セキュリティ

セキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化

Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。

約 4 分で読めます

セキュリティ調査の課題と Detective の概要

セキュリティインシデントが発生した際、その根本原因を迅速に特定することは極めて重要です。しかし、VPC フローログ、CloudTrail ログ、GuardDuty の検出結果など、複数のデータソースを横断的に分析する作業は時間がかかり、高度な専門知識を要します。Amazon Detective は、機械学習、統計分析、グラフ理論を活用してセキュリティデータを自動的に収集・分析し、インシデントの根本原因を迅速に特定するサービスです。GuardDuty、Security Hub、その他の AWS セキュリティサービスからの検出結果を起点に、関連するリソース、IP アドレス、ユーザーアクティビティを自動的に関連付けます。オンプレミスの SIEM ツールでは、ログの収集、正規化、相関分析のためのルール設定に多大な工数がかかりますが、Detective はこれらを自動化し、セキュリティアナリストが調査に集中できる環境を提供します。一方、Detective はグラフベースの可視化により、クエリを書かずにエンティティ間の関係性を直感的にたどれる点が大きな違いです。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

グラフベースの分析と行動プロファイリング

Detective の中核技術はグラフデータベースであり、AWS リソース、IP アドレス、IAM ユーザー、API コール間の関係性をグラフ構造で表現します。この行動グラフ (Behavior Graph) は、最大 12 か月分のログデータから自動的に構築され、通常の行動パターンをベースラインとして学習します。異常な行動パターンが検出された場合、グラフ上で関連するエンティティ (リソース、ユーザー、IP アドレス) を視覚的にたどることで、攻撃の経路と影響範囲を迅速に把握できます。例えば、不審な API コールが検出された場合、そのコールを実行した IAM ロール、ロールを引き受けた EC2 インスタンス、インスタンスに接続した IP アドレスを一連の関係として可視化します。時系列分析により、特定の期間における API コール量、ネットワークトラフィック量、ログインパターンの変化を確認し、インシデントの発生時刻と影響期間を正確に特定できます。以下は AWS CLI で Detective の行動グラフ一覧を取得する例です。 ```bash aws detective list-graphs \ --region ap-northeast-1 ``` また、特定のメンバーアカウントの調査状況を確認するには、以下のコマンドを使用します。 ```bash aws detective list-members \ --graph-arn arn:aws:detective:ap-northeast-1:123456789012:graph:example \ --region ap-northeast-1 ```

GuardDuty 連携とインシデント対応ワークフロー

Detective と GuardDuty の連携は、脅威の検出から調査までのシームレスなワークフローを実現します。GuardDuty が不審なアクティビティを検出すると、Detective はその検出結果に関連するすべてのエンティティとアクティビティを自動的に集約します。GuardDuty のコンソールから直接 Detective の調査画面に遷移でき、検出結果の詳細な分析を即座に開始できます。Detective の調査サマリー機能は、検出結果に関連する主要な情報 (影響を受けたリソース、関連する IP アドレス、API コールの時系列) を自動的にまとめ、調査の出発点を提供します。Security Hub との統合により、複数のセキュリティサービスからの検出結果を一元管理し、Detective での詳細調査にシームレスに移行できます。Organizations との統合で、マルチアカウント環境全体のセキュリティデータを単一の行動グラフに集約し、アカウントをまたがる攻撃パターンの検出と調査が可能です。Microsoft Sentinel では、インシデント調査時に Log Analytics ワークスペースから KQL でデータを手動抽出する必要がありますが、Detective は GuardDuty の検出結果から 1 クリックで関連エンティティの全体像を表示できるため、調査開始までの時間を大幅に短縮できます。

自動調査と脅威インテリジェンスの活用

Detective の自動調査機能は、IAM ユーザーや IAM ロールに対する包括的なセキュリティ評価を自動実行します。指定したエンティティの過去のアクティビティを分析し、通常パターンからの逸脱、不審な API コール、異常なネットワーク接続を自動的に検出してレポートを生成します。脅威インテリジェンスフィードとの統合により、既知の悪意ある IP アドレスやドメインとの通信を自動的にフラグ付けします。調査結果は重要度別に分類され、セキュリティアナリストが優先的に対応すべき項目を明確にします。CloudWatch メトリクスとの連携で、Detective の利用状況やデータ取り込み量を監視し、コスト管理にも活用できます。Lambda 関数と EventBridge を組み合わせることで、特定の検出パターンに対する自動対応を実装できます。以下は EventBridge ルールで GuardDuty の High 重要度検出結果を Lambda に転送する設定例です。 ```json { "source": ["aws.guardduty"], "detail-type": ["GuardDuty Finding"], "detail": { "severity": [{ "numeric": [">=", 7] }] } } ``` この設定により、セキュリティグループの変更、IAM ポリシーの制限、SNS 通知の送信といった自動対応を実装し、インシデント対応の初動を自動化できます。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - セキュリティ調査基盤の構築指針

Amazon Detective は、グラフベースの分析と機械学習を活用してセキュリティインシデントの根本原因を迅速に特定するサービスです。GuardDuty との連携による検出から調査までのシームレスなワークフロー、行動グラフによるエンティティ間の関係性の可視化、自動調査機能による包括的なセキュリティ評価は、インシデント対応の効率を大幅に向上させます。Organizations との統合によるマルチアカウント環境の一元的な調査と、脅威インテリジェンスフィードとの連携による既知の脅威の自動検出は、組織全体のセキュリティポスチャーの強化に貢献します。Microsoft Sentinel の KQL ベースの調査と比較して、Detective はグラフ可視化による直感的な調査体験と、GuardDuty からの 1 クリック遷移による迅速な調査開始を実現しています。

AWS の優位点

  • Detective はグラフデータベースを活用し、AWS リソース、IP アドレス、IAM ユーザー間の関係性を自動的に可視化する
  • 最大 12 か月分のログデータから行動グラフを構築し、通常パターンからの逸脱を自動検出する
  • GuardDuty の検出結果から直接 Detective の調査画面に遷移し、シームレスなインシデント調査を開始できる
  • 自動調査機能により IAM ユーザーやロールの包括的なセキュリティ評価レポートを自動生成する
  • Organizations 統合でマルチアカウント環境全体のセキュリティデータを単一の行動グラフに集約できる
  • Microsoft Sentinel の KQL クエリベース調査と異なり、Detective はグラフ可視化で直感的にエンティティ間の関係をたどれる

関連するサービス

Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス Amazon GuardDuty 機械学習を活用した脅威検出サービス

関連する比較記事

ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現 AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析 Access Analyzer による外部アクセスの検出、未使用権限の分析、ポリシー生成の活用を解説します。 AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまで ACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB・CloudFront へのデプロイを解説します。 AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理 Artifact による SOC、PCI DSS、ISO レポートの取得、BAA や NDA の締結手順を解説します。 監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集する AWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。 証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用 AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront・ALB・API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。 AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化 CloudHSM による専用 HSM クラスタの構築、KMS との使い分け、コンプライアンス要件への対応を解説します。 Amazon Cognito で実装するユーザー認証 - User Pool と Identity Pool の設計 Cognito User Pool によるユーザー認証、Identity Pool による AWS リソースアクセス、ソーシャルログインの統合を解説します。 機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護する AWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。 データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御 Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。 DDoS 対策 - AWS Shield による多層防御の設計と運用 AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront・Route 53・ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。 Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定 Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。 Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張する AWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces・RDS・FSx との連携を紹介します。 AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理 AWS Managed Microsoft AD の構築、オンプレミス AD との信頼関係、AWS サービスとの統合を解説します。 AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開 Firewall Manager による WAF ルール、Security Group、Network Firewall ポリシーの組織全体への展開を解説します。 Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応 GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。 ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理 AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。 ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現 AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。 AWS IAM Identity Center で実現するシングルサインオン - マルチアカウントアクセス管理 IAM Identity Center によるマルチアカウント SSO、権限セットの設計、外部 IdP との統合を解説します。 Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価 Inspector による脆弱性スキャンの自動化、CVE 検出、リスクスコアリング、修復の優先順位付けを解説します。 Amazon Macie による機密データの自動検出 - S3 バケットの PII スキャンとデータ保護 Amazon Macie による S3 バケット内の機密データ (PII、金融情報、認証情報) の自動検出と、検出結果に基づくデータ保護戦略を解説します。 Amazon Macie で S3 の機密データを自動検出 - PII 検出とデータセキュリティ態勢の管理 Macie による S3 バケットの機密データ検出、カスタムデータ識別子、Security Hub 統合を解説します。 AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリング Network Firewall のステートフル/ステートレスルール設計、ドメインフィルタリング、Suricata 互換ルールの活用法を解説します。 ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御 AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。 AWS Nitro Enclaves で実現する機密データ処理 - 隔離環境での暗号化と認証 Nitro Enclaves による隔離環境の構築、KMS との統合、機密データの安全な処理を解説します。 AWS Payment Cryptography で実現するクラウド決済処理 - 暗号鍵管理と PIN 検証 Payment Cryptography による決済用暗号鍵の管理、PIN ブロックの暗号化・復号、PCI DSS 準拠を解説します。 AWS Private CA で構築するプライベート PKI - 証明書の自動発行とローテーション Private CA によるプライベート証明書の発行、ACM との統合、短期証明書による mTLS の実装を解説します。 AWS Secrets Manager のマルチリージョン戦略 - レプリケーションとクロスアカウント共有 Secrets Manager のマルチリージョンレプリケーション、クロスアカウントアクセス、Parameter Store との統合パターンを解説します。 AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合 Secrets Manager によるデータベースパスワードや API キーの安全な管理、自動ローテーションの設定、アプリケーションからの取得パターンを解説します。 AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応 Security Hub による検出結果の集約、セキュリティ標準の自動評価、自動対応ワークフローの構築を解説します。 Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析 Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。 セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤 AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。 AWS Shield で DDoS 攻撃から防御 - Standard と Advanced の使い分け Shield Standard と Advanced の違い、DDoS 対応チーム (SRT) の活用、コスト保護を解説します。 AWS Signer で実現するコード署名 - Lambda 関数とコンテナイメージの信頼性保証 AWS Signer による Lambda 関数のコード署名、コンテナイメージの署名、署名検証ポリシーの設定を解説します。 SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証 AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。 ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築 Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。 AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続 Verified Access による VPN レスのアプリケーションアクセス、信頼プロバイダーの設定、ポリシー設計を解説します。 Amazon Verified Permissions で実装するきめ細かい認可 - Cedar ポリシーによるアクセス制御 Verified Permissions による Cedar ポリシーの設計、ポリシーストアの構築、Cognito との統合を解説します。 脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視 Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。 AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装 AWS WAF の Bot Control マネージドルール、Account Takeover Prevention、Fraud Control の設定と運用を解説します。 ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現する AWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。