GuardDuty EKS 監査ログモニタリングの有効化について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、GuardDuty EKS 監査ログモニタリングを有効にする必要がありますについて、リスクと対策を解説します。

ポリシーの説明

Amazon GuardDutyが有効化されており、EKSクラスターの監査ログを脅威検知のデータソースとして使用するように設定されている状態が推奨されます。GuardDutyのEKS保護機能により、Kubernetesの監査ログを分析して潜在的な脅威を自動的に検出できます。

修復方法

コンソールでの修復手順

AWSのコンソールを使用して、GuardDutyのEKS監査ログモニタリングを有効化します。

GuardDutyの有効化（未設定の場合）

1. AWSマネジメントコンソールにログインし、GuardDutyサービスに移動します
2. GuardDutyが未有効の場合は、「今すぐ始める」をクリックします
3. サービスのアクセス許可を確認し、「GuardDutyを有効化」をクリックします

EKS保護機能の有効化

1. GuardDutyコンソールで、左側のナビゲーションペインから「保護プラン」または「設定」を選択します
2. 「EKS保護」セクションを探します
3. 「EKS監査ログのモニタリング」のトグルスイッチを「有効」に設定します

1. 以下のオプションも検討します：
   • EKSランタイムモニタリング: コンテナレベルの脅威検出も有効化（推奨）
   • カバレッジの自動管理: 新規および既存のEKSクラスターに対して自動的に保護を有効化

「確認して有効化」をクリックします

既存のEKSクラスターへの適用確認

1. EKSコンソールに移動し、各クラスターの設定を確認します
2. クラスターの「設定」タブを選択し、「ログ」セクションで以下のログタイプが有効になっていることを確認します：
   • API サーバー (api)
   • 監査 (audit) – これがGuardDutyの前提条件です
   • 認証子 (authenticator)
   • コントローラーマネージャー (controllerManager)
   • スケジューラー (scheduler)
3. 未有効の場合は、「編集」をクリックして必要なログタイプを有効化します
4. GuardDutyコンソールに戻り、「カバレッジ」タブで保護状況を確認します

最後に

この記事では、GuardDuty EKS 監査ログモニタリングを有効にする必要がありますについて、リスクと対策を解説しました。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• Amazon GuardDuty EKS Protection – AWS公式ドキュメント
• Amazon EKS コントロールプレーンログ記録
• GuardDuty のベストプラクティス
• CWE-778: Insufficient Logging
• MITRE ATT&CK – T1530: Data from Cloud Storage Object