GuardDuty EKS/RDS Protection 完全ガイド

📌 結論：GuardDutyで守る2つの重要リソース

GuardDutyはAWSの「24時間監視する警備会社」。EKSとRDSを追加で守れます！

☸️

EKS Protection

Kubernetesクラスター内の
「不審な動き」を検出

🏦 銀行の例：
共用スペースの監視カメラ
（廊下・エレベーターの監視）

🗄️

RDS Protection

データベースへの
「不正アクセス」を検出

🏦 銀行の例：
金庫室の入退室管理
（誰がいつ金庫に入ったか）

🏦 銀行のセキュリティシステムで理解しよう！

🏦 あなたのAWS環境（＝銀行全体）

🚶‍♂️🚶‍♀️

共用スペース
（廊下・エレベーター）

= EKSクラスター

多くの人（Pod）が行き来する場所
不審な行動を監視

🔐💰

金庫室
（貴重品保管エリア）

= RDSデータベース

重要なデータ（お金）を保管
入退室を厳重に監視

👮‍♂️

GuardDuty = 24時間警備会社

すべてのエリアを常時監視し、不審な動きを即座に報告！

💡 ポイント：GuardDutyは基本機能だけでも強力ですが、
EKS ProtectionとRDS Protectionを有効化すると、
より専門的な監視（コンテナ・データベース特化）が可能に！

☸️ EKS Protection とは？

🏢 たとえ話：マンションの共用スペース監視

🏢 現実世界（マンション）

廊下を深夜に徘徊する不審者
他人の部屋のドアを開けようとする人
普段来ない人が機械室に入ろうとする
管理人室のパスワードを推測する人

☸️ AWS世界（EKS）

匿名ユーザーからの不審なAPI呼び出し
他のPodのSecretを読み取ろうとする
本来アクセスしないNamespaceへのアクセス
Kubernetes APIへのブルートフォース攻撃

🔍 EKS Protectionが検出する脅威

😈

特権エスカレーション

Podが本来持つべきでない高い権限を取得しようとする動き。
例：一般社員が社長室の鍵を複製しようとする

🕵️

不審な偵察活動

クラスター内の情報を収集する異常な動き。
例：全部屋のドアを順番にノックして回る

🔓

認証情報の窃取

ServiceAccountトークンやSecretの不正取得。
例：他人の社員証をこっそりコピーする

💻

暗号通貨マイニング

Podがマイニングに使われている兆候。
例：会社の電気を使って私的に機械を動かす

🗄️ RDS Protection とは？

🔐 たとえ話：銀行の金庫室監視

👤

ログイン試行者

➡️

👮‍♂️

GuardDuty RDS Protection

✓ 本人確認（認証情報）
✓ 来訪履歴の確認
✓ アクセス元の確認
✓ 行動パターンの分析

➡️

🗄️

RDSデータベース
（金庫室）

🔍 RDS Protectionが検出する脅威

🔑

ブルートフォース攻撃

何度もパスワードを試行する攻撃。
例：金庫のダイヤルを片っ端から回す泥棒

🌍

異常なログイン元

普段と異なる場所からのアクセス。
例：いつも東京にいる行員が突然海外からアクセス

🎭

Torからのアクセス

匿名化ネットワークからの接続。
例：変装して身元を隠した人物が金庫室に近づく

📊

異常なクエリパターン

通常と異なるデータアクセスパターン。
例：普段1件しか開けない行員が全金庫を開けようとする

📝 対応データベース：
Aurora MySQL / Aurora PostgreSQL / RDS for MySQL / RDS for PostgreSQL

🚀 有効化手順（3ステップ）

GuardDutyコンソールにアクセス

AWSマネジメントコンソール → GuardDuty → 設定（Settings）

EKS Protectionを有効化

「EKS Protection」セクションで「有効化」をクリック。
EKS Runtime Monitoringも同時に有効化推奨。

# AWS CLIで有効化する場合
aws guardduty update-detector \
  --detector-id "YOUR_DETECTOR_ID" \
  --features Name=EKS_AUDIT_LOGS,Status=ENABLED \
            Name=EKS_RUNTIME_MONITORING,Status=ENABLED

RDS Protectionを有効化

「RDS Protection」セクションで「有効化」をクリック。
対象のRDS/Auroraインスタンスが自動的に監視開始。

# AWS CLIで有効化する場合
aws guardduty update-detector \
  --detector-id "YOUR_DETECTOR_ID" \
  --features Name=RDS_LOGIN_EVENTS,Status=ENABLED

💡 Organizations環境での一括有効化

# 管理アカウントから全メンバーアカウントに適用
aws guardduty update-organization-configuration \
  --detector-id "YOUR_DETECTOR_ID" \
  --auto-enable-organization-members ALL \
  --features Name=EKS_AUDIT_LOGS,AutoEnable=ALL \
            Name=EKS_RUNTIME_MONITORING,AutoEnable=ALL \
            Name=RDS_LOGIN_EVENTS,AutoEnable=ALL

⚡ 脅威検出〜対応のフロー

😈

不審な活動発生

➡️

🛡️

GuardDutyが検出

➡️

🔔

Findingを生成

➡️

📧

通知・対応

📤 検出後の自動対応オプション

📧

SNS通知
（メール・Slack）

⚡

Lambda実行
（自動修復）

🎫

Security Hub
（一元管理）

📊

SIEM連携
（Splunk等）

📊 EKS Protection vs RDS Protection 比較表

比較項目	☸️ EKS Protection	🗄️ RDS Protection
🎯 監視対象	EKSクラスターコンテナ環境	RDS/Aurora データベース
📊 分析データ	Kubernetes監査ログランタイムイベント	RDSログインアクティビティ（成功/失敗）
😈 主な検出脅威	特権エスカレーション不正なPod活動	ブルートフォース攻撃異常なログイン
🏦 銀行のたとえ	共用スペースの監視（廊下・エレベーター）	金庫室の入退室管理（誰がいつ入ったか）
⚙️ 追加設定	Runtime Monitoring有効化（推奨）	RDS拡張モニタリング（不要）
💰 課金	監査ログ量ベース + Runtime Monitoring	RDSログイン試行数ベース

💰 料金の考え方

☸️ EKS Protection

監査ログ分析 $2.00 / 100万イベント

Runtime Monitoring vCPU時間ベース

💡 30日間の無料トライアルあり

🗄️ RDS Protection

ログインイベント分析 $0.015 / 1000イベント

保護対象DB インスタンス数に依存

💡 30日間の無料トライアルあり

📊 コスト見積もり：GuardDutyコンソールの「使用状況」タブで
無料トライアル中に実際のコストを確認できます！

❓ よくある質問

🤔 基本のGuardDutyだけで十分では？

基本機能だけでは、EKS/RDS特有の脅威を検出できません。

基本GuardDuty: VPCフローログ、CloudTrail、DNSログを分析
EKS Protection: Kubernetes APIの監査ログを分析
RDS Protection: データベースログインアクティビティを分析

銀行の例：基本GuardDutyは「銀行の外周監視」、EKS/RDS Protectionは「内部の専門監視」のようなものです。

🤔 EKS Runtime Monitoringとは何ですか？

Podレベルでのリアルタイム脅威検出機能です。

EKS監査ログ: Kubernetes APIへのリクエストを分析
Runtime Monitoring: Pod内のプロセス・ファイル操作を監視

銀行の例：監査ログは「ドアの開閉記録」、Runtime Monitoringは「部屋の中で何をしているか」を監視するイメージです。

🤔 既存のEKS/RDSにも適用できますか？

はい、有効化するだけで自動的に既存リソースも監視対象になります。

EKS: 既存クラスターに自動適用
RDS: 既存インスタンス（Aurora/RDS MySQL/PostgreSQL）に自動適用

特別な設定変更やエージェントのインストールは不要です。

🤔 検出された脅威に自動で対応できますか？

はい、EventBridge + Lambdaで自動対応を構築できます。

例1: 高重要度のFinding → Slackに即座に通知
例2: 不正なIPからのアクセス → Security Groupで自動ブロック
例3: 侵害されたPod → 自動でisolation

Security Hubと連携すると、より高度な自動修復が可能です。

🎓 まとめ

☸️