Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuardDutyで始める S3のマルウェア対策
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
R.Kondo
November 20, 2024
Technology
0
120
GuardDutyで始める S3のマルウェア対策
2024/11/20(水)九州AWS若手の会 #2 LT登壇資料
R.Kondo
November 20, 2024
Tweet
Share
More Decks by R.Kondo
See All by R.Kondo
AWS DDoS攻撃防御の最前線
ryutakondo
1
320
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
320
面倒な議事録作成は Amazon Bedrockにおまかせ!
ryutakondo
0
420
簡単にWebアプリからS3にアクセス - AWS Transfer Family Web Apps
ryutakondo
2
320
サービス新規利用終了!? Cloud9の代替選択肢
ryutakondo
1
710
Other Decks in Technology
See All in Technology
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
feststelltaste
1
230
A Gentle Introduction to Transformers
keio_smilab
PRO
2
1k
元エンジニアPdM、IDEが恋しすぎてCursorに全業務を集約したら、スライド作成まで爆速になった話
doiko123
1
550
EMからICへ、二周目人材としてAI全振りのプロダクト開発で見つけた武器
yug1224
5
510
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
shoki_hata
0
2.9k
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
wkm2
4
470
聲の形にみるアクセシビリティ
tomokusaba
0
160
JAWS FESTA 2025でリリースしたほぼリアルタイム文字起こし/翻訳機能の構成について
naoki8408
1
220
モブプログラミング再入門 ー 基本から見直す、AI時代のチーム開発の選択肢 ー / A Re-introduction of Mob Programming
takaking22
5
1.2k
「Blue Team Labs Online」入門 - みんなで挑むログ解析バトル
v_avenger
0
130
LINE Messengerの次世代ストレージ選定
lycorptech_jp
PRO
19
7.7k
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
1.5k
Featured
See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
98
30 Presentation Tips
portentint
PRO
1
250
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
670
Game over? The fight for quality and originality in the time of robots
wayneb77
1
130
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.4k
The Cost Of JavaScript in 2023
addyosmani
55
9.8k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
Code Review Best Practice
trishagee
74
20k
GraphQLとの向き合い方2022年版
quramy
50
14k
Ethics towards AI in product and experience design
skipperchong
2
220
Side Projects
sachag
455
43k
Transcript
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
GuardDutyで始める S3のマルウェア対策 2022.11.20 Wed. 九州AWS若手の会#2 伊藤忠テクノソリューションズ株式会社 近藤 隆太 – Ryuta Kondo 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
伊藤忠テクノソリューションズ株式会社(略称CTC) 広域・社会インフラ事業グループ 西日本技術統括本部 中国九州SI部 近藤 隆太 Kondo Ryuta 自己紹介 - 2024 Japan AWS Jr.Champion TechBlog:https://www.ctc-g.co.jp/solutions/cloud/column/ - 略歴 CTC新卒入社後オンプレネットワークの設計/構築業務に従事、 現在はAWSを主としたクラウド案件業務を担当。 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
みなさん Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Amazon S3 のマルウェア対策してますか?
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
GuardDutyがS3のマルウェア保護に対応 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDuty Malware Protection for S3 ・2024年6月にアメリカで開催された AWS re:Inforce 2024 で GuardDutyのS3のマルウェア保護機能が発表&GAされた 比較的新しい機能。 ・S3バケットにアップロードされたオブジェクトに対して マルウェアスキャンを行い、脅威の検出を行う機能。 ・ファイル形式を問わず、幅広い種類のマルウェアの検出が可能。 ・バケットポリシーを設定することで、 ”GuardDutyなのに、、検出だけではなくブロックも可能!” https://docs.aws.amazon.com/guardduty/latest/ug/gdu-malware-protection-s3.html
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
改めてGuardDutyとは? Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDutyとは VPC Flow Logs、CloudTrailのイベントログ、DNSログなどを分析し、 異常なアクティビティや悪意のある行動を検出するサービス。 脅威インテリジェンスに基づく既知の脅威検出と、機械学習による未知の脅威を検出可能。 実施するのは検出のみであるため、通知に関しては別の仕組みが必要となる。 拡張機能として様々な機能が存在する。 保護プラン 説明 S3 Protection S3バケットのAPI操作を監視し、S3リソースに対する脅威を検出する。 EKS Protection EKSの監査ログを分析し、EKS Clusterに対する脅威を検出する。 Runtime Monitoring EC2/EKS/ECSに対し、GuardDutyエージェントをデプロイし、脅威を検出する Malware Protection for EC2 EC2のマルウェア感染が疑われた際に、EBSスナップショットを作成し、マルウェアスキャンを行う。 RDS Protection Aurora及びRDS for PostgreSQLに対するログインアクティビティを監視し、不審なログイン試行を検出する Lambda Protection VPC flow logsより、Lambda関数のネットワーク上の振る舞いを監視し、検出する。 Amazon GuardDuty
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
ここが違うぞ!Malware Protection for S3 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDutyは本来“AWS環境全体(リージョン単位)で有効化” Amazon GuardDuty Malware Protection for S3 はS3のマルウェア保護単体で利用可能!
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
ここが違うぞ!Malware Protection for S3 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDutyは従来検出のみに対応 Malware Protection for S3 はブロックが可能! Amazon GuardDuty 有効化時にスキャン結果に基づく オブジェクトのタグ付けを有効化 ステータス 内容 NO_THREATS_FOUND 安全なファイル THREATS_FOUND マルウェアである可能性があるファイル UNSUPPORTED サイズの上限の問題で、スキャンが出来なかったファイル ACCESS_DENIED アクセス権限がなく、スキャン出来なかったファイル FAILED スキャン出来なかったファイル 検査結果に応じて以下のタグが付与される
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
ここが違うぞ!Malware Protection for S3 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDutyは従来検出のみに対応 Malware Protection for S3 はブロックが可能! Amazon GuardDuty スキャン結果に基づくオブジェクトの タグを元にS3 オブジェクトのタグベースの アクセスコントロール(TBAC)で ブロックする S3 バケットリソースポリシーを設定 安全なファイル以外のブロックが実現 https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/tag-based-access-s3-malware-protection.html
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
でも・・・。 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ブロックではなく検出通知や一時的に隔離 マルウェアの疑いがあるファイルをブロックできることは分かった。 でも・・・ したくない?
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
通知と隔離を実装してみた Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 GuardDutyでの検出結果は通常 Security Hub に統合し、通知が定番 Malware Protection for S3 はSecurity Hubに統合ができない Amazon GuardDuty Malware Protection for S3 AWS Security Hub Amazon S3 スキャン Amazon GuardDuty Malware Protection for S3 AWS Security Hub Amazon S3 スキャン Amazon EventBridge AWS Lambda Lambdaでの結果の統合が必要
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
通知と隔離を実装してみた Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 S3 Bucket Amazon GuardDuty Malware Protection for S3 スキャン マルウェア検出 タグ付け AWS Lambda 隔離用 S3 Bucket 隔離用バケット へ移動 AWS Lambda 隔離を検出 (トリガー) AWS ChatBot用 メッセージをSNSに送信 Amazon SNS AWS Chatbot 通知を送信 今回はSecurity Hubでの統合ではなく、Lambda+AWS ChatBotで通知を実装
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
通知と隔離を実装してみた Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 今回はSecurity Hubでの統合ではなく、Lambda+AWS ChatBotで通知を実装 S3 Bucket Amazon GuardDuty Malware Protection for S3 スキャン マルウェア検出 タグ付け AWS Lambda 隔離用 S3 Bucket 隔離用バケット へ移動 AWS Lambda 隔離を検出 (トリガー) AWS ChatBot用 メッセージをSNSに送信 Amazon SNS AWS Chatbot 通知を送信 隔離 通知
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
実際の動き Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 CloudShellからeicar(エイカー)ファイル※ をS3バケットにアップロード ※ウイルス対策ソフトの動作確認を目的に作成されたテストファイル
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
実際の動き Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Malware Protection for S3 がスキャン&タグ付けを実施し、タグを元に 該当オブジェクトを隔離用S3バケットに移動 スキャン対象バケット 隔離用バケット
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
実際の動き Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Malware Protection for S3 がスキャン&タグ付けを実施し、タグを元に 該当オブジェクトを隔離用S3バケットに移動 スキャン対象バケット スキャン対象バケット 隔離前 隔離後
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
実際の動き Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 隔離を検出し、AWS ChatBotでSlackに検出通知を送信 Tips カスタムアクションボタンなどを組み合わせることで、 該当ファイルの削除などを行うことも可能 ※実装には作りこみは必要
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
最後にコストについて触れる Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Malware Protection for S3 の料金体系 検査したオブジェクトサイズとオブジェクトの数に対してコストが発生 スキャンしたデータ容量 $0.79 /GB あたり スキャンしたオブジェクト数 $0.282 /1000個のオブジェクト あたり オブジェクトへのタグ付け $0.01 /1万タグ付け あたり
Copyright © 2024 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
まとめ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ・ Guard Duty のすべての機能ではなく、 S3のマルウェア保護単体で利用可能! ・ マルウェアの疑いがあるファイルのブロックが可能! ・ Security Hub への結果の統合には作りこみが必要 ・ 効率よく運用するには多少の作りこみが必要(?) ・ コストは従量課金制 ・ 注意点としてスキャン可能な最大オブジェクトサイズは”5GB” ・ 有効化できるS3バケット数は最大”25バケット” Malware Protection for S3は AWS内でS3のマルウェア対策ができる良い機能なので活用していきたい! 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。
ryutakondo
feststelltaste
keio_smilab
doiko123
yug1224
shoki_hata
wkm2
tomokusaba
naoki8408
takaking22
v_avenger
lycorptech_jp
mizutani
techseoconnect
portentint
nmsamuel
wayneb77
aleyda
palkan
addyosmani
thoeni
trishagee
quramy
skipperchong
sachag
