サービスの概要

Q: Amazon GuardDuty とは何ですか?

GuardDuty は、AWS アカウント、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Kubernetes Service (EKS) クラスター、Amazon Simple Storage Service (S3) に保存されたデータについて、セキュリティソフトウェアやエージェントを使用せずに悪意のあるアクティビティを継続的にモニタリングする、インテリジェント脅威検出サービスです。異常な動き、認証情報の逆浸出、コマンドおよびコントロールインフラストラクチャ (C2) 通信などの潜在的な悪意のあるアクティビティが検出された場合、GuardDuty はセキュリティの可視化と修復の支援に使用できる詳細なセキュリティ検出結果を生成します。さらに、Amazon GuardDuty Malware Protection 機能を使用すると、EC2 インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (EBS) ボリューム上の悪意のあるファイルを検出することができます。

Q: GuardDuty の主な利点は何ですか?

GuardDuty を使用すると、AWS のアカウントとワークロード、および Amazon S3 に保存されたデータの継続的なモニタリングがより簡単にできるようになります。GuardDuty はリソースとは完全に独立して動作するため、ワークロードにパフォーマンスや可用性の影響を与えることはありません。このサービスは、統合された脅威インテリジェンス、機械学習 (ML) 異常検出、およびマルウェアスキャンによって完全に管理されます。GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと統合できるように設計されています。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

Q: GuardDuty にはどれくらいのコストがかかりますか?

GuardDuty の料金は、分析したサービスログの量とマルウェアをスキャンしたデータ量に基づいています。分析されたサービスログは、コスト最適化のためにフィルタリングされ、GuardDuty に直接統合されているため、個別に有効化したり料金を支払ったりする必要はありません。

その他の詳細と料金の例については、Amazon GuardDuty の料金を参照してください。

Q.GuardDuty 支払者アカウントの推定コストは、リンクしたアカウントすべてに対する合計コストを示しているのですか、それともその支払人のアカウントのみですか?

見積もりコストは、個々の支払者アカウントのコストを表し、GuardDuty 管理者アカウントで各メンバーアカウントの請求済み使用量と 1 日の平均コストを確認できます。詳細な使用量情報を確認するには、個々のアカウントにアクセスする必要があります。

 

Q: GuardDuty の無料トライアルはありますか?

はい。GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットと検出をご使用いただけます。試用期間中は、GuardDuty コンソールの使用量のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

Q: GuardDuty と Amazon Macie の違いは何ですか?

GuardDutyは、AWS のアカウント、ワークロード、データの広範なセキュリティモニタリングを提供し、攻撃者の偵察、インスタンスの侵害、アカウントの侵害、バケットの侵害、Amazon EKS クラスターの侵害、およびマルウェアなどの脅威を特定するのに役立ちます。Macie は、機械学習とパターンマッチングを使用して S3 内の機密データを検出する、フルマネージド機密データ検出サービスです。

Q: GuardDuty は、リージョン別またはグローバルのどちらのサービスですか?

GuardDuty はリージョン別のサービスです。複数のアカウントが有効となっていて、複数のリージョンが使用されている場合でも、GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。ただし、Amazon CloudWatch Eventsを使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を AWS Security Hub に送信し、リージョン間の集計機能を利用することもできます。

Q: GuardDuty はどのリージョンをサポートしていますか?

GuardDuty のリージョン別可用性は、AWS リージョン別サービス表に記載されています。

Q: どのパートナーが GuardDuty と連携していますか?

多くのテクノロジーパートナーが GuardDuty を統合して構築しています。また、GuardDuty について専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。詳しくは、Amazon GuardDuty パートナーページをご覧ください。

Q: GuardDuty は、PCI データセキュリティスタンダード (PCI DSS) 要件に対応するうえで役に立ちますか?

Foregenix が公開したホワイトペーパーでは、PCI DSS 要件 11.4 などの要件を満たすことを支援する GuardDuty 有効性の詳細な評価を提供しています。これには、ネットワークの重要なポイントにおける侵入検知技術が必要です。

GuardDuty の有効化

Q: GuardDuty を有効にするにはどうすればよいですか?

AWS マネジメントコンソールでわずか数回クリックするだけで GuardDuty を設定、デプロイすることができます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

Q: GuardDuty で複数のアカウントを管理できますか?

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、CloudWatch Events も GuardDuty 管理者アカウントに集約されます。また、GuardDuty は AWS Organizations と統合されており、組織のために GuardDuty の管理者アカウントを委任することができます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。

Q: GuardDuty ではどのデータソースを分析するのですか?

GuardDuty は、CloudTrail 管理イベントログ、CloudTrail S3 データイベントログ、VPC Flow Logs、DNS クエリログ、Amazon EKS 監査ログを分析します。また、GuardDuty Malware Protection が有効な場合は、EBS ボリュームデータをスキャンしてマルウェアの可能性を調べ、EC2 インスタンスまたはコンテナのワークロードの悪意のあるソフトウェアを示す疑わしい動きを特定することができます。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、GuardDuty エンジニアリングがこれらを維持、および継続的に改善しています。

Q: GuardDuty はどの程度、迅速に動作できますか?

有効にすると、GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。

Q: GuardDuty を動作させるためには、CloudTrail、VPC Flow Logs、DNS クエリログ、Amazon EKS 監査ログを有効にする必要がありますか?

いいえ。GuardDuty は、CloudTrail、VPC Flow Logs、DNS クエリログ、および Amazon EKS から独立したデータストリームを直接取得します。S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクされたロールとして管理されます。GuardDuty はいつでも無効にでき、その場合、すべての GuardDuty アクセス許可が削除されます。これにより、複雑な設定を回避できるため、サービスを有効にすることがより容易になります。また、サービスにリンクされたロールにより、AWS Identity and Access Management (IAM) アクセス許可の設定ミスや S3 バケットのポリシー変更がサービス運用に影響を与える可能性もなくなります。最後に、サービスにリンクしたロールにより、ほぼリアルタイムで大量のデータを消費する時に GuardDuty が非常に効率的に活用されるため、アカウントやワークロードのパフォーマンス、および可用性にほとんど影響を与えません。

Q: アカウントで GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?

GuardDuty は、お客様の AWS リソースとは完全に独立して動作するため、お客様のアカウントやワークロードのパフォーマンスや可用性に影響を与えることはないはずです。

Q: GuardDuty はログを管理または保持しますか?

いいえ、GuardDuty はログを管理または保持しません。GuardDuty が消費するすべてのデータは、ほぼリアルタイムで分析され、その後破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

Q: GuardDuty がログとデータソースを調べないようにするにはどうすればよいですか?

サービスの一時停止を選択することで、一般設定で、GuardDuty のデータソース分析をいつでも防ぐことができます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、既存の検出結果や設定構成などの残りのすべてのデータを削除します。また、GuardDuty S3 Protection や GuardDuty EKS Protection などの機能は、マネジメントコンソールや AWS CLI から選択的に無効化することが可能です。

GuardDuty の検出結果

Q: GuardDuty では何を検出できますか?

GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、GuardDuty エンジニアが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

  • 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な EC2 認証情報、DNS を使用したデータの逆浸出などです。
  • アカウントの侵害: アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、CloudTrail ログ記録を無効にする試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、認証情報の逆浸出、悪意のある既知の IP アドレスからの API コールが含まれます。
  • バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な S3 API 活動、悪意のある既知の IP アドレスからの不正な S3 アクセス、ユーザーから S3 バケットのデータを取得する API コールなど、バケットの侵害を示す活動です。バケットにアクセスしたり、異常な場所から呼び出されたりといった履歴はありません。GuardDuty は、CloudTrail S3 データイベント (GetObject、ListObjects、および DeleteObject など) を継続的に監視および分析して、S3 バケット全体の不審な活動を検出します。
  • マルウェアの検出: GuardDuty は、EC2 インスタンスまたはコンテナのワークロードに悪意のあるソフトウェアを示す疑わしい動きを特定すると、マルウェア検出のスキャンを開始します。GuardDuty は、EC2 インスタンスまたはコンテナのワークロードにアタッチされた EBS ボリュームの一時的なレプリカを生成し、そのボリュームレプリカに対して、ワークロードの侵害、悪意のある使用へのリソース再利用、データへの不正アクセスに使用される可能性のあるトロイの木馬、ワーム、暗号マイナー、ルートキット、ボットなどのスキャンを実施します。GuardDuty Malware Protection は、疑わしい動きのソースを検証することができる、コンテキストに基づいた検出結果を生成します。これらの検出結果は、適切な管理者にルーティングされ、自動的な修復を開始することができます。
  • コンテナの侵害: Amazon EKS 監査ログを分析して Amazon EKS クラスターを継続的にモニタリングとプロファイリングすることによって、コンテナワークロードにおける悪意のある、または疑わしい可能性のある動きを特定するアクティビティです。

Q: GuardDuty の脅威インテリジェンスとは何ですか?

GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS と Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。

Q: 自分の脅威インテリジェンスを使用することはできますか?

はい、GuardDuty では、独自の脅威インテリジェンスや信頼できる IP アドレスのリストをアップロードすることができます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

Q: セキュリティの検出結果はどのように配信されますか?

潜在的な脅威が検出されると、GuardDuty によって GuardDuty コンソールと CloudWatch Events に詳細なセキュリティの検出結果が配信されます。こうしてアラートをより迅速に活用でき、既存のイベント管理システムやワークフローシステムにより簡単に統合することができます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

Q: GuardDuty の検出結果の形式は何ですか?

GuardDuty の検出結果は、一般的な JavaScript オブジェクト表記 (JSON) 形式で送信されます。これは Macie と Amazon Inspector でも使用されるものです。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果をより簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションにより簡単に組み込むことできます。

Q: GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?

セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、CloudWatch イベントを有効にして、検出結果をアカウントや他のデータストア内の S3 バケットに自動的にプッシュします。

Q: GuardDuty の検出結果を集約できますか?

はい、CloudWatch Eventsを使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を Security Hub に送信し、リージョン間の集計機能を利用することもできます。

Q: GuardDuty を使用して自動での予防処置を講じることはできますか?

GuardDuty、CloudWatch Events、および AWS Lambda を使用すると、セキュリティの検出結果に基づいて、自動での修復処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、CloudWatch Events ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数を起動します。

Q: GuardDuty の検出はどのように開発され、管理されていますか?

GuardDuty には、検出のエンジニアリング、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んでいる可能性のあるフィードバックを提供することができます。

Q: Amazon GuardDuty でカスタムの検出を作成できますか?

いいえ、GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。また、AWS セキュリティエンジニアと GuardDuty のエンジニアリングチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。ただし、お客様が設定するカスタマイズでは、独自の脅威リストや信頼できる IP アドレスリストを追加することができます。

GuardDuty S3 Protection

Q: 現在 GuardDuty を使用している場合、S3 Protection を使用開始するにはどうすればよいですか?

現在の GuardDuty アカウントでは、コンソールで、または API を通じて、S3 Protection を有効にできます。GuardDuty コンソールで、S3 Protection コンソールページに移動して、ご使用のアカウントのこの機能を有効にできます。これにより、GuardDuty S3 Protection 機能の 30 日間無料トライアルが始まります。

Q: GuardDuty S3 Protection の無料トライアルはありますか?

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection の機能を含む GuardDuty の 30 日間無料トライアルを取得できます。すでに GuardDuty を有効にしているアカウントには、S3 Protection 機能を最初に有効にする際に、30 日間無料トライアルが提供されます。

Q: GuardDuty の新規ユーザーの場合、私のアカウントでは S3 Protection がデフォルトで有効になっていますか?

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、S3 の自動有効化オプションがオンになっていない限り、デフォルトでは S3 Protection がオンになりません。

Q: GuardDuty サービス全体 (VPC Flow Logs、DNS クエリログ、CloudTrail 管理イベントの分析を含む) を有効にせずに、GuardDuty S3 Protection を使用できますか?

いいえ、S3 Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントは S3 Protection を有効にするオプションがあり、新しい GuardDuty アカウントは GuardDuty サービスを有効にするとデフォルトでこの機能が搭載されます。

Q: GuardDuty は、私のアカウント内のすべてのバケットをモニタリングして、S3 デプロイを保護するのに役立ちますか?

はい、S3 Protection は、デフォルトで、環境内のすべての S3 バケットをモニタリングします。

Q: S3 Protection 用 CloudTrail S3 データイベントログ記録をオンにする必要がありますか?

いいえ、GuardDuty は CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログ記録を有効にする必要はないため、関連するコストは発生しません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

GuardDuty EKS Protection

Q: GuardDuty EKS Protection はどのように機能するのですか?

GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Amazon EKS 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Amazon EKS 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびコンテナレベルの詳細 (ポッド ID、コンテナイメージ ID、関連付けられたタグなど) を含むセキュリティの検出結果を生成します。

Q: GuardDuty EKS Protection は Amazon EKS ワークロードでどのような種類の脅威を検出できますか?

GuardDuty EKS Protection は、Amazon EKS 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Amazon EKS 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習モデルを使用して、GuardDuty は、基盤となる EC2 ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを特定できます。新たに行えるようになった検出を網羅したリストについては、Amazon GuardDuty 検出結果タイプを参照してください。

Q: Amazon EKS 監査ログをオンにする必要がありますか?

いいえ、GuardDuty は Amazon EKS 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。

Q: GuardDuty EKS Protection の無料トライアルはありますか?

はい。30 日間の無料トライアルがあります。各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (GuardDuty EKS Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用量のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

Q: 現在 GuardDuty を使用している場合、GuardDuty EKS Protection を使用開始するにはどうすればいいですか?

GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty EKS Protection コンソールページから、GuardDuty コンソールでワンクリックでアカウントの機能を有効にすることができます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection のページで、組織全体で GuardDuty EKS Protection を有効にできます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Amazon EKS の自動有効化を明示的にオンにする必要があります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。

Q: 新規に GuardDuty を使用する場合、私のアカウントでは GuardDuty EKS Protection がデフォルトで有効になっていますか?

はい、コンソールまたは API を通じて GuardDuty を有効にしている新規アカウントでは、デフォルトで GuardDuty EKS Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Amazon EKS の自動有効化オプションがオンになっていない限り、デフォルトでは GuardDuty EKS Protection がオンにならないことに留意してください。

Q: GuardDuty EKS Protection を無効にするにはどうすればよいですか?

コンソールで、または API を使用して、この機能を無効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を無効にすることができます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、この機能を無効にすることもできます。

Q: GuardDuty EKS Protection を無効にした場合、再度有効にするにはどうすればよいですか?

GuardDuty EKS Protection を以前に無効にした場合、コンソールで、または API を使用して、機能を再度有効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を有効にすることができます。

Q: 各 AWS アカウントと Amazon EKS クラスターで GuardDuty EKS Protection を個別に有効化する必要がありますか?

GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection コンソールページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。

Q: Amazon EKS を使用せず、GuardDuty で GuardDuty EKS Protection を有効にした場合、料金が発生しますか?

Amazon EKS を利用しておらず、GuardDuty EKS Protection を有効にしている場合、GuardDuty EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、GuardDuty は自動的にクラスターをモニタリングし、特定された問題に対する検出結果を生成しますが、このモニタリングに対する料金が発生します。

Q: GuardDuty サービス全体 (VPC Flow Logs、DNS クエリログ、CloudTrail 管理イベントの分析を含む) を有効にせずに、GuardDuty EKS Protection を有効にできますか?

いいえ、GuardDuty サービスを有効にして、GuardDuty EKS Protection を有効にする必要があります。

Q: GuardDuty EKS Protection は、AWS Fargate での Amazon EKS デプロイ用の Amazon EKS 監査ログをモニタリングしますか?

はい、GuardDuty EKS Protection は、EC2 インスタンスにデプロイされた Amazon EKS クラスターと Fargate にデプロイされた Amazon EKS クラスターの両方からの Amazon EKS 監査ログをモニタリングします。

Q: GuardDuty は EC2 または Amazon EKS Anywhere で非マネージド型の Amazon EKS をモニタリングしますか?

現在、この機能は、アカウントの EC2 インスタンスまたは Fargate で実行されている Amazon EKS デプロイのみをサポートしています。

Q: GuardDuty EKS Protection を使用すると、Amazon EKS におけるコンテナ実行のパフォーマンスまたはコストに影響しますか?

いいえ、GuardDuty EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

Q: 各 AWS リージョンで個別に GuardDuty EKS Protection を有効にする必要がありますか?

はい、GuardDuty はリージョン別のサービスであり、GuardDuty EKS Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Malware Protection

Q: Amazon GuardDuty Malware Protection の仕組みを教えてください。

GuardDuty は、EC2 インスタンスまたはコンテナのワークロードで悪意のあるソフトウェアを示す不審な動きを特定すると、マルウェア検出スキャンを開始します。GuardDuty が生成する、EBS ボリュームのスナップショットに基づくレプリカ EBS ボリュームに対して、トロイの木馬、ワーム、暗号化マイナー、ルートキット、ボットなどのスキャンを実行します。GuardDuty Malware Protection は、疑わしい動きのソースを検証するのに役立つ、コンテキストに基づいた検出結果を生成します。また、これらの検出結果は適切な管理者にルーティングされ、自動的な修復を開始することができます。

Q: マルウェアスキャンを開始する GuardDuty EC2 の検出結果はどのタイプですか?

マルウェアスキャンを開始する GuardDuty EC2 の検出結果は、こちらにリストアップされています。

Q: GuardDuty Malware Protection は、どのリソースとファイルタイプをスキャンできますか?

Malware Protection は、EC2 インスタンスにアタッチされた EBS をスキャンすることで、悪意のあるファイルの検出をサポートします。ボリューム上に存在するあらゆるファイルをスキャンすることができ、サポートされているファイルシステムの種類はこちらで確認できます。

Q: GuardDuty Malware Protection は、どのようなタイプの脅威を検出することができますか?

Malware Protection は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど、ワークロードのセキュリティを侵害し、リソースを悪意のある用途に再利用し、データに不正にアクセスするために使用される可能性のある脅威をスキャンします。

Q: GuardDuty Malware Protection を動作させるには、ログ記録をオンにする必要がありますか?

GuardDuty または Malware Protection 機能を動作させるために、サービスログ記録を有効にする必要はありません。Malware Protection 機能は GuardDuty の一部であり、内部および外部の統合されたソースからのインテリジェンスを使用する AWS のサービスです。

Q: GuardDuty Malware Protection は、エージェントを使用せずにどのようにスキャンを実現しているのですか?

セキュリティエージェントを使用する代わりに、GuardDuty Malware Protection は、アカウント内の感染の可能性がある EC2 インスタンスまたはコンテナのワークロードにアタッチされている EBS ボリュームのスナップショットを基にレプリカを作成し、スキャンを行います。サービスにリンクされたロールを介して GuardDuty に付与されたアクセス許可により、サービスはアカウントに残っているそのスナップショットから GuardDuty のサービスアカウントに暗号化されたボリュームレプリカを作成することができます。GuardDuty Malware Protection は、このボリュームレプリカをスキャンしてマルウェアを検出します。

Q: GuardDuty Malware Protection の無料トライアルはありますか?

はい、各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (Malware Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用量のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

Q: 現在 GuardDuty を使用している場合、GuardDuty Malware Protection を使用するにはどうすればよいですか?

GuardDuty コンソールで Malware Protection を有効にするには、Malware Protection ページにアクセスするか、API を使用します。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Malware Protection コンソールページで、組織全体でこの機能を有効にできます。これにより、すべての個々のメンバーアカウントでマルウェアのモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的に有効にする必要があります。

Q: GuardDuty の新規ユーザーの場合、私のアカウントでは Malware Protection がデフォルトで有効になっていますか?

はい、コンソールまたは API を使用して GuardDuty を有効にしている新規アカウントでは、デフォルトで GuardDuty Malware Protection が有効になります。AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的にオンにする必要があります。 

Q: GuardDuty Malware Protection を無効にするにはどうすればよいですか?

この機能は、コンソールで、または API を使用して、無効にすることができます。GuardDuty コンソールの Malware Protection コンソールページに、アカウントの Malware Protection を無効にするオプションが表示されます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、Malware Protection を無効にすることもできます。

Q: GuardDuty Malware Protection を無効にした場合、再度有効にするにはどうすればよいですか?

Malware Protection が無効になっている場合、コンソールで、または API を使用して、この機能を有効にすることができます。GuardDuty コンソールでアカウントの Malware Protection を有効にするには、Malware Protection コンソールページを開きます。

Q: 請求期間中に GuardDuty のマルウェアスキャンが 1 度も実行されなかった場合、料金は発生しますか?

いいえ、請求期間中にマルウェアのスキャンが行われなかった場合、Malware Protection に料金はかかりません。AWS 請求コンソールでこの機能のコストを確認できます。

Q: GuardDuty Malware Protection はマルチアカウント管理をサポートしていますか?

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって Malware Protection を含む GuardDuty を完全にカバーするのに役立ちます。

Q: 設定を変更したり、ソフトウェアをデプロイしたり、AWS デプロイを変更したりする必要がありますか?

いいえ、この機能を有効にすると、GuardDuty Malware Protection は、関連する EC2 の検出結果に対応してマルウェアスキャンを開始します。エージェントをデプロイする必要はなく、ログソースを有効にする必要もなく、その他の設定変更も必要ありません。

Q: GuardDuty Malware Protection を使用すると、ワークロードの実行性能に影響がありますか?

GuardDuty Malware Protection は、ワークロードのパフォーマンスに影響を与えないように設計されています。例えば、マルウェア分析用に作成された EBS ボリュームスナップショットは 24 時間に 1 回しか生成できませんし、GuardDuty Malware Protection はスキャン完了後数分間、暗号化されたレプリカとスナップショットを保持します。さらに、GuardDuty Malware Protection は、顧客のコンピューティングリソースではなく、GuardDuty のコンピューティングリソースをマルウェアスキャンに使用します。

Q: 各 AWS リージョンで個別に GuardDuty Malware Protection を有効にする必要がありますか?

はい、GuardDuty はリージョン別のサービスであり、Malware Protection は各 AWS リージョンで個別に有効にする必要があります。

Q: GuardDuty Malware Protection はどのように暗号化を使用するのですか?

GuardDuty Malware Protection は、アカウント内の感染の可能性がある EC2 インスタンスまたはコンテナのワークロードにアタッチされている EBS ボリュームのスナップショットに基づくレプリカをスキャンします。お客様の EBS ボリュームがお客様が管理するキーで暗号化されている場合、AWS Key Management Service (KMS) キーを GuardDuty と共有するオプションがあり、サービスは同じキーを使用してレプリカ EBS ボリュームを暗号化します。暗号化されていない EBS ボリュームの場合、GuardDuty は独自のキーを使用してレプリカ EBS ボリュームを暗号化します。

Q: EBS ボリュームのレプリカは、元のボリュームと同じリージョンで分析されますか?

はい、すべてのレプリカ EBS ボリュームのデータ (およびレプリカボリュームが基づいているスナップショット) は、元の EBS ボリュームと同じリージョンに残ります。

Q: GuardDuty Malware Protection にかかる費用を見積もり、管理するにはどうすればよいですか?

各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (Malware Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用量のページで試用期間終了後のコスト見積もりを行うことができます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

この機能の料金は、1 ボリュームでスキャンされたデータの GB に基づいています。コンソールからスキャンオプションを使用してカスタマイズを適用し、タグを使用して一部の EC2 インスタンスをスキャン対象または対象外にすることで、コストを抑制することができます。また、GuardDuty は EC2 インスタンスを 24 時間に 1 回のみスキャンします。GuardDuty が 24 時間以内に EC2 インスタンスに対して複数の EC2 検出結果を生成した場合、スキャンは最初の関連する EC2 の検出結果に対してのみ実行されます。あるインスタンスについて、最後のマルウェアスキャンから 24 時間経過しても EC2 検出結果が続いている場合、そのインスタンスに対して新しいマルウェアスキャンが開始されます。

Q: GuardDuty Malware Protection によって取得されたスナップショットを保持することはできますか?

はい、Malware Protection のスキャンでマルウェアが検出されたときに、スナップショットの保持を有効にできる設定があります。この設定は、GuardDuty コンソールの設定ページで有効にすることができます。デフォルトでは、スナップショットはスキャンが完了してから数分後に削除され、スキャンが完了しなかった場合は 24 時間後に削除されます。

Q: デフォルトでは、レプリカ EBS ボリュームが保持される最大期間はどのくらいですか?

GuardDuty Malware Protection は、生成およびスキャンした各レプリカ EBS ボリュームを最大で 24 時間保持します。デフォルトでは、レプリカ EBS ボリュームは、GuardDuty Malware Protection がスキャンを完了してから数分後に削除されます。ただし、サービスの停止や接続の問題によりマルウェアのスキャンが妨げられた場合、GuardDuty Malware Protection はレプリカ EBS ボリュームを 24 時間以上保持する必要がある場合があります。この場合、GuardDuty Malware Protection はレプリカ EBS ボリュームを最大 7 日間保持し、停止または接続の問題のトリアージと対処のためのサービス時間を確保します。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が過ぎると、レプリカ EBS ボリュームを削除します。

Q: 1 つの EC2 インスタンスまたはコンテナのワークロードに対して、マルウェアの可能性を示す複数の GuardDuty の検出結果があった場合、複数のマルウェアスキャンが開始されますか?

いいえ、GuardDuty は、感染の可能性がある EC2 インスタンスまたはコンテナのワークロードにアタッチされた EBS ボリュームのスナップショットに基づくレプリカを、24 時間に 1 回スキャンするだけです。GuardDuty がマルウェアスキャンを開始するのに適した複数の検出結果を生成した場合でも、前回のスキャンから 24 時間未満であれば追加のスキャンは開始されません。前回のマルウェアスキャンから 24 時間後に GuardDuty が適格な検出結果を生成した場合、GuardDuty Malware Protection は、そのワークロードに対して新しいマルウェアスキャンを開始します。

Q: GuardDuty を無効にした場合、Malware Protection 機能も無効にしなければなりませんか?

いいえ、GuardDuty サービスを無効にすると、Malware Protection 機能も無効になります。

料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細 
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン