び出しや、予期しないリソースの使用など • データの不正な流出 • クラウドストレージからの大量のデータ転送や、予期しない場所へのデータ転送 • 悪意ある IP アドレスからのアクセス • 脅威検知サービスが保有する悪意ある IP アドレスからのアクセス検知 • マルウェアの検出 • マルウェアや暗号通過マイニング活動の検知 • C＆C サーバーとの通信の検知

10. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled [実例]

    GuardDuty 検出結果 脅威種別ごとに分類し、割合をグラフ化 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

11. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled AnomalousBehavior

    は、「異常な振る舞い」や「通常とは異な る行動」。この操作が業務上の正当な作業かどうかを確認する。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

12. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled AnomalousBehavior

    の中でも S3 関連のアラートは、2 〜 3 カ月に一度の バッチ処理や分析作業などの非定常作業にて、アラートが発生しやすい 傾向あり。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

13. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled Terraform

    で管理されている S3 バケットを削除すると、 仕様上アラートが必ず発生するが、これは正常な動作 で問題ない。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual バケット削除とセットに なっていれば問題なし

14. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled CloudTrail

    “証跡” 設定を停止または削除した際に発生。 この操作が業務上の正当な作業かどうか、確認は必須。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

15. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled Root

    でのアカウントサインインで発生。 この操作が業務上の正当な作業かどうか至急確認。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

16. まとめ クラウドの脅威検知サービスを活用することで、クラウド特有の脅威を含むクラウド環境全 体のセキュリティリスクを検知可能である。これは、どのクラウドサービスを利用する場合 においても、Must に近い要件と言える。 検知されたアラートの確認に際しては、各クラウドに関する技術的なスキルに加え、運用者 や開発者本人やその管理者への確認が不可欠なケースが大半を占める。そのため、運用者や 開発者と円滑に連携できる環境やコミュニケーション体制の整備が重要となる。 「この環境で何がどのように動いており、通常はどのような人員が関与しているのか」と いった情報を事前に把握しておくことで、アラートの切り分けをより迅速かつ高精度に行う

    ことが可能となる。

17. We‘re hiring ! KINTOテクノロジーズ セキュリティ・プライバシー部では、 一緒に働く仲間を募集しています！ (クラウドセキュリティ・サイバーセキュリティ・インフォメーションセキュリティ) 【クラウドセキュリティエンジニア（リーダー候補）】 クラウドセキュリティ G／東京・大阪

    【クラウドセキュリティエンジニア】 クラウドセキュリティ G／東京・大阪
18. None