AWS、Azure、Google Cloudのセキュリティ比較
SHARE:
はじめに
デジタルトランスフォーメーションの進展に伴い、セキュリティは各クラウドサービスプロバイダーのコアバリューであり続けています。多くのクラウド環境で脅威が蔓延していることを考えると、最も重要なことは、オンプレミス環境からハイブリッド環境またはクラウド環境に移行する組織は、信頼性の高い脅威検知ツールやプラットフォームを使用することで、脅威検知の手法を変更する必要があります。
脅威の検知とは、仮想環境または物理環境のセキュリティの完全性を分析するプロセスであり、システムを侵害する可能性のある悪意のある活動や疑わしい活動を検索し、発見することです。脅威の監視と検知は時として困難な場合がありますが、そのため脅威検知ツールが存在し、このタスクを容易にしています。
この記事では、最大手のクラウドサービスプロバイダーが提供する3つの有名なクラウドベースの脅威検出ツールであるAWSのAmazon GuardDuty、AzureのMicrosoft Defender、Google Cloud PlatformのSecurity Command Centerについて、その機能を比較対照し、重要な考慮点を説明します:
Amazon GuardDutyとは?
Amazon GuardDutyは、AWSアカウント、ワークロード、およびデータを保護するために、潜在的に危険なアクティビティや不正な動作を常にスキャンするAWS管理の脅威検出サービスです。Amazon GuardDutyは、VPC Flowログ、CloudTrailイベントログ、DNSログなど、さまざまなAWSデータソースからの何十億ものリクエストを分析する脅威インテリジェンスを採用しています。そして、これらのデータログを複数のセキュリティおよび脅威検出フィードと比較し、特定のIPアドレスやURLなどの異常や既知の悪意のあるソースを探します。
GuardDutyの仕組み
Amazon GuardDuty サービスは機械学習機能を搭載しており、お客様のインフラストラクチャ内の運用動作を観察して学習することで、継続的な改善を実現します。そして、このデータを使用して、私たちのクラウド環境で疑わしいパターンを探し、潜在的な脅威を特定することができます。
クラウドのデータログをすべて分析し、脅威を手動で監視するのは非常に時間がかかるため、Amazon GuardDutyはクラウド保護を実現するための費用対効果の高いインテリジェントなサービスです。数回クリックするだけで、基盤となるソフトウェアやハードウェアの導入を気にすることなく、AWS管理コンソールからGuardDutyを有効にできます。
お客様のAWSアカウント、ワークロード、およびイベント管理システムに統合されると、Amazon GuardDutyは、機械学習、異常検知、およびさまざまな統合脅威インテリジェンス技術などの組み込みサービスを使用して、潜在的な脅威を特定し、優先順位を付けます。
脅威が特定されると、Amazon GuardDutyはコンソールで詳細な調査結果を調べ、ワークフローシステムと統合し、修復または予防のためにAmazon Lambdaを起動します。
Amazon GuardDutyは、AWSクラウド上のこれらの主要なタイプの脅威を検出します:
- 侵害されたリソース – 侵害されたリソースの例としては、リソースのハイジャックを伴う脅威(ネットワークトラフィックの異常な急増や、外部IPアドレス経由でのEC2インスタンスへのアクセスなど)が挙げられます。
- 侵害されたアカウント – 異常なインスタンスのデプロイ、CloudTrailの無効化(データログの分析を防ぐため)、異常な場所からのAPIコールなど、アカウントへの不正アクセスを伴う脅威です。
- 攻撃者のスパイ行為 – ログインの失敗、異常なAPIアクティビティ、ポートスキャンを含む脅威です。
セキュリティコマンドセンター(SCC)とは?
Google Cloud の Security Command Center (SCC) は、一元化された脆弱性と脅威のレポートサービスです。セキュリティコマンドセンター は、セキュリティチームがデータを収集し、脅威を特定し、プラットフォーム内で修復できるようにすることで、セキュリティ体制を向上させます。Google Cloud を継続的に監視し、クラウド資産の可視化、リソースの設定ミスや脆弱性の特定、コンプライアンスのレポートと維持、Google Cloud 資産を標的とする脅威の検出を可能にします。
- アセットディスカバリとインベントリ – SCCを使用すると、App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Cloud Identity and Access Management、Google Kubernetes Engineなどのアセットをほぼリアルタイムで検出して表示できます。また、過去の検出スキャンを確認して、新規、変更、または削除されたアセットを特定することもできます。
- 脅威の防御 – SCC は、Web アプリケーション、App Engine、GKE、Compute Engine 内で実行されているクロスサイトスクリプティングや古いライブラリなどの一般的な Web アプリケーションの脆弱性を検出することで、Google Cloud アセットのセキュリティ状態を把握するのに役立ちます。特定された誤設定は迅速に解決され、脅威の防止に役立ちます。
- 脅威の検出 – SCCは、Google Cloudで大規模に実行されているログを使用して、クリプトマイニングの脅威や、疑わしいバイナリ、疑わしいライブラリ、リバースシェルなどの最も一般的なコンテナ攻撃などの潜在的な問題を検出します。
Microsoft Defenderとは?
Microsoft Defender(旧名Azure Defender)は、Azure、マルチクラウド(AWSとGCP)、オンプレミスのリソースと環境内の全体的なセキュリティを管理し、脅威から防御するためのクラウドセキュリティポスチャ管理(CSPM)およびクラウドワークロード保護プラットフォーム(CWPP)です。
Microsoft Defenderの仕組み
Microsoft Defenderは、セキュリティAIとMicrosoft Threat Intelligenceの高度な機能を活用することで、クラウド内の異常なアクティビティに対するコンテキストに基づいたセキュリティ保護と脅威検出を提供します。Microsoft Defenderが異常なアクティビティを検出すると、Microsoft Defender for Cloudを介してセキュリティアラートをトリガーし、サブスクリプションの管理者に疑わしいアクティビティの詳細と、脅威を調査して修復する方法に関する推奨事項を電子メールで送信します。
Microsoft Defender for Cloudは、クラウドとオンプレミスのリソースとワークロードのセキュリティを管理するための3つの重要な要件に対応します:
- セキュアスコア – Microsoft Defenderは、セキュリティ態勢を常に評価し、新しいセキュリティの機会を追跡し、セキュリティへの取り組みの進捗に関する正確なレポートを作成するのに役立ちます。
- 推奨 – Microsoft Defenderは、既知のセキュリティリスクからワークロードを保護するための措置を講じることで、ワークロードを保護します。
- アラート – Microsoft Defenderは、ワークロードをリアルタイムで防御するため、迅速に対応し、セキュリティインシデントの発生を防ぐことができます。
Microsoft Defender for Cloudには、サブスクリプション内のリソースに合わせた高度でインテリジェントなワークロード保護機能も含まれています。例えば、Microsoft Defender for Storageを設定することで、ストレージリソースに関わる疑わしいアクティビティを通知することができます。Microsoft Defenderのワークロードオプションには、Microsoft Defender for Azure VMs、Microsoft Defender for Key Vault、Microsoft Defender for Azure Kubernetes、Microsoft Defender for Azure App Service、Microsoft Defender for Azure SQL、Microsoft Defender for Managed Instanceがあります。
GuardDuty、Microsoft Defender、SCCの比較
セキュリティレベル
- Microsoft Defender for Cloudは、Azureだけでなく、すべてのパブリッククラウドやハイブリッドクラウド環境に高度なセキュリティ保護を提供します。また、CSPMを提供し、CWPPとして機能することで、セキュリティを強化します。
- GuardDutyは、脅威インテリジェンスを向上させるために機械学習を採用しています。その結果、アラートの精度が向上し、セキュリティが強化されます。
- Security Command Centerは、Google Cloudのセキュリティとリスク管理のプラットフォームとして機能します。セキュリティとコンプライアンスを確保し、検出された脅威を確実に解決することで、セキュリティを強化します。
クラウドセキュリティの機能
Microsoft Defender for Cloudが提供する主なクラウドセキュリティ機能は以下のとおりです:
- クラウドリソースのセキュリティ構成の管理と改善
- 重要な業界基準や規制基準に対するコンプライアンスの管理
- Azure、AWS、Google Cloud Platform、およびオンプレミスのワークロードに脅威への保護を加えています。
- マルチクラウドやハイブリッドのワークロードを悪意のある攻撃から保護するための脆弱性の検出
- CSPMによるクラウドセキュリティ態勢の維持
- CWPPによるクラウドワークロードの保護
Amazon GuardDutyが提供する主なクラウドセキュリティ機能は以下のとおりです:
- アカウントレベルでの正確な脅威検知
- AWSクラウド環境全体の不審なアクティビティを継続的に監視します。
- 深刻度の度合いに基づく脅威の優先順位付けで集中的な修復
- 脅威対応の自動化
- 高い可用性と効率性を実現するワンクリック導入のサポート
Security Command Centerが提供する主なクラウドセキュリティ機能は以下の通りです:
- Google Cloud のアセットとリソースをリアルタイムで検出し、保守します。
- 脆弱性の監視と修復による脅威の防御
- Google Cloud で大規模に実行されるログを使用して脅威を確実に検出します。
- クラウド資産のオブザーバビリティと可視性の確保
インテグレーション(統合)
GuardDutyは、ログ分析のためにGuardDutyからデータを取り込むのに役立つ他のAWSセキュリティサービスと統合することができます。GuardDutyの統合オプションには以下のものがあります:
- GuardDutyをAWS Security Hubと統合することで、さまざまなAWSアカウント、サービス、サポートされるサードパーティ製品からデータを収集し、クラウド環境のセキュリティ状態を評価します。
- GuardDutyをAmazon Detectiveと統合することで、AWSアカウント全体のログデータを使用して、利用者の環境でやり取りされているリソースとIPアドレスのデータを可視化します。
Security Command Centerは、BigQuery、Forseti Security toolkit for Google Cloud、サードパーティのセキュリティ情報およびイベント管理(SIEM)アプリケーション、その他のWebアプリおよびコンテナセキュリティスキャナなど、分析のために他のGoogle Cloudサービスと統合できます。SCCにはSIEMやSOARプラットフォームも組み込まれており、これらを統合してさらなる脅威分析と対応を行うことも可能です。
Microsoft Defender for Cloudは、サードパーティのサービスとの統合も可能です。例えば、Defender for DevOpsは、GitHubやAzure DevOpsワークフローなどのマルチパイプライン環境に統合して、コードからクラウドまでアプリケーションとリソースを保護することができます。エンドポイント、DNS、Cloud Apps、Key Vault、コンテナ、その他のDefenderワークロードはすべて、同じ統合の恩恵を受けることができます。
統合に関して言えば、Defender、GuardDuty、Security Command Centerの主な違いは、利用可能な統合オプションの幅です。Defenderは、マルチプラットフォームであり、CWPPとCSPMの両方の機能を提供しているため、統合が充実する可能性が高くなります。
サポートプラットフォーム
Microsoft Defender for Cloud は、複数のクラウドに対応するセキュリティソリューションです。ネイティブのCSPM機能を提供することで、Azure、AWS、Google Cloudの各環境における脅威防御をサポートします。
GoogleのSecurity Command CenterやAmazon GuardDutyがネイティブ環境のみをサポートしているのとは異なり、Microsoft Defenderはマルチクラウド環境をサポートしています。さらに、オンプレミス環境からハイブリッド環境、ピュアクラウド環境まで、3種類のデータワークロードをすべてサポートしています。
比較表
| Amazon GuardDuty | Microsoft Defender for Cloud | Security Command Center | |
| サポートプラット フォーム | AWSネイティブ インフラストラクチャ | Azure
Amazon Web Services Google Cloud Platform | Google Cloud Platform |
| インテグレーション | AWSサービス – AWS Security Hub, CloudTrail, Amazon Detective | DevOpsパイプライン、コンテナ、エンドポイントからのIaaSサービス | GCPサービス, BigQuery, SIEMs, and SOARs |
| セキュリティレベル | 脅威インテリジェンスによる高い効率性 | マイクロソフトスレットインテリジェンスによる中程度の効率性 | やや効率的 – 脅威の検知にのみログを使用 |
| クラウドサービス機能 | アカウントレベルでの脅威検知セキュリティ機能を提供 | 全てのプラットフォームにCWPPとCSPMの両方のセキュリティ機能を提供 | セキュリティは、脅威の検知と修復に組み込み済 |
どれを使うべきか?
このガイドでは、クラウドサービス・プロバイダー上位3社が、脅威の検知とセキュリティ保護をどのように顧客に提供しているかを調査しました。AmazonのGuardDuty、GoogleのSecurity Command Center、MicrosoftのDefender for Cloudを比較対照することで、それぞれのセキュリティ機能の利点を探り、個々のユースケースを明らかにしました。
では、どれを使うべきでしょうか?それはユースケースによります。例えば、マルチクラウド環境を使用している場合は、Microsoft Defenderのような一元化された脅威検知ソリューションを選択し、コンテキストの切り替えを減らすことをお勧めします。
Defenderは、ほとんどのオンプレミス、ハイブリッド、クラウドのインフラストラクチャに最適なソリューションですが、AWSネイティブのインフラストラクチャを使用している場合は、おそらくAmazon GuardDutyを選択する必要があります。
しかし、AWSネイティブのインフラストラクチャを使用している場合は、おそらくAmazon GuardDutyを選択する必要があります。Google Cloud Platformネイティブのインフラストラクチャを使用している場合は、おそらくSecurity Command Centerを選択する必要があります。
もちろん、上記で説明したように、効率性、セキュリティ機能、サポートされるプラットフォーム、提供されるセキュリティのレベルなど、決定を下す際に考慮すべき他の多くの要因があります。