🎯 最初に結論!GuardDuty EKS Protectionとは?
EKSクラスター内の
不審な活動を24時間自動監視
する
AWSのマネージドセキュリティサービスです
「誰が何をしたか」を記録・分析
悪意あるプロセスを即座に検出
異常を自動で検出・アラート
🏢 高級マンションの警備システムで例えると超わかりやすい!
EKSクラスター = 高級タワーマンション
多くの住人(Pod/コンテナ)が暮らすマンションを守るには、
入館記録のチェックだけでなく、各部屋で怪しいことが起きていないか
24時間体制で監視する必要があります。
GuardDuty EKS Protection = 最新AIを搭載した警備会社
🔒
🏢 たとえ話で完全理解!
高級タワーマンション
たくさんの住人が暮らし
24時間警備が必要な建物
Amazon EKSクラスター
多数のコンテナが動作する
Kubernetesクラスター
エントランスの入退館記録 = Kubernetes監査ログ
誰がいつマンションに入ったか、どこに行こうとしたかを記録。不審な入館パターンを検出します。
各部屋の監視カメラ = Runtime Monitoring
部屋の中で怪しい行動がないかリアルタイムで監視。不審な動きを即座に検出します。
AI搭載の警備会社 = GuardDuty
過去のデータから正常パターンを学習し、異常を自動検出。24時間休まず監視します。
異常検知アラート = Findings(検出結果)
不審な活動を検出したら即座に警告。「何が」「どこで」「どのくらい危険か」を報告します。
🔍 2つの監視機能を詳しく解説
🎯 何を監視する?
• Kubernetes APIへのすべてのリクエスト
• Pod/Deploymentの作成・削除・変更
• Secrets/ConfigMapへのアクセス
• サービスアカウントの操作
💡 検出できる脅威
• 不正なPodの作成
• 権限昇格の試み
• 機密情報への不正アクセス
• 匿名ユーザーからの怪しいリクエスト
エントランスの入退館記録と受付対応の監視。「誰が」「いつ」「何のために」来たかをすべて記録し、不審なパターンを検出します。
🎯 何を監視する?
• コンテナ内で実行されるプロセス
• ファイルシステムへのアクセス
• ネットワーク通信
• DNS問い合わせ
💡 検出できる脅威
• 暗号通貨マイニング
• マルウェアの実行
• 不正な外部通信
• コンテナからのエスケープ試行
各部屋に設置された監視カメラ。部屋の中で「爆発物を作っている」「盗品を隠している」などの怪しい行動をリアルタイムで検出します。
⚠️ GuardDutyが検出する主な脅威
暗号通貨マイニング
特権エスカレーション
マルウェア実行
不審なネットワーク通信
コンテナエスケープ
偵察行動
🔄 GuardDuty EKS Protectionの動作フロー
ランタイムデータを生成
データを分析
結果を出力
自動対応も可能
🚀 セットアップは超簡単!
GuardDutyを有効化
AWSコンソールでGuardDutyサービスを有効にする(まだの場合)
EKS Protectionを有効化
GuardDuty設定画面でEKS Audit Log / Runtime Monitoringをオン
自動エージェント設定
Runtime Monitoringの場合、GuardDutyエージェントが自動デプロイ
監視開始!
設定完了!24時間体制の監視がスタート
📊 EKS Audit Log vs Runtime Monitoring 比較
| 項目 | EKS Audit Log Monitoring | EKS Runtime Monitoring |
|---|---|---|
| 監視対象 | Kubernetes API呼び出し | コンテナ内のプロセス・ファイル・ネットワーク |
| たとえ話 | 🚪 エントランスの入退館記録 | 📹 各部屋の監視カメラ |
| エージェント | 不要(ログベース) | 必要(自動デプロイ可能) |
| 検出例 | 不正なPod作成、権限昇格 | マイニング、マルウェア実行 |
| リアルタイム性 | ほぼリアルタイム | リアルタイム |
| 推奨 | ✅ 必須で有効化 | ✅ 強く推奨 |
# GuardDutyの有効化(Detector作成) aws guardduty create-detector \ --enable \ --features '[{"Name":"EKS_AUDIT_LOGS","Status":"ENABLED"},{"Name":"EKS_RUNTIME_MONITORING","Status":"ENABLED","AdditionalConfiguration":[{"Name":"EKS_ADDON_MANAGEMENT","Status":"ENABLED"}]}]' # 既存のDetectorでEKS Protectionを有効化 aws guardduty update-detector \ --detector-id "your-detector-id" \ --features '[{"Name":"EKS_AUDIT_LOGS","Status":"ENABLED"},{"Name":"EKS_RUNTIME_MONITORING","Status":"ENABLED"}]' # Findings(検出結果)の取得 aws guardduty list-findings \ --detector-id "your-detector-id" \ --finding-criteria '{"Criterion":{"resource.resourceType":{"Eq":["EKSCluster"]}}}'
💰 料金体系
📋 EKS Audit Log Monitoring
課金単位:
分析したログイベント数
• 最初の1億イベント/月:$1.00/100万イベント
• 1億〜10億イベント:$0.50/100万イベント
• 10億イベント以上:$0.25/100万イベント
※ボリュームディスカウントあり
🎬 EKS Runtime Monitoring
課金単位:
監視対象vCPU数
• $1.50/vCPU/月(最初の500 vCPU)
• $0.75/vCPU/月(500〜10,000 vCPU)
• それ以上はさらにディスカウント
※30日間の無料トライアルあり
Audit Log MonitoringとRuntime Monitoringは補完関係。両方を有効にすることで、より包括的なセキュリティ監視が可能に。
2. 自動エージェント管理を使う:
Runtime Monitoringでは「EKS Add-on Management」を有効にすると、GuardDutyエージェントが自動でデプロイ・更新されて楽チン。
3. 通知設定を忘れずに:
EventBridgeルールを設定して、重要度の高いFindingsが検出されたらSlackやメールに通知。迅速な対応が可能に。
4. Security Hubと連携:
AWS Security Hubと連携することで、GuardDutyの検出結果を一元管理。他のセキュリティサービスの結果と合わせて可視化。
5. 重要度でフィルタリング:
Findingsは重要度(Low/Medium/High/Critical)で分類される。まずはHighとCriticalに集中して対応しよう。
🎓 まとめ
🏢 高級マンションの警備 = GuardDuty EKS Protection
EKSクラスターを24時間体制で監視し、
不審な活動を機械学習で自動検出する
AWSのマネージドセキュリティサービスです
エントランスの
入退館記録を監視
(Kubernetes API)
各部屋の
監視カメラで監視
(コンテナ内部)
🎯
EKSを使うなら必須のセキュリティ対策!
ワンクリックで有効化できて、すぐに監視開始。
暗号通貨マイニングやマルウェアから
大切なワークロードを守りましょう!🛡️