ある企業が、Amazon VPC 内のリソースが意図しない外部との通信を行っていないかを監視したい。特に、VPC 内の EC2 インスタンスが不審な外部 IP アドレスと通信していたり、通常と異なるトラフィックパターンが発生した場合に検知したい。最小限の設定で実現できる最も適切なソリューションはどれか。
- A. VPC フローログを有効化して CloudWatch Logs に出力し、Athena で手動クエリして不審な通信を特定する。
- B. Amazon GuardDuty を有効化する。GuardDuty は VPC フローログ・DNS ログ・CloudTrail を自動的に分析し、機械学習と脅威インテリジェンスを使って不審な通信(EC2 の C&C サーバーとの通信・ポートスキャン・クレデンシャル漏洩の疑い等)を自動検知して Findings として報告する。
- C. AWS Config で VPC のセキュリティグループ変更を監視する。
- D. Amazon Inspector で EC2 インスタンスのネットワーク到達可能性を定期スキャンする。
解答と解説を見る
正解: B
Amazon GuardDuty は VPC フローログ・CloudTrail・Route 53 の DNS ログを自動的に取り込み(VPC フローログの有効化も不要)、機械学習と AWS の脅威インテリジェンス(既知の悪意ある IP・ドメインリスト等)を使って不審な通信パターンを自動検知する。EC2 インスタンスの C&C サーバーとの通信・異常なデータ転送・ポートスキャン活動など、VPC 内外の不審な通信を高精度で検知し Findings として通知する。最小限の設定(GuardDuty の有効化のみ)で実現できる。選択肢AのVPC フローログ + Athena 手動クエリは運用者が能動的に調査する必要があり、継続的な自動検知には向かない。GuardDuty は自動的にリアルタイム検知を行う。選択肢CのAWS Config はセキュリティグループ変更の設定変更履歴管理であり、ネットワーク通信の内容(VPC フローレベルの不審な通信)は検知しない。選択肢DのAmazon Inspector のネットワーク到達可能性スキャンは、特定の EC2 が外部からアクセス可能なポートを持っているかを評価するものであり、実際の通信の内容(C&C サーバーとの通信等)を検知するものではない。
📚 関連サービスの解説: Amazon GuardDuty ・ Amazon VPC