チャレンジAWS

AWS 担当者コラム

AWS・チャレンジAWS

AWSセキュリティセットアップサービスの紹介とFTRの取得について

こんにちは
AWS技術担当の小川です。

今回は当社が提供する”AWSセキュリティセットアップサービス”について
ご紹介させていただきます!

AWSセキュリティセットアップサービスとは

AWSが提供するセキュリティサービスを構築し、AWS環境全体のセキュリティ上の問題を検知、一元管理、一次措置を自動で行う環境を提供するサービスとなっております。
対象者としてはAWSの環境構築経験がない方、すでにAWS環境を構築から運用まで行っているが、セキュリティサービスへの知見が少なく設定方法に困っている方の支援を想定しております。
こちらのサービスを利用すると、基本的なAWSセキュリティサービスの初期設定ができるため、セキュリティ運用の第一歩としてご活用いただけますと幸いです!

AWSセキュリティセットアップサービス

セキュリティセットアップサービスの特徴

AWSセキュリティセットアップサービスではAWS環境全体のセキュリティ上の問題を検知・一元管理・一次措置までの3つを自動化できると説明しましたが、ここからはそれぞれの特徴やイメージについて掘り下げていきます!

① 検知
検知では主にAWSのセキュリティサービスであるAmazon GuardDuty、Inspectorのサービスをメインに活用し、AWS環境を常に監視し、セキュリティ上の問題を検知します。

サービス概要は下記になります。

セキュリティセットアップサービスの特徴

② 一元管理
次はAWS Security Hubを活用し、1つ目の検知による検出結果を一元管理します。
AWSには様々なセキュリティサービスがあり、各サービスの検出結果をそれぞれのダッシュボードで確認することができますが、Security Hubは各サービスの検出結果を1つのダッシュボードで表示、確認することができます!

下記はSecurity Hubダッシュボード画面です。
Security Hubの検出結果では各セキュリティ問題を重大度別に表示してくれます。
また、セキュリティ問題を押下すると対象リソースや問題事項を詳細に確認することができます。

Security Hubダッシュボード画面

③一次措置
EC2、S3にてマルウェア検知された際、連携しているサービスやユーザー間でアクセスできないよう自動で隔離します。
それぞれの一次措置の対応イメージを紹介します。

EC2内のマルウェア検知時の対応
下記の構成図がEC2でマルウェアを検知した際の対応イメージになります。

EC2内のマルウェア検知時の対応

対応イメージ
① GuardDutyがEC2を定期的にスキャンし、マルウェアの有無を監視
② GuardDutyがEventBridgeにイベントを発行
③ EventBridgeがマルウェアイベントを検知し、Lambdaをトリガー
④ Lambdaがプログラムを実行
⑤ EC2に紐づくセキュリティグループのルールを削除

こうすることでマルウェア感染しているEC2のインバウンド、アウトバウンド通信設定をなくすことができるので、EC2とその他AWSリソース、ユーザー間の通信をシャットアウトすることができます!
また、対象のセキュリティグループはルールを削除前にバックアップも行うので、マルウェア感染時に適用していた通信ルールを見直すことができます。


S3バケット内のマルウェア検知時の対応
下記の構成図がS3バケット内でマルウェアを検知した際の対応イメージになります

S3バケット内のマルウェア検知時の対応

対応イメージ
① GuardDutyがS3バケットを定期的にスキャンし、マルウェアの有無を監視
② GuardDutyがEventBridgeにイベントを発行
③ EventBridgeがマルウェアイベントを検知し、Lambdaをトリガー
④ Lambdaがプログラムを実行
⑤ S3バケット内のファイルを隔離用S3バケットへ移動

また、隔離用のS3バケットには格納されたオブジェクトがユーザーによってダウンロードされないようにする権限設定を行うので被害を最小限に抑えることができます!

以上がAWSセキュリティセットアップサービスの特徴となります。

FTRの取得について

今回紹介しているAWSセキュリティセットアップサービスはFTRを取得しました!
(2025年9月取得)
FTRはAWSパートナー企業が提供するAWSのソリューションやサービスに対して認定されるプログラムです。評価内容としてはAWS Well Architected Frameworkへの準拠、セキュリティ、お客様へのソリューション提供体制などの項目があり、高い品質が求められます。
FTRはAWSセキュリティセットアップサービスだけでなく、AWSインフラ構築スターターパックでも認定をいただいております!

FTR認定済みのソリューションはAWSパートナーやソリューションを検索することができるPartner Solutions Finderにて確認することができます!

さいごに

今回はAWSセキュリティセットアップサービスとFTR取得について紹介させていただきました。
改めてAWSセキュリティセットアップサービスの一番の特徴としては、セキュリティ上の問題を検出、一元管理、さらにマルウェアに関しては一次措置までを自動で対応できる基盤を提供できる点です!
新規でAWSを導入希望の際は、AWSインフラ構築スターターパックなどの構築サービスと組み合わせるとネットワークや仮想サーバーなどインフラ環境と合わせて提供できるので、ご検討いただけますと幸いです!
また、ご利用いただいた方にはオリジナルの操作手順書を付録としてお渡しさせていただきます。導入後の運用に役立てていただき、セキュリティ体制の高い運用を目指していただければと思います。

今回のコラムは以上となります。
最後までご覧いただきありがとうございました!
それでは次回もお楽しみに!

AWSの記事