トップ > テクニカルナレッジ > GuardDutyだけでは不十分?AWS閉域環境にESET PROTECT on-premを導入する方法

GuardDutyだけでは不十分?AWS閉域環境にESET PROTECT on-premを導入する方法

テクニカルナレッジ

2025年11月頃のShift Evolveへの登壇、re:Invent 2025への現地参加、そして2026年2月頃のAWS認定DevOps Engineer – Professionalの更新と、慌ただしい日々を送っていました。

本投稿では、AWS上のコンピューティングリソースをESETで保護するための技術的な導入方法について解説します。

最初に結論から

ESETのマルウェア対策ソフト「ESET PROTECTシリーズ」は、AWSで稼働するコンピューティングリソースのマルウェア対策として、導入後の運用容易性とコスト効率に優れています。本製品に関するノウハウはインターネット上に少ないものの、サポートを活用することで導入のハードルを下げることが可能です。製品の構成としては、ESETクラウドサービスを利用する方法と自己管理型の2種類が用意されており、ワークロードに応じた最適な選択肢を選ぶことができます。また、AWSの閉域環境であるプライベートサブネット環境においても、ミラーツールを使用してウイルス定義ファイルを配布できるため、Amazon Virtual Private Cloud(VPC)へのESET導入における懸念点はありません。

なぜESETなどのマルウェア対策ソフトがAWS上のコンピューティングリソースに必要なのか

AWSで稼働するコンピューティングリソースのセキュリティ対策として代表的なサービスにAmazon GuardDutyがありますが、GuardDuty(2026年2月時点)はマルウェア検出時の自動削除に対応していません。GuardDutyのマルウェアプロテクションは検出機能が主体であり、検出後のリアルタイム保護まで対応したい場合は、Amazon EventBridgeとAWS Systems Manager Automationを組み合わせた自動削除のソリューションを独自に構築する必要があります。

Amazon GuardDutyによるマルウェア自動削除のAWS構成例

このような背景から、検出にとどまらずリアルタイムの防御・ブロックが求められるケースがあり、AWS環境にマルウェア対策ソフトを導入する企業も一定数存在します。

AWS環境へのESET導入方法

ここからは、オンプレミス型管理ツール「ESET PROTECT on-prem」を対象に、導入時に特に注意すべきポイントを説明します。

ESET PROTECT on-premにおけるサーバー構成

ESET PROTECT on-premは、ESET Server Securityを導入するクライアントと、複数クライアントの状態を一元管理するリモート管理ツールのサーバーで構成されます。各サーバーの詳細は下表のとおりです。

サーバー種別 説明
リモート管理ツール ESETセキュリティ製品のリモート管理(ポリシー、タスク、レポートの作成など)
クライアント ESET Server Securityがインストールされるサーバー。リアルタイム保護が有効になる。

構成図は下図のとおりです。

ESET PROTECT on-premにおけるリモート管理ツールとクライアントの構成

お気づきの方もいるかもしれません。リモート管理ツールが稼働するサーバー自体もEC2上で動作しているため、当該サーバーはリモート管理ツールであると同時にクライアントでもあります。そのため、このサーバーにもESET Server Securityをインストールし、リアルタイム保護を有効にする必要があります。

💡ESET Management Agentとは?

ESET Management Agentは、クライアント端末とESET PROTECTサーバー間の通信を仲介し、クライアントの情報収集・タスク配布・ポリシー適用を担う軽量な中継サービスです 。

リモート管理ツールが稼働するサーバーもクライアントとして保護する

クライアントに適用するライセンスの種類とアクティベーション方法

ESET PROTECT on-premでは、クライアントに適用するライセンスとして「オンラインライセンス※」と「オフラインライセンス」の2種類が用意されています。
※「オンラインライセンス」という用語は正式には存在しませんが、オフラインライセンスと対比しやすくするため、便宜上この呼称を使用しています。

各ライセンスの詳細は下表のとおりです。

ライセンス種別 説明
オンライン ESET PROTECT on-premで標準提供されるライセンス。アクティベーションはオンライン経由で行う。
オフライン アクティベーションをオフラインで完結できるライセンス。ESET PROTECT Hubから発行する。

オンラインライセンスの場合、アクティベーションは必ずインターネット経由で実施されます。この際、クライアントがアクティベーションサーバーに直接接続するため、リモート管理ツールサーバーを経由しない点が重要です。

オンラインライセンスのアクティベーションはクライアントからの直接接続

閉域環境のEC2にインストールされたESET Server Securityがオンラインライセンスを使用している場合、どうなるでしょうか。前述のとおり、アクティベーションはクライアントがアクティベーションサーバーへ直接接続して行われるため、閉域環境のEC2ではアクティベーションに失敗します。

閉域環境からオンラインライセンスのアクティベーションは失敗する

このような場合に役立つのがオフラインライセンスです。オフラインライセンスはアクティベーションをオフラインで完結できるため、閉域環境のEC2にインストールされたESET Server Securityのアクティベーションも問題なく行えます。

オフラインライセンスによって閉域環境のESET Server Securityのアクティベートを実現

ESET PROTECT HUBでのオフラインライセンスファイルの作成

ただし、オフラインライセンスにはトレードオフがあります。ESET PROTECT on-premでは、まずオンラインライセンスが払い出されます。このオンラインライセンスの一部をコンバートすることでオフラインライセンスを利用できます(例:10台分のライセンスのうち2台のみオフラインライセンスにするなど)。一度コンバートしたライセンスは、オンラインライセンスに戻すことができません。

閉域環境におけるウイルス定義データベースの更新

ここまで閉域環境でのライセンスアクティベーションについて説明しましたが、閉域環境の影響はライセンスだけにとどまりません。ウイルス定義データベースの更新についても同様で、閉域環境ではインターネットから最新のウイルス定義データベースを取得できません。

ウイルス定義データベースの更新についても、閉域環境では最新のファイルを取得できない

ここで必要になるのがミラーサーバー機能です。ミラーサーバー機能は管理サーバーと同居する形でインストールできますが、1点注意が必要です。ミラーサーバー機能には2種類あり、それぞれウイルス定義データベースを取得できるESET Server SecurityのOS種別が異なります。詳細は以下の表のとおりです。

ミラーツール種別 ウイルス定義データベースにアクセスできるOS
ESET Server Security for Windows Serverのミラーサーバー機能 Windows
ミラーツール機能(別途インストール) Windowsおよび、Linux

ESET Server Security for Windows Serverのミラーサーバー機能

💡ミーラーサーバー選択のポイント

複数種類のOS(Windows、Linuxなど)にESET Server Securityを導入する場合は、ミラーツール機能を選択する必要があります。

ミラーツールを活用した閉域環境へのウイルス定義ファイルの配布

ESETにおけるAmazon VPCの通信経路

ESET PROTECT on-premをAWSに導入するにあたり、Amazon VPCの通信経路を適切に設計する必要があります。主な通信経路を下表に示します。

■ 管理ツールサーバーのセキュリティグループ インバウンド設定例

説明 ポートとプロトコル
ESET Management エージェントが使用 TCP 2222
ミラーサーバー機能が使用 TCP 2221
ESET PROTECT Webコンソールが使用 TCP 443
ESET Management エージェントがWebサーバーに接続する際に使用 TCP 3128
ESET PROTECT Serverがウェイクアップコールを送信する際に使用 TCP 8883(MQTT)

■ クライアントのセキュリティグループ インバウンド設定例

説明 ポートとプロトコル
ESET Management エージェントが使用 TCP 2222
ESET Management エージェントがWebサーバーに接続する際に使用 TCP 3128
ESET PROTECT Serverがウェイクアップコールを送信する際に使用 TCP 8883(MQTT)


💡ウェイクアップコールとは?

ウェイクアップコールは、クライアントに対し、セキュリティ管理ツールへの即時接続を促す機能です。

以下の図は、このセキュリティグループ構成を示したものです。

セキュリティグループのインバウンドルールの設定内容

コストについて

ESET PROTECT on-prem は、2026年3月時点では最低6台から購入可能で、1台あたり年額約6,000円です。そのため、最小構成で年額36,000円から導入できます。この金額は他のサーバー向けマルウェア対策ソフトと比較して安価な部類に入り、特にTrend Micro Deep Securityと比べると低価格な設定といえます。

実際の使用感について

実際に導入してみた所感として、ESET PROTECT on-premの管理コンソールは、慣れれば扱いやすいUIだと感じました。また、マルウェア検出時などにログを出力できるため、そのログをAmazon CloudWatch Logsに転送し、メトリクスフィルターの設定からアラーム通知まで一連の運用を実現できます(ただし、Linux版のログ出力については作り込みが必要になる場合があります)。

マルウェア対策機能については特に不便はなく、ネットワーク監視などの付加機能も活用できれば、さらに有用なソリューションになると感じました。

ESET Server Security for Windows Serverにおけるログのテキスト形式の有効化

最後に

本投稿では、AWS上のコンピューティングリソースをESETで保護するための技術的な導入方法について解説しました。ESET PROTECT on-premはオンプレミスだけでなくクラウド環境でも導入できる一方、関連するノウハウが少ないため、本記事を通じて情報を共有したいと考えました。AWS環境でのマルウェア対策導入の一助となれば幸いです。

参考情報