Amazon GuardDuty Malware Protectionサービス概要

Amazon GuardDutyとは、Amazon VPCフローログ、DNSログを主な検出ソースとして、機械学習を用いて、脅威を“検出”するサービスです。

今回アップデートのあった、Amazon GuardDuty Malware Protectionもマルウェアを‘検出’するサービスであり、防御を行うサービスではないということが大きなポイントです。

検出の仕組みは、上記図1の通りです。

1. Amazon EC2がマルウェアに感染。
2. マルウェアが外部との通信を開始。Amazon GuardDutyがAmazon EC2（Amazon EC2ベースのコンテナサービスも含む）のマルウェアに関する通信を検出ソース（Amazon VPCフローログ、DNSログが主なソース）から検知。
   （トリガーとされる検知はAWSのHPでこちらに紹介されています）
3. 検知のあったAmazon EC2にアタッチされているAmazon EBSを特定、Snapshotを取得。取得したSnapshotに対してAmazon GuardDutyがマルウェアスキャンを行い、マルウェアを特定する。

Cloud Oneとの違いを考えるうえで、Amazon GuardDuty Malware Protectionのポイントは以下の通りかと思います。

・Amazon GuardDutyの検知がマルウェアスキャンのトリガーとなる。
・Amazon EBS内のマルウェアをエージェントレスでスキャン、マルウェアを特定することが可能。（※駆除、削除、隔離等は行えない。）

一般的なマルウェア対策機能とAmazon GuardDuty Malware Protectionの違い

Trend Micro Cloud One（以下、Cloud One）との違いの整理に入る前に、まずは一般的なマルウェア対策機能とAmazon GuardDuty Malware Protectionの違いから整理していきましょう。

一般的なマルウェア感染は上記図2の通り進みます。

メール、ネットワーク、USBなど様々な感染経路から、サーバに侵入し、ディスクの読み書き（I/O）が行われます。そしてマルウェアが実行されると、Ｃ＆Ｃサーバなど、外部との不正な通信が発生し始めます。

一般的なマルウェア対策は、パターンマッチング、マルウェア実行時の挙動監視やメモリスキャン、機械学習型検索などの技術を用いて、マルウェアと判定されたものに対し、隔離/削除/駆除などを行い、マルウェアの実行止めます。

対して、Amazon GuardDuty Malware Protectionは、マルウェア実行後に発生するAmazon EC2からの不正な通信を、Amazon GuardDutyが検出し、対象のAmazon EBSのスナップショットに対してマルウェアスキャンを実行、マルウェアの特定を行います。

一般的なマルウェア対策機能と、Amazon GuardDuty Malware Protectionではマルウェア検知のトリガー、マルウェアに対しての行う対処に差があるということをお分かりいただけたかと思います。「マルウェアの実行をリアルタイムで止める」という観点では、一般的なマルウェア対策のサービスが必要不可欠となります。

Trend Micro Cloud One™との違い

Cloud Oneは、クラウド向けセキュリティ対策プラットフォームです。

サーバ、ネットワーク、コンテナ、クラウドストレージ向けのセキュリティサービス、またクラウド環境の設定不備をスキャン・可視化する複数のサービスを単一のプラットフォームで提供しています。（※Cloud Oneの詳細を知りたい方はこちらの資料をご確認ください。）

Cloud Oneは以下3製品でそれぞれの領域へのマルウェア対策機能を提供しています。

Trend Micro Cloud One – Workload Security→Amazon EC2向けのマルウェア対策機能
Trend Micro Cloud One – Container Security→コンテナイメージへのマルウェア検出機能
Trend Micro Cloud One – File Storage Security→Amazon S3へのマルウェア対策機能

それぞれとAmazon GuardDuty Malware Protectionの違いについて解説していきます。

Trend Micro Cloud One – Workload Security™との違い

Trend Micro Cloud One – Workload Security（以下、Workload Security）は、前述した一般的なマルウェア対策機能を有しております。その他にも、以下図3のように‘脅威の侵入を防御するか’という予防的対策の観点で、ファイヤーウォール、IPS/IDS、アプリケーションコントロール、Webレピュテーションの機能があります。また、‘侵入した脅威を早く気づく’という発見的対策の観点で変更監視、セキュリティログ監視、EDR（XDR）の機能も搭載しています。予防的対策と発見的対策、両軸の機能で多層防御が行える製品です。
Amazon GuardDutyは発見的対策が得意な領域のサービスとなりますので、対策領域の範囲に違いがあることをお分かりいただけるかと思います。

まとめますと、Workload SecurityとAmazon GuardDuty Malware Protectionは、Workload Securityはマルウェアの侵入や実行をワークロード上でリアルタイムに防ぐことができること、複数のセキュリティ対策機能で多層防御を実現することができる点が異なる点となります。Amazon GuardDuty Malware Protectionはマルウェアの実行を止めることはせず、実行後の不正な通信から検出を行い、発見的対策を得意とするサービスとなります。

Workload Securityに関してもっと知りたいという方は是非こちらの資料をご確認ください。

Trend Micro Cloud One – Container Security™との違い

Trend Micro Cloud One – Container Security（以下、Container Security）は、コンテナのイメージスキャン、デプロイ制御、ランタイム保護ができるソリューションで、コンテナライフサイクルのセキュリティを一気通貫で行えることが特徴です。

Container Securityのマルウェア対策は図４の通り、Buildフェーズにおけるコンテナイメージに対して行うことが可能です。コンテナイメージの中に存在するマルウェアを検出します。

Amazon GuardDuty Malware Protectionは、Amazon EC2ベースのコンテナサービス環境において、コンテナをRunした後に、クラスタから発生する通信やDNSクエリのログがマルウェア関連であった場合、Amazon GuradDutyが検知をし、Amazon GuardDuty Malware Protectionを有効化している場合、該当するAmazon EBSのスナップショットを取得しスナップショットに対してマルウェアスキャンを行います。

まとめますと、Container SecurityとAmazon GuardDuty Malware Protectionはマルウェア検索を行う対象とフェーズが異なります。Container Securityはマルウェアの検索を行う対象はコンテナイメージ、スキャンを行うフェーズはBuildフェーズとなり、Amazon GuardDuty Malware Protection のマルウェアの検索を行う対象はAmazon EBSのスナップショット、スキャンを行うフェーズはRunフェーズとなります。
なお、Container SecurityはRunフェーズでMITRE ATT&CKフレームワーク(攻撃で使用されるテクニック)ベースでの検出、Podの隔離や削除などの保護が可能です。マルウェアがこれらのテクニックを利用する場合は、検出が可能です。

Container Securityに関してもっと知りたいという方は是非こちらの資料をご確認ください。

Trend Micro Cloud One – File Storage Security™との違い

Trend Micro Cloud One – File Storage Security（以下、File Storage Security）は、Amazon S3のマルウェア対策が行えるソリューションです。 Amazon S3へのファイルのアップロードをトリガーとしAWS Lambdaを駆動、Amazon SQS、Amazon SNSを利用してサーバレスでマルウェア対策が行えるソリューションです。
また、マルウェアを検出した場合は、そのオブジェクトをあらかじめ設定しておいた隔離用のバケットに自動的に移動して隔離するカスタマイズが可能です。

まとめますと、File Storage SecurityとAmazon GuardDuty Malware Protectionはマルウェア検索を行う対象、トリガー、マルウェア特定後の動作が異なります。File Storage Securityのスキャン対象はAmazon S3のオブジェクト、トリガーはAmazon S3へのファイルアップロード、マルウェア特定後の動きは隔離なども可能です。Amazon GuardDuty Malware Protectionのスキャン対象はAmazon EBSのみとなり、Amazon S3のオブジェクトをスキャンすることはできません。トリガーはAmazon GuardDutyとなり、マルウェア特定後の動作は自動で隔離などは行えません。

File Storage Securityに関してもっと知りたいという方は是非こちらの資料をご確認ください。

各製品の違いをまとめると以下図６の通りとなります。

本記事では、Amazon GuardDuty Malware ProtectionとTrend Micro Cloud Oneとの違いを解説いたしました。セキュリティ対策には多層防御が欠かせません。それぞれの特徴と強みを生かして、是非併用して、AWS環境のセキュリティ対策をより強固なものにしていっていただければと思います。

本日ご紹介したCloud Oneは30日間の無料トライアルが可能です、是非トライアルをして、実際の製品挙動をご確認いただければと思います！

トライアルはこちらから登録ください。（登録方法の動画はこちら）

AWSアライアンスマネージャー　小島華佳