Amazon GuardDuty の Malware Protection
GuardDuty Malware Protection は Amazon GuardDuty の拡張機能です。GuardDuty は、マルウェアによって既に侵害されたリソース、または危険にさらされているリソースを特定します。Malware Protection は GuardDuty のサポート機能として、この侵害の原因として疑われるマルウェアを検出します。
Malware Protection を有効にして、GuardDuty で Amazon EC2 インスタンスまたはコンテナワークロードの疑わしい動作が検出されると、GuardDuty Malware Protection が、影響を受ける EC2 インスタンスまたはコンテナワークロードにアタッチされた Amazon Elastic Block Store (EBS) ボリュームでエージェントレススキャンを自動的に開始し、マルウェアを検出します。詳細については、「 Malware Protection スキャンを開始する GuardDuty の検索結果」を参照してください。GuardDuty Malware Protection では、スキャンするリソースまたはスキップするリソースを選択することもできます。GuardDuty Malware Protection では、検索から除外することを選択したリソースに対して自動スキャンが開始されない場合があります。スキャンでマルウェアが検出された場合、GuardDuty コンソールでその脅威に関する詳細な Malware Protection の結果を表示できます。
Malware Protection はオプションの機能で、リソースのパフォーマンスに影響を与えないように設計されています。Malware Protection 機能は、任意のアカウントまたは利用可能な AWS リージョン でいつでも開始または停止することができます。デフォルトでは、既存の GuardDuty のお客様は Malware Protection を 30 日間お試しいただけます。新しい GuardDuty アカウントでは、Malware Protection がすでに有効になっており、30 日間の試用期間に含まれています。詳細については、「GuardDuty コストの見積もり」を参照してください。
GuardDuty での Malware Protection の仕組み
GuardDuty Malware Protection は、侵害された可能性がある Amazon EC2 インスタンスおよびコンテナワークロードにアタッチされた EBS ボリューム上のマルウェアをスキャンして検出します。以下の画像は、GuardDuty で Malware Protection がどのように機能するかを説明したものです。

GuardDuty がマルウェアを示す疑わしいアクティビティや潜在的に悪意のあるアクティビティを検出すると、Malware Protection は、GuardDuty が検出したそのようなアクティビティのリソースにアタッチされた、関連する EBS ボリュームのスナップショットを作成し、GuardDuty サービスアカウントと共有します。次に、Malware Protection は、サービスアカウントで、それらのスナップショットを使用して暗号化された EBS ボリューム のレプリカを作成します。
スキャンオプション に基づいて、マルウェア検出のための自動エージェントレス検索が開始されます。スキャンが完了すると、GuardDuty は暗号化された EBS ボリュームのレプリカと EBS ボリュームのスナップショットを削除します。マルウェアが見つかり、スナップショットの保持 の設定を有効にすると、EBS ボリュームのスナップショットは削除されず、自動的に AWS アカウントで保持されます。マルウェアが見つからない場合、スナップショットの保持設定に関係なく、EBS ボリュームのスナップショットは保持されません。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットとその保持にかかるコストについては、「Amazon EBS の料金
GuardDuty は、スキャンする各 EBS ボリュームのレプリカを最大 1 日間保持します。ただし、EBS ボリュームのレプリカとそのマルウェアスキャンでサービスの停止や障害が発生した場合は、その EBS ボリュームを最大 7 日間保持します。ボリューム保持期間が延長されている間に、サービスの停止または障害のトリアージと対処をしてください。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が経過すると、EBS ボリュームのレプリカを削除します。
GuardDuty が結果を生成する各 EC2 インスタンスおよびコンテナワークロードに対して、GuardDuty Malware Protection は 24 時間に 1 回だけスキャンを開始します。
マルウェアスキャンが完了したら、次のリソースにアクセスして、検出結果の詳細と対応する CloudWatch ログイベントを詳細に理解できます。
-
マルウェアが検出された場合、GuardDuty は影響を受けたリソースとマルウェアの詳細を含む新しい Malware Protection の検出結果のタイプ を生成します。詳細については、「検出結果の詳細」を参照してください。
-
Malware Protection のスキャンステータスを理解するには、「スキャンステータスと結果の監視」を参照してください。
-
GuardDuty は、各イベントを Amazon CloudWatch ロググループに公開します。これらは、マルウェアのスキャン中に生成されるイベントです。スキャンオプション をカスタマイズした場合、GuardDuty Malware Protection が一部のリソースをスキップすることがあります。ログイベントの詳細については、「CloudWatch Logs を監査する方法と、リソースがスキップされる理由について」を参照してください。
Malware Protection でサポートされるボリューム
GuardDuty は、暗号化されていないボリュームと、カスタマーマネージドキーで暗号化されたボリュームの両方をサポートします。EBS ボリュームがカスタマーマネージドキーで暗号化されている場合、GuardDuty は同じキーを使用して EBS ボリュームのレプリカを暗号化します。暗号化されていない EBS ボリュームの場合、GuardDuty は独自のキーを使用して EBS ボリュームのレプリカを暗号化します。GuardDuty Malware Protection は、Amazon EBS 暗号化を使用して暗号化された EBS ボリュームをスキャンしません。GuardDuty Malware Protection は、AWS アカウントにある EC2 インスタンスにアタッチされた EBS ボリュームのスキャンをサポートします。
AWS リージョン ごとの GuardDuty サービスアカウント
スナップショットが作成され、GuardDuty サービスアカウントと共有されると、CloudTrail ログに新しいイベントが作成されます。このイベントは、対応する snapshotId
および userId
(その AWS リージョン の GuardDuty サービスアカウント) を指定します。次の例は、ModifySnapshotAttribute
リクエストの request
を示す CloudTrail イベントのスニペットです。
"requestParameters": {
"snapshotId": "snap-1234567890abcdef0",
"createVolumePermission": {
"add": {
"items": [
{
"userId": "111122223333"
}
]
}
},
"attributeType": "CREATE_VOLUME_PERMISSION"
}
userId
は GuardDuty サービスアカウントであり、選択したリージョンによって異なります。次の表は、各リージョンの GuardDuty サービスアカウントを示します。
AWS リージョン | リージョンコード | GuardDuty サービスアカウント ID (userId ) |
---|---|---|
米国東部 (バージニア北部) |
us-east-1 |
652050842985 |
米国東部 (オハイオ) |
us-east-2 |
178123968615 |
米国西部 (北カリフォルニア) |
us-west-1 |
669213148797 |
米国西部 (オレゴン) |
us-west-2 |
447226417196 |
アジアパシフィック (ムンバイ) |
ap-south-1 |
913179291432 |
アジアパシフィック (大阪) |
ap-northeast-3 |
089661699081 |
アジアパシフィック (ソウル) |
ap-northeast-2 |
039163547507 |
アジアパシフィック (東京) |
ap-northeast-1 |
874749492622 |
アジアパシフィック (シンガポール) |
ap-southeast-1 |
247460962669 |
アジアパシフィック (シドニー) |
ap-southeast-2 |
124839743349 |
カナダ (中部) |
ca-central-1 |
175877067165 |
欧州 (フランクフルト) |
eu-central-1 |
002294850712 |
欧州 (アイルランド) |
eu-west-1 |
283769539786 |
欧州 (ロンドン) |
eu-west-2 |
310125036783 |
欧州 (パリ) |
eu-west-3 |
866607715269 |
ヨーロッパ (ストックホルム) |
eu-north-1 |
693780578038 |
南米 (サンパウロ) |
sa-east-1 |
546914126324 |
欧州 (ミラノ) (オプトイン) |
eu-south-1 |
977238331021 |
アジアパシフィック (香港) (オプトイン) |
ap-east-1 |
249472122084 |
中東 (バーレーン) (オプトイン) |
me-south-1 |
404001805210 |
アフリカ (ケープタウン) (オプトイン) |
af-south-1 |
957664736811 |
アジアパシフィック (ジャカルタ) (オプトイン) |
ap-southeast-3 |
452118225523 |
スタンドアロンアカウントの GuardDuty Malware Protection の設定
AWS Organizations に関連付けられているアカウントの場合、次のセクションで説明されているように、コンソールの設定を使用してこのプロセスを自動化できます。
Malware Protection の追加前に GuardDuty を使用していたアカウントでは、コンソールで GuardDuty を設定することで、これを有効にできます。
Malware Protection を有効または無効にするには
スタンドアロンアカウントの Malware Protection を有効および無効にする手順については、以下のアクセス方法を選択してください。
マルチアカウント環境での Malware Protection の設定
マルチアカウント環境で Malware Protection を設定できるのは、GuardDuty 管理者アカウントのみです。GuardDuty 管理者アカウントは、メンバーアカウントの Malware Protection を有効または無効にできます。管理者がメンバーアカウントに GuardDuty Malware Protection を設定すると、そのメンバーアカウントは管理者アカウントの設定に従い、コンソールからこれらの設定を変更できなくなります。AWS Organizations サポートでメンバーアカウントを管理する GuardDuty 管理者アカウントは、組織内のすべての新しいアカウントで Malware Protection を自動的に有効にすることを選択できます。詳細については、「AWS Organizations を使用した GuardDuty アカウントの管理」を参照してください。
Malware Protection を有効化するために信頼されたアクセスを確立する
GuardDuty の委任管理者が組織の管理アカウントと同じでない場合は、管理アカウントで組織の Malware Protection 機能を有効にする必要があります。このようにすることで、委任された管理者が、AWS Organizations によって管理されるメンバーアカウント内で GuardDuty Malware Protection のためのサービスにリンクされたロールの許可 を作成できます。
GuardDuty の委任された管理者を指定する前に、「GuardDuty の委任された管理者のための重要な考慮事項」を参照してください。
以下のアクセス方法を選択して、GuardDuty の委任管理者がメンバーアカウントの Malware Protection を有効にすることを許可します。
組織のメンバーアカウントの Malware Protection を自動的に有効にする
この機能は、AWS Organizations でメンバーを管理する GuardDuty 管理者だけが利用できます。
GuardDuty Malware Protection は、組織内のすべてのメンバーアカウントに対して有効にできます。
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
ナビゲーションペインで、[Settings] (設定) 内の Malware Protection を選択します。
-
GuardDuty Malware Protection で、管理者アカウントとメンバーアカウントの GuardDuty Malware Protection の現在のステータスが表示されます。
-
[Enable] (有効化) をクリックして、管理者アカウントでマルウェア対策サービスを開始します。
-
[Enable all] (すべて有効化) を選択すると、すべてのメンバーアカウントに対してワンクリックで Malware Protection を有効にでき、選択が確定されます。コンソールには、正常に有効化されたメンバーアカウントの数が表示されます。
有効化されると、左側のナビゲーションペインの [Account] (アカウント) でメンバーアカウントを管理できるようになります。
この操作により、[Auto-enable] (自動有効化) 機能も有効になり、組織内の将来のメンバーアカウントに対して Malware Protection が自動的に有効になります。
メンバーアカウントで Malware Protection を選択的に有効または無効にする
この機能は、AWS Organizations でメンバーを管理する GuardDuty 管理者だけが利用できます。
メンバーアカウントの Malware Protection を選択的に有効および無効にする手順については、以下のアクセス方法を選択してください。
組織に新しく追加されたアカウントに対する Malware Protection の設定
新しく追加されたメンバーアカウントに対しては、まず GuardDuty で [Enable] (有効化) を選択してから、Malware Protection で [Enable] (有効化) もしくは [Disable] (無効化) を選択する必要があります。詳細については、「ステップ 3 - 招待を受け入れる」を参照してください。
招待によって管理されるメンバーアカウントは、自分のアカウントに対して GuardDuty Malware Protection を手動で設定できます。アカウントの Malware Protection の現在のステータスを表示する方法については、以下のアクセス方法を選択してください。
招待によって管理されている組織内の既存のアカウントに対して Malware Protection を有効にする
メンバーアカウントで GuardDuty Malware Protection のサービスにリンクされたロール (SLR) が作成されている必要があります。AWS Organizations によって管理されていないメンバーアカウントでは、管理者が Malware Protection 機能を有効にすることはできません。
現在、https://console.aws.amazon.com/guardduty/
GuardDuty Malware Protection の検出タイプ
Malware Protection は、GuardDuty が検出した結果に応じて次の結果を生成します。このような検出結果は、Malware Protection を有効にしているアカウントに対してのみ生成できます。