Amazon GuardDuty
機械学習と脅威インテリジェンスを活用して AWS アカウントとワークロードの脅威を継続的に監視・検出するマネージド脅威検出サービス
概要
Amazon GuardDuty は、AWS アカウント、ワークロード、データに対する悪意のあるアクティビティや異常な動作を継続的に監視・検出するインテリジェントな脅威検出サービスです。VPC Flow Logs、CloudTrail イベントログ、DNS ログ、S3 データイベント、EKS 監査ログ、Lambda ネットワークアクティビティログなどのデータソースを自動的に分析し、機械学習、異常検出、統合された脅威インテリジェンスを使用して脅威を特定します。不正な API 呼び出し、暗号通貨マイニング、C&C サーバーとの通信、ブルートフォース攻撃、S3 バケットへの不審なアクセスなど、幅広い脅威パターンを検出します。検出結果は重要度 (High、Medium、Low) で分類され、EventBridge と連携して自動修復アクションをトリガーすることも可能です。有効化はワンクリックで完了し、既存のインフラに変更を加える必要はありません。
GuardDuty の検出タイプと対応
GuardDuty は 100 種類以上の検出タイプ (Finding Type) を持ち、大きく 4 つのカテゴリに分類されます。Recon (偵察) はポートスキャンや API の列挙など、攻撃の準備段階の活動を検出します。UnauthorizedAccess (不正アクセス) は、通常とは異なる場所からのコンソールログインや、異常な API 呼び出しパターンを検出します。Trojan (トロイの木馬) は、EC2 インスタンスが C&C サーバーと通信している場合や、暗号通貨マイニングの兆候を検出します。Exfiltration (データ流出) は、S3 バケットからの大量データダウンロードなど、データ持ち出しの兆候を検出します。検出結果への対応は、EventBridge ルールで Lambda 関数をトリガーし、セキュリティグループの変更、IAM ユーザーの無効化、SNS 通知の送信などを自動化するのがベストプラクティスです。
Azure Defender for Cloud との比較
Azure で GuardDuty に対応するサービスは Microsoft Defender for Cloud (旧 Azure Security Center) です。GuardDuty は脅威検出に特化したサービスで、有効化するだけで自動的にログを分析し脅威を検出します。Defender for Cloud は脅威検出に加え、セキュリティポスチャ管理 (CSPM)、脆弱性評価、コンプライアンス評価など、より広範なセキュリティ機能を統合しています。GuardDuty の強みは、AWS ネイティブのデータソース (VPC Flow Logs、CloudTrail、DNS ログ) との深い統合により、AWS 環境に特化した高精度な脅威検出を実現している点です。料金面では、GuardDuty は分析したログの量に基づく従量課金で、CloudTrail イベント 100 万件あたり約 4.72 ドル、VPC Flow Logs 1 GB あたり約 1.18 ドルです。Defender for Cloud の Defender プランはリソースタイプごとの月額課金で、サーバーあたり月額約 15 ドルです。