Zenn
NCDCエンジニアブログ
🍥

有効化だけで使える運用や保守が楽になるAWSサービスたち

いばらき
2023/02/01に公開
AWS
Inspector
#
guardduty
Security Hub
#
macie
tech

はじめに

AWSには現時点で200を超えるサービスがあります。それぞれのサービスの使い方を把握して使いこなすのは、かなり大変です。しかし、中には有効化するだけで使えるサービスも存在します。

もちろん、有効化するだけのサービスだけで開発が完了できるわけではありません。しかし、セキュリティや運用や保守、予算管理などのイマイチ面白くない(個人の感想です)けどエライ人たちがやたらと気にする(個人の感想です)ことを、AWSが自動で実施してくれます。

とりあえず有効化することで、ワンランク上のアプリ開発しましょう。

有効化するだけで使えるAWSサービスの紹介

今回紹介するサービス一覧

  • セキュリティ系
    • 異常検知
      • Amazon GuardDuty : 脆弱性の動的検知
      • Amazon Macie : 機密情報の検知
      • Amazon Inspector : 脆弱性の静的診断
      • AWS Config : AWSの構成のポリシー違反を検知
      • AWS Security Hub : セキュリティ検知の統合/ダッシュボード
    • 原因分析
      • Amazon Detective : 検知されたセキュリティ問題の原因分析
  • 障害検知系
    • Amazon DevOps Guru : アプリケーションの異常な動作を検知
  • コスト系
    • AWS Cost Anomaly Detection : 異常なコスト増を検知

詳細

Amazon GuardDuty

https://aws.amazon.com/jp/guardduty/
AWSアカウントに対する悪意ある攻撃やマルウェア等のよる異常な挙動などを検知します。
海外からブルートフォース攻撃を仕掛けられているなどの警告もしてくれます。

Amazon Macie

https://aws.amazon.com/jp/macie/
AWSアカウント内のS3に機密データがあるかどうかを検知します。
データの保護が適切にされているかも教えてくれます。
以前は手動での設定や実行が必須でしたが、2022年のre:Inventで有効化するだけでも使えるようになりました。

Amazon Inspector

https://aws.amazon.com/jp/inspector/
AWSアカウントに対して脆弱性の診断を継続的に実施してくれます。
GuardDutyが動的な脆弱性検知なのにたいして、Inspectorは静的な脆弱性診断になります。
2021年のre:Inventでv2になりECRに対応したことで使いやすくなり、2022年のre:InventでLambdaにも対応しました。コンテナとサーバレスの脆弱性診断もできるかなり頼もしいサービスになっています。
さらに、2023年のre:InventでAIがLambdaのコードの修正案を表示してくれるようになりました。進化が止まらないサービスです。

AWS Config

https://aws.amazon.com/jp/config/
AWSのリソース構成が組織のポリシーに適合しているかをチェックしてくれます。
使いこなすには組織のポリシーを設定する必要があり、有効化するだけとは言い難いので対象にするか悩んだのですが、下記の理由により紹介することにしました。

  • とりあえず有効化するだけでもデフォルトで最低限の動作すること
  • 後述するSecurity Hubを有効化するための条件になっていること

AWS Security Hub

https://aws.amazon.com/jp/security-hub/
AWSのセキュリティステータスを一括表示できます。
これまでに挙げたGuardDuty、Macie、Inspector、Configを全て統合して表示することもできます。
全部有効化しても個別に確認するのが面倒くさいし通知を作るのも面倒くさいと思うので、とりあえずはSecurity Hubで見るのをお勧めします。

Amazon Detective

https://aws.amazon.com/jp/detective/
潜在的なセキュリティ問題や不審なアクティビティの根本原因を分析、調査し、特定する為のサービスです。つまり、GuardDutyやSecurity Hubが検知した問題点に対して、原因を自動で調査してくれます。(関連サービスにMacieやInspectorも載っていますが、これらの調査を自動でするとは書いてないので多分してくれないです。今後に期待。)

ココから上のサービスをとりあえず全てONにして、Security Hubのダッシュボードをチェックして、何か検知されたらDetectiveに原因を調査してもらって潰していくようにすれば、セキュリティリスクはかなり軽減できます。

Amazon DevOps Guru

https://aws.amazon.com/jp/devops-guru/
アプリケーションの異常な動作を検知します。つまり障害を自動で検知してくれます。
日本語の説明を読んでも、機械学習が云々とか書いてあって分かりにくい雰囲気がありますが、実態は障害が発生したら自動で検知することができる機能なので、かなり便利です。

AWS Cost Anomaly Detection (コスト異常検出)

https://aws.amazon.com/jp/aws-cost-management/aws-cost-anomaly-detection/
AWSの使用料で通常とは異なるコストが発生した場合に、検出して通知してくれます。
通常の予算アラートと比べて細かいカスタマイズはできませんが、その分簡単に設定できます。
お試しで使ってみたサービスを消し忘れたら思ったより高かった。。。みたいなことが大問題になる前に発見できます。

注意事項

これらのサービスを有効すると、使用量に応じた費用は発生します。
そんなにお高くないので設定する価値があると思いますが、気になる方は念のため料金をチェックしてから有効化したほうが良いかもしれません。
それか、調べるのが面倒くさかったら、とりあえず全部有効化しておいてCost Anomaly Detectionに検知されてたら無効化するとかもオススメです。

さいごに

他にもこんなサービスもあるよ!というのを知っている方がいたら、是非教えて下さい。

NCDCエンジニアブログ
NCDCエンジニアブログ

NCDC株式会社( ncdc.co.jp/ )のエンジニアチームです。 募集中のポジションや、採用している技術スタックの紹介などはこちらをご覧ください! github.com/ncdcdev/recruitment

Discussion