意外とややこしい Amazon GuardDuty Runtime Monitoring 2024年11月27日 ＮＲＩネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 〒105-7114 東京都港区東新橋1-5-2 汐留シティセンター14F 〒530-0005 大阪府大阪市北区中之島3-2-4 中之島フェスティバルタワー・ウエスト24F

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 氏名：西内 渓太 ◼ 経歴 • 兵庫県出身 • 2017年4月～ 日系SIer企業 新卒入社 機械学習でのデータ分析・新規サービス事業立ち上げ(PMO、運用保守)etc. 幅広い業務に従事 • 2022年11月～ NRIネットコム入社 クラウド（AWS）を活用した顧客システムの構築支援やCCoE向け支援業務に従事 • 2024 Japan AWS All Certifications Engineers ◼ 趣味 ランニング、スニーカー漁り ◼ 保有AWS資格 自己紹介 意外とややこしい Amazon GuardDuty Runtime Monitoring

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. はじめに ◼ 昨年のre:InventでAmazon GuardDuty Runtime Monitoringが追加 ◼ 他のGuardDuty の機能とは異なり、マルチアカウント管理下ではメンバーアカウント側での有効化も検討が必要 意外とややこしい Amazon GuardDuty Runtime Monitoring 今日の勉強会ではGuardDuty Runtime Monitoringの細かい話をします 昨年のre:Inventの様子 引用元： https://www.aboutamazon.com/news/aws/aws-reinvent-2023-live AWS account （Management） AWS account （Development） AWS account （Validation） AWS account （Production） マルチアカウントの例

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ AWSのセキュリティ系サービスの一つ ◼ 主にログを見て不審なアクティビティを検出する ◼ 有効化可能な項目 ⚫ S3 Protection ⚫ EKS Protection ⚫ Malware Protection for Amazon EC2 ⚫ Malware Protection for Amazon S3 ⚫ RDS Protection ⚫ Lambda Protection ⚫ Runtime Monitoring • EKS（re:Invent 2023以前から存在） • EC2 • ECS GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring そもそもAmazon GuardDutyとは Amazon GuardDuty AWS CloudTrail Flow logs Amazon Simple Storage Service (Amazon S3) Amazon Relational Database Service (Amazon RDS) AWS Lambda Amazon Virtual Private Cloud (Amazon VPC) ログ監視

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring マルチアカウント管理下でのAmazon GuardDuty ◼ マルチアカウント・・・環境やプロジェクト、部署等の単位でアカウントを分ける概念のこと ◼ AWS Organizationsを利用することで複数アカウントを効率的に管理可能 AWS account （Development） AWS account （Production） AWS Organizations AWS account （Management）

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring マルチアカウント管理下でのAmazon GuardDuty ◼ マルチアカウント・・・環境やプロジェクト、部署等の単位でアカウントを分ける概念のこと ◼ AWS Organizationsを利用することで複数アカウントを効率的に管理可能 AWS account （Development） AWS account （Production） AWS Organizations AWS account （Management） Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Management Accountで一元管理

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring マルチアカウント管理下でのAmazon GuardDuty ◼ マルチアカウント・・・環境やプロジェクト、部署等の単位でアカウントを分ける概念のこと ◼ AWS Organizationsを利用することで複数アカウントを効率的に管理可能 AWS account （Development） AWS account （Production） AWS Organizations AWS account （Management） Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Management Accountで一元管理 Management Accountに 複数の役割を担わせるのは 非推奨

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring マルチアカウント管理下でのAmazon GuardDuty ◼ マルチアカウント・・・環境やプロジェクト、部署等の単位でアカウントを分ける概念のこと ◼ AWS Organizationsを利用することで複数アカウントを効率的に管理可能 AWS account （Development） AWS account （Production） AWS account （Management） AWS account （Security Delegated） セキュリティ権限委任用 アカウントを作成するのが 推奨されている Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty AWS Organizations

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringとは 意外とややこしい Amazon GuardDuty Runtime Monitoring Amazon GuardDuty Runtime Monitoringとは ◼ 昨年のre:Inventで追加された機能で、EC2・ECS(Fargate)・EKSのアクティビティを監視 ◼ アクティビティ検出に当たっては、エージェントを各インスタンスに導入する必要がある ◼ ECSはFargateのみ対応し、EKSはFargateに対応していない Amazon GuardDuty Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Container Service (Amazon ECS) on Fargate Amazon Elastic Kubernetes Service (Amazon EKS) on EC2 各インスタンスに存在するエージェントから情報を取得 Virtual private cloud (VPC) Endpoints

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring Amazon GuardDuty Runtime Monitoringの有効化（エージェント導入）方法は複数存在 ◼ 自動有効化 ⚫ 管理アカウント側からメンバーアカウント側へ有効化を行う ⚫ 対象サービスに関わらず手順は同じ ⚫ 必要なVPC EndPointも自動で作成してくれる ◼ 手動有効化 ⚫ メンバーアカウント側で有効化を行う ⚫ 対象のサービスによって手順が異なる ⚫ ECSは手動有効化は出来ない ⚫ 必要なVPC Endpointは別途作成する必要がある ◼ Inclusion Tagsによる有効化（半自動有効化） ⚫ メンバーアカウント側で対象のインスタンスに特定のタグを付与することで有効化が可能 ⚫ 対象サービスに関わらず手順は同じ ⚫ 必要なVPC Endpointも自動で作成してくれる

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring Amazon GuardDuty Runtime Monitoringの有効化（エージェント導入）方法は複数存在 ◼ 自動有効化 ⚫ 管理アカウント側からメンバーアカウント側へ有効化を行う ⚫ 対象サービスに関わらず手順は同じ ⚫ 必要なVPC EndPointも自動で作成してくれる ◼ 手動有効化 ⚫ メンバーアカウント側で有効化を行う ⚫ 対象のサービスによって手順が異なる ←次ページで解説 ⚫ ECSは手動有効化は出来ない ⚫ 必要なVPC Endpointは別途作成する必要がある ◼ Inclusion Tagsによる有効化（半自動有効化） ⚫ メンバーアカウント側で対象のインスタンスに特定のタグを付与することで有効化が可能 ⚫ 対象サービスに関わらず手順は同じ ⚫ 必要なVPC Endpointも自動で作成してくれる

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring EC2での手動有効化 ◼ AWS Systems Manager RunCommandとLinux パッケージマネージャによる有効化方法が存在 ◼ EC2は自動有効化含めて、対象のインスタンスをAWS Systems Manager（SSM）管理下に置く必要がある ◼ Linux パッケージマネージャによる有効化の時のみ、SSM管理は不要 ECS（Fargate）での手動有効化 ◼ 手動有効化は未対応 EKS on EC2での手動有効化 ◼ EKS アドオンを追加することで有効化が可能 ◼ EKS アドオンの追加はAPIやConsole上から実行可能

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring 有効化による既存環境への影響も考慮する必要がある ◼ EC2 ⚫ 対象インスタンスをAWS Systems Manager管理下に置く必要がある ⚫ vCPUごとに最大10%CPUを使用する ⚫ 下表に従いメモリを使用する 引用元：Prerequisites for Amazon EC2 instance support https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring 有効化による既存環境への影響も考慮する必要がある ◼ ECS ⚫ 有効化後はタスクの再起動が必要 ⚫ 下表に従い、メモリを使用する 引用元：Prerequisites for AWS Fargate (Amazon ECS only) support https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. GuardDuty Runtime Monitoringの有効化方法 意外とややこしい Amazon GuardDuty Runtime Monitoring 有効化による既存環境への影響も考慮する必要がある ◼ EKS ⚫ 対象インスタンスにECRに関する権限を付与する必要がある ⚫ 下表に従い、メモリを使用する 引用元：Prerequisites for Amazon EKS cluster support https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-eks-support.html

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 有効化方法の選び方 意外とややこしい Amazon GuardDuty Runtime Monitoring どの有効化方法を選べばよいか ◼ ここからは登壇者の見解に基づいてご説明します ◼ アカウントの重要度で適した有効化方法は変わります ◼ 具体例を元に最適と考えられる有効化方法をご紹介します

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. 有効化方法の選び方 意外とややこしい Amazon GuardDuty Runtime Monitoring システムの重要度が比較的低い場合 ◼ 自動有効化がおすすめ AWS account A AWS account B AWS account （Management） AWS account （Security Delegated） Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty AWS Organizations • 管理アカウントから一括して有効化が可能。 • 手順も分かりやすい。 • メモリ使用等の影響を考慮すると、重要度の 高いアカウントへいきなり導入するのは不向き

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 有効化方法の選び方 意外とややこしい Amazon GuardDuty Runtime Monitoring システムの重要度が比較的高い場合 ◼ タグ付与（半自動有効化）による有効化がおすすめ AWS account （Development） AWS account （Production） AWS account （Management） AWS account （Security Delegated） Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty AWS Organizations • 検証アカウント等で様子見しながら導入が可能 • 手動有効化と比較して手順が分かりやすい • Tag Editor等で有効化状況を把握しやすい Include Tags ⇒GuardDutyManaged : True ※他アカウントも同様

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 有効化方法の選び方 意外とややこしい Amazon GuardDuty Runtime Monitoring ◼ Include Tags（無効）と自動有効化の組み合わせがおすすめ システムの重要度が比較的高い場合 AWS account A AWS account B AWS account （Management） AWS account （Security Delegated） Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty AWS Organizations アカウントAのみFalseのInclude Tagsを設 定することで、アカウントAを除く 全アカウントの一括有効化が可能 Include Tags ⇒GuardDutyManaged : false

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 目次 意外とややこしい Amazon GuardDuty Runtime Monitoring 自己紹介 01 はじめに 02 GuardDuty Runtime Monitoringとは 03 GuardDuty Runtime Monitoringの有効化方法 04 有効化方法の選び方 05 まとめ 05

26 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ 意外とややこしい Amazon GuardDuty Runtime Monitoring ◼ GuardDuty Runtime Monitoringを使うことでAWS環境のセキュリティ向上が出来ます ◼ 有効化には複数の方法から取捨選択する必要がある ◼ 単純に自動有効化を選択せず、影響範囲を鑑みて方法を考えることが重要