AWSアカウント作成時に行うべきこと(後編) 1/3

0411

Amazon Web Services (以下AWS)の利用開始時に行うべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後に行うべき設定がいくつかあります。この連載ではその設定内容を説明します。


ITSデザイン事業部 課長代理 システムエンジニア 上野史瑛

はじめに

前回はAWS利用開始時のアカウント登録作業全16種類のうち、認証・コスト・証跡設定を中心に10種類の作業を紹介しました。今回はセキュリティ関連の設定が中心となる、残り6種類の作業を紹介します。

前回と同様、それぞれの作業はレベルに応じて以下3つに分類しています。

MUST :アカウント開設後に必ず実施すべき作業

SHOULD :設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業

BETTER :AWSの知識がある方が行う場合やセキュリティ要件の高いアカウントで実施すべき作業

Amazon GuardDuty

Amazon GuardDuty(以下、GuardDuty)は、AWS上の悪意のある操作や不正な動作を検知するサービスです。例えば以下のような情報が検知されます。

・ ルートユーザの使用

・ IAMユーザーの不正利用(大量の操作実行など)

・ EC2の不正通信

インプットとなる情報はCloudTrail、VPC Flow Logs、DNS Logsの3つで、そこから上記のような不正を判断して検知を行います。

作業11. GuardDuty 有効化 [ MUST ]

GuardDutyのサービス画面から、有効化するだけで使用が可能になるため、アカウント開設後、すぐに設定するようにしましょう。

図9:GuardDuty 設定画面

どのように検知されるか確認したい場合は、サンプルイベントの発行も可能です。

図10:GuardDuty サンプルイベント

作業12. GuardDuty 通知設定 [ BETTER ]

GuardDutyを有効化にすることで、AWSマネジメントコンソールの画面から検知結果を確認できるようになりますが、これだけではリアルタイムに検知ができません。余裕のある方は、CloudWatchルールとSNSを使用して、管理者にメール等で通知を行う設定もあわせて行いましょう。

CloudWatchのサービス画面から「ルール>ルールの作成」を選択し、イベントソースにGuardDuty、GuardDuty Findingを選択すれば、右側のターゲットに検知結果を渡すことができます。ターゲットにメール通知を設定したSNSを選択することで、メール通知が可能です。(SNSトピックは事前に作成する必要があります。)

ただし、後述するSecurty HubでGuardDutyの通知も合わせて行う場合は、この設定は不要です。

図11:GuardDuty 通知設定

(参考)GuardDutyの利用料金

CloudTrail、VPC Flow Logs、DNS Logsの利用量に応じて利用料金が発生します。 金額は利用状況により異なるため一概には言えませんが、大規模なサービスを公開していない限りは、$10以下になると考えて良いでしょう。

お問い合わせ

当社のサービス・製品に関するご相談やご質問、お見積りのご依頼など、こちらからお問い合わせください。