DEVELOPER BLOG

開発者ブログ

HOME > 開発者ブログ > 【AWSセキュリティ入門】GuardDutyで他アカウントからのクレデンシャル使用を検知する - PrismScaler

【AWSセキュリティ入門】GuardDutyで他アカウントからのクレデンシャル使用を検知する - PrismScaler

1. はじめに

こんにちは!株式会社Definerの阪本です!
今回は、タイトルの通りGuardDutyで他アカウントからのクレデンシャル使用を検知する方法をご紹介したいと思います。

2. 目的・ユースケース

この記事では、GuardDutyで他アカウントからのクレデンシャル使用を検知したいときに、参考になる情報やプラクティスをまとめています。

3. GuardDutyとは

GuardDutyは、AWSアカウントやAWSリソースに対する脅威を検知するサービスです。
ソフトウェアのインストールや難しい設定などは不要で、AWSを使用しているユーザであれば簡単に利用を開始できます。
CloudTrailログやVPC フローログなどのデータを分析・モニタリングし、AIを用いてAWS内の悪意のあるアクティビティを検出します。
これには、権限の過剰な付与や公開されている認証情報の使用、悪意のあるIPアドレスからの通信などが含まれます。
また、これまで未使用のリージョンのEC2インスタンスのようなインフラストラクチャのデプロイ、パスワードの強度を落とすためのパスワードポリシー変更なども認識します。
 
・GuardDutyの必要性
AWSのようなクラウドを使用してサービスを立ち上げる場合、手軽な反面セキュリティが不十分なまま世に公開されるという場合も散見されます。
特に、検証として開発環境でリソースを作成し、削除せずそのまま忘れている場合などは、よくあるパターンです。
クラウド上のリソースへの攻撃者は年々増えており、リソースをきちんと保護する必要があります。
GuardDutyは、AWSが保有する膨大なログなどのデータを活用してAIが脅威を検知しますので、特にセキュリティに不安意識を抱えている開発現場ではぜひ使用することをお勧めします。

4. GuardDutyで別アカウントからのクレデンシャル使用を検知する

それでは早速、GuardDutyで別アカウントからのクレデンシャル使用を検知していきます。
 
①まずはGuardDutyを有効化します。
②テストとして、アカウント-AでIAMロールを作成し、EC2-Aにアタッチします。
③EC2-Aで以下コマンドを実行し、クレデンシャルを確認します。
自身のメタデータで、アタッチされているIAMロールのクレデンシャルが確認できます。
④EC2-Aのクレデンシャルを、アカウントBのEC2-Bにセットしします。
⑤アカウントBのEC2-Bから、アカウントAに対してCLIを実行してみます。
⑥GuardDutyを確認すると、重要度「High」で、別アカウントからクレデンシャルが使われた旨のアラートが出ています。
詳細のJSONを確認すると、使用されたアクセスキーのIDが確認できました!
 
## クレデンシャルを確認するコマンド

mu=http://169.254.169.254/latest/meta-data/iam/security-credentials/;curl -s $mu | echo $mu$(cat) | xargs -n1 curl

# アクセストークン、アクセスキー、シークレットトークンが表示されます                
## アカウントBからアカウントAにCLIを実行してみる

# プロファイルを作成(取得したキー情報を入力)
aws configure --profile test

# プロファイルを指定してCLI実行
aws ec2 describe-vpcs --profile test                  

5. 引用・参考記事

6. 独自ソリューション「PrismScaler」について

・ PrismScalerは、開発・運用を要さずにたった3ステップで、AWSやAzure、GCPなどのマルチクラウド基盤構築を実現するWebサービスです。
・ クラウド基盤にまつわる「自動構築」「自動監視」「問題検知」「構成可視化」などの効率化を実現し、クラウドエンジニア、SRE/DevOpsエンジニアが行う泥臭く大変な作業を肩代わりするソリューションです。
・ クラウド基盤構築/クラウド移行や、クラウドの保守運用・コスト最適化など幅広い利用シーンを想定しており、IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。
 

7. お問合せ

本記事では、入門編として有益な情報を無料公開しています。ご相談やお問い合わせは「株式会社Definer」へ。

8. Definerに関して。

・ Definer Incは、ITの上流から下流まで一気通貫のワンストップソリューションをご提供しております。
・ AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。
・ DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。
・ また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。