みなさん、こんにちは。小寺です。
Amazon GuardDutyマルウェアプロテクションがオンデマンドスキャニング機能に対応しました。

https://aws.amazon.com/about-aws/whats-new/2023/05/amazon-guardduty-malware-protection-on-demand-scanning/

Amazon GuardDutyについて改めておさらい

マネージド型脅威検出サービスのAmazon GuardDutyは、様々なログを監視し、機械学習により脅威を検出します。
「いつの間にか自社のAWS環境が攻撃され、大きな被害につながってしまった」などの事態を避けるために有効なサービスで、AWSを使うベストプラクティスでも、すべてのAWSアカウントでAmazon GuardDutyを有効化することが推奨されています。
考え方としては、「発見的統制」です。事故が起こったときに役立ってくれるのが「Amazon GuardDuty」です。セキュリティの事故が起こったら自動的に気づいて、通知をします。
また、GuardDutyが対象としているのは、AWSのサービスだけではなくAWSのアカウント自体です。つまりAWSの認証情報も対象となります。認証情報は最低限の設定にして利用するという権限の最小化の原則に従うことはもちろんですが、GuardDutyも有効化も忘れずに対応したいところですね。

ただ、一方でGuardDutyの対象範囲としてはあくまでも「検出」を行うところまでです。
マルウェアを含むすべての脅威に関して、検出後の隔離や通信ブロックは、AWSの利用者が判断して別途対応する必要があるということも利用する前提として設計時に考えておきましょう。

Amazon GuardDutyの直近のアップデートについて振り返る

最近GuardDutyの進化が止まらないですね。
改めてドキュメントヒストリーからアップデートについて、振り返ってみました。確認してみると結構量があったので、2023年3月以降に限定しています。

・2023年4月20日:Lambda プロテクション機能がGAに
・2023年4月5日:外部DNSリゾルバーと暗号化されたDNSテクノロジー検出のため3タイプを追加提供
・2023年3月30日:Amazon EKS クラスターのランタイム脅威検出ができるように
・2023年3月23日:OrganizationsからGuardDutyをメンバーアカウントに対してONにする場合、有効化の監査イプションと適用するのに役立つ新しい組織構成の機能が追加
・2023年3月16日:RDSプロテクション機能がGAに
・2023年3月16日:GuardDutyの保護タイプはデータソースとしてではなく機能として提供。
・2023年3月8日:GuardDuty EKS ランタイム監視機能をサポート

アップデート内容

コンテナをホストするために使用されるEC2のインスタンスも含め、EC2インスタンスのインスタンスのオンデマンドマルウェアスキャンを利用できるように機能が追加されました。
このスキャン機能自体は、コンソールからでもAPIからでも利用することができます。

スキャンしている間のパフォーマンスは大丈夫?と心配される方もいらっしゃるかと思いますが、エージェントのインストール、デプロイも不要で、かつ実行中のワークロードのパフォーマンスへ影響がで内容設計されています。
潜在的なマルウェアがGuardDutyによって特定されると、脅威とファイル名、ファイル パス、Amazon EC2 インスタンス ID、リソース タグ、およびコンテナーの場合はコンテナID と使用されているコンテナイメージなどの情報からセキュリティ検出結果を生成します。
この機能は、GuardDutyの既存のマルウェア保護機能に基づいて作られています。

オンデマンドスキャンについてもっと詳しく!

オンデマンドマルウェアスキャンは、Amazon EC2 インスタンスまたはコンテナワークロードに接続されたAmazon Elastic Block Store (Amazon EBS) ボリューム上のマルウェアを検出してくれます。
エージェントのインストールは不要なので、スキャン対象はAmazon EC2インスタンスの Amazon リソースネーム (ARN) を指定します。指定すれば、あとは簡単オンデマンドのマルウェア スキャンを開始できます。

前回スキャンしてからどれくら日数経っている必要があるか?気になりますよね。24時間経過している必要はありません。同じリソースでオンデマンドマルウェアスキャンを開始する前に、1時間が経過している必要があります。

やってみる

(1)コンソールにログインすると新機能に表示がされていますね。

(2)マルウェアスキャンから「Start new on-demand scan」をクリックします。

(3) EC2インスタンスのARNを入力します。

(4) スキャンが開始されます。

利用料金

ここで再度注意事項です。
オンデマンドマルウェアスキャンは、GuardDuty の 30 日間の無料試用期間には含まれていません。スキャンの料金は、マルウェアスキャンごとにスキャンされた Amazon EBS ボリュームの合計に適用されます。

まとめ

マネージド型脅威検出サービスのAmazon GuardDutyがオンデマンドスキャンに対応しました。
AWS Security HubやAmazon EventBridgeを利用した通知の仕組みも合わせて検討しましょう。