はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
AWS環境で稼働するEC2インスタンスのマルウェア対策としてCloud One Workload Securityの導入を検討していますが、Amazon GuardDuty Malware ProtectionもまたAWS上のマルウェア対策のためのサービスであり、どちらを採用すべきか悩んでいるため、本記事にてその違いをまとめてみます。
Cloud One Workload Securityとは
Cloud One Workload Securityとは、トレンドマイクロ株式会社の提供するサーバ保護に必要な複数のセキュリティ機能を、仮想化・クラウド・物理環境にまたがって一元的に提供するSaaS型のセキュリティサービスです。
Amazon GuardDuty Malware Protectionとは
Amazon GuardDuty Malware Protectionは、AWSの脅威検出サービスであるAmazon GuardDutyの機能の一つで、EC2インスタンス上のマルウェアを分析および検出することができます。
両者の比較
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| マルウェアの検知 | 可 | 可 |
| マルウェアの駆除 | 可 | 不可 |
| セキュリティログの監視 | 可 | 不可 ※CloudWatchで対応可能 |
| 脆弱性パッチ自動適用 | 可 | 不可 ※Patch Manager等で対応可能 |
| リアルタイムスキャン | 可 | 不可 |
| サーバへの負荷 | あり | なし |
| 導入方法 | ライセンスの購入 エージェントのインストール 等が必要 |
AWS コンソールから数クリック |
| 料金 | $20~40(月) | アカウント全体料金の1%前後 |
マルウェアの検知
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| マルウェアの検知 | 可 | 可 |
マルウェアの検知は両者ともに可能です。
Cloud One Workload Securityでは不正プログラム対策としてストレージ内のファイルを検索し、脅威となるものが検知された場合に隔離・削除することが可能です。また、不正なプログラムのパターンデータなどの更新を行うことで常に最新の脅威に対応することが可能です。
Amazon GuardDuty Malware ProtectionはAmazon GuardDutyが不正の疑いのあるアクティビティを検知した際に、対象のEC2インスタンスにアタッチされたEBSボリュームをスキャンすることでマルウェアを検出することができます。
マルウェアの駆除
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| マルウェアの駆除 | 可 | 不可 |
Cloud One Workload Securityでは、マルウェアの検出に加えて駆除・隔離などの対処を実行できます。
ポリシー適用・管理、脅威の検知状況の確認、脅威に対する駆除・隔離などの対処の実行など、一連のセキュリティ運用をひとつのコンソールで実施します。
引用:https://www.trendmicro.com/ja_jp/business/products/endpoint-security.html
Amazon GuardDuty Malware Protectionはあくまでもマルウェアの検出の機能のため、それ単体では駆除や隔離といった対処はできません。
他のAWSサービスにおいても脅威の駆除に特化したサービスは現状ないので、必要に応じてMarketplaceなどを活用してCloud One Workload SecurityのようなSaaSを取り入れていく必要がありそうです。
セキュリティログの監視
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| セキュリティログの監視 | 可 | 不可 ※CloudWatchで対応可能 |
Cloud One Workload Securityは、「セキュリティログ監視」機能により、ログファイルのリアルタイム分析が可能になります。 ユーザで定義する独自のカスタムルールを作成しログ監視を行うことも可能ですが、OSやアプリケーションに対応した事前定義ルールを使用したログ監視も可能です。
Workload Security の セキュリティログ監視 機能により、サードパーティのログファイルのリアルタイム分析が可能になります。 セキュリティログ監視 のルールとデコーダは、さまざまなシステムにわたるイベントの解析、分析、順位付け、および相関付けを行うフレームワークを提供します。侵入防御および整合性監視と同様に、 セキュリティログ監視 コンテンツは、セキュリティアップデートに含まれるルールの形式で配信されます。これらのルールによって、分析するアプリケーションとログの選択を高いレベルで選択することができます。
引用:https://cloudone.trendmicro.com/docs/jp/workload-security/log-inspection/
前述の通りAmazon GuardDuty Malware Protectionはあくまでもマルウェアの検出の機能のため、単体ではログ監視はできませんが、AWSサービスの一つであるAmazon CloudWatchを活用することでログの監視及びアラート機能を実装できます。
脆弱性パッチ自動適用
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| 脆弱性パッチ自動適用 | 可 | 不可 ※Patch Manager等で対応可能 |
Cloud One Workload Securityは、トレンドマイクロ社がパフォーマンスの向上やバグの修正を目的として定期的に更新するセキュリティルールを自動的に適用することができます。
パッチ管理もAmazon GuardDutyでは対応していませんが、AWS Systems Managerの機能であるPatch Managerを使用することで脆弱性パッチの自動適応が可能になります。
リアルタイムスキャン
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| リアルタイムスキャン | 可 | 不可 |
Cloud One Workload Securityの不正プログラム対策における脆弱性スキャンのタイミングは以下の3パターンです。
- リアルタイム検索: ディスクへの読み取り、書き込みまたはその両方が発生したタイミングで該当のファイルをスキャンする
- 手動検索: C1WSのコンソール上から任意のタイミングで手動スキャンを行う
- 予約検索: C1WSのコンソール上で設定したスケジュールに従ってスキャンを行う
Amazon GuardDuty Malware Protectionにおける脆弱性スキャンのタイミングは以下の2パターンです。
- GuardDuty-initiated: Amazon GuardDutyが疑いのあるアクティビティを検知したタイミングで、対象のEC2インスタンスにアタッチされたEBSボリュームをスキャンする。前回のスキャンから24時間は再度スキャンされることはない。
- オンデマンド: AWSコンソールから任意のタイミングで手動スキャンを行う。再度スキャンを行う場合は、前回のスキャンから1時間以上経過している必要がある。
※Amazon GuardDuty Malware Protectionでは定期実行の設定はできませんが、LambdaやEventBridgeなどを利用して定期的にオンデマンドのスキャンを実行することは可能です。
両者とも手動(オンデマンド)スキャン、定期スキャンは可能ですが、リアルタイムでのスキャンについてはCloud One Workload Securityの強みといえます。
サーバへの負荷
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| サーバへの負荷 | あり | なし |
Cloud One Workload Securityはそのサーバー上で動作するため、スキャン時などは当然CPUやメモリを消費します。
対してAmazon GuardDuty Malware Protectionは、GuardDutyは、GuardDutyが疑いのあるアクティビティを検知すると対象のEC2インスタンスに紐づけられたEBSボリュームのスナップショットを作成し、それに対してマルウェアスキャンを行います。そのため対象のEC2インスタンスに直接負荷がかかることはない(もしくはごくわずか)といえます。
導入方法
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| 導入方法 | ライセンスの購入 エージェントのインストール 等が必要 |
AWS コンソールから数クリック |
Cloud One Workload Securityの導入にはアカウント作成、ライセンスの購入、エージェントのインストールなどを行う必要があります。
Amazon GuardDuty Malware ProtectionはAWSコンソールで数クリックで開始することができます。
料金
| Cloud One Workload Security | Amazon GuardDuty Malware Protection | |
|---|---|---|
| 料金 | $20~40(月) | アカウント全体料金の1%前後 |
Cloud One Workload Securityは使用時間1時間あたりの従量課金制度になっており、以下の価格となっています。
| 課金階層 | 詳細 | 費用(USD) |
|---|---|---|
| 中小規模のコンピュータ | Amazon EC2: C1、M1、M3、T1、T2 | $0.011/インスタンス |
| 大型コンピュータ | Amazon EC2: C3、C4、M1、M3、M4、R3、T2 | $0.032/インスタンス |
| 超大規模の大規模コンピュータ | Amazon EC2: C1、C3、C4、CC2、CG1、CR1、D2、G2、HI1、HS1、I2、M1、M2、M3、M4、R3 | $0.047/インスタンス |
1ヶ月間の使用料金を計算すると以下のようになります。
中小規模のコンピュータ:0.011 * 24 * 30 = 7.92USD
大型コンピュータ:0.032 * 24 * 30 = 23.02USD
超大規模の大規模コンピュータ:0.047 * 24 * 30 = 33.84USD
マルウェア対策の必要のあるシステムと考えると、大型コンピュータや超大規模の大規模コンピュータだと予想できるため、月間の利用料金は1インスタンスあたり約$20~40と概算できます。
Amazon GuardDuty Malware ProtectionはスキャンしたGBあたりの従量課金制度で、0.05USD/GBが月額で請求されます。
常にスキャンをし続けているわけではないので概算が難しいですが、以下のブログで記載のある通りGuardDutyの利用費はAWS利用費全体の1%前後になることが多いです。
まとめ
調査の結果、Cloud One Workload Securityはリアルタイムでの脅威検出や脅威の隔離/駆除を行えることに強みがあり、Amazon GuardDuty Malware Protectionは導入の容易さやコスト面に強みがあることがわかりました。
セキュリティ要件に応じてCloud One Workload SecurityのようなSaaS製品の導入をするか、AWSサービスで完結させるかを検討していきましょう。
0
