セキュリティ

Amazon GuardDuty

機械学習と脅威インテリジェンスを活用して AWS アカウントとワークロードの脅威を継続的に監視・検出するマネージド脅威検出サービス

約 2 分で読めます

概要

Amazon GuardDuty は、AWS アカウント、ワークロード、データに対する悪意のあるアクティビティや異常な動作を継続的に監視・検出するインテリジェントな脅威検出サービスです。VPC Flow Logs、CloudTrail イベントログ、DNS ログ、S3 データイベント、EKS 監査ログ、Lambda ネットワークアクティビティログなどのデータソースを自動的に分析し、機械学習、異常検出、統合された脅威インテリジェンスを使用して脅威を特定します。不正な API 呼び出し、暗号通貨マイニング、C&C サーバーとの通信、ブルートフォース攻撃、S3 バケットへの不審なアクセスなど、幅広い脅威パターンを検出します。検出結果は重要度 (High、Medium、Low) で分類され、EventBridge と連携して自動修復アクションをトリガーすることも可能です。有効化はワンクリックで完了し、既存のインフラに変更を加える必要はありません。

検出タイプの分類と重要度の読み方

GuardDuty は 100 種類以上の検出タイプを持ち、Recon (偵察 - ポートスキャンや API 列挙)、UnauthorizedAccess (不正アクセス - 異常な場所からのログインや API 呼び出し)、Trojan (トロイの木馬 - C&C サーバーとの通信や暗号通貨マイニング)、Exfiltration (データ流出 - S3 からの大量ダウンロード) の 4 カテゴリに大別されます。各検出結果には High / Medium / Low の重要度が付与され、High は即時対応が必要な脅威 (暗号通貨マイニング、既知の悪意ある IP からのアクセスなど) を示します。Microsoft Defender for Cloud が脅威検出に加えてセキュリティポスチャ管理や脆弱性評価まで統合する広範なサービスであるのに対し、GuardDuty は脅威検出に特化し、VPC Flow Logs、CloudTrail、DNS ログなど AWS ネイティブのデータソースとの深い統合により高精度な検出を実現しています。

EventBridge 連携による自動修復

GuardDuty の検出結果は EventBridge にイベントとして発行されるため、Lambda 関数をトリガーして自動修復アクションを実行できます。たとえば、侵害された EC2 インスタンスのセキュリティグループを隔離用に差し替える、不正な IAM アクセスキーを即座に無効化する、Slack や PagerDuty に通知を送信するといった対応を人手を介さず実行できます。重要度に応じてルールを分け、High は即時自動修復 + 通知、Medium は通知のみ、Low はログ記録のみといった段階的な対応フローを設計するのが実践的です。脅威検知の関連書籍 (Amazon) では、自動修復パターンの設計が詳しく解説されています。

マルチアカウント環境と追加保護機能

AWS Organizations との統合により、セキュリティアカウント (委任管理者) から全メンバーアカウントの GuardDuty を一括有効化し、検出結果を一元管理できます。新しいアカウントが Organizations に追加されると自動的に GuardDuty が有効になるため、保護の抜け漏れを防止できます。Malware Protection を有効にすると、EC2 インスタンスや ECS コンテナでマルウェアの兆候が検出された際に EBS ボリュームの自動スキャンを実行します。S3 Protection は S3 バケットへの不審なアクセスパターン (公開設定の変更、Tor ネットワーク経由のアクセスなど) を検出し、EKS Protection は Kubernetes 監査ログを分析してコンテナ環境の脅威を特定します。料金は分析したログ量に基づく従量課金で、CloudTrail イベント 100 万件あたり約 4.72 ドル、VPC Flow Logs 1 GB あたり約 1.18 ドルです。

共有するXB!

関連する用語

AWS IAMAWS WAFAWS KMSAmazon Cognito

関連するサービス

AWS IAMAWS CloudTrailAmazon EventBridge

関連する記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解Organizations の OU 階層設計と SCP によるガバナンス制御で、セキュリティ境界の確立とコスト配分の最適化を実現する。Control Tower のガードレールと統合請求によるマルチアカウント運用の全体像を解説します。AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。Amazon AppFlow で実現する SaaS データ連携 - Salesforce ・ Slack ・ Google Analytics との統合Salesforce や Slack のデータを S3・Redshift にノーコードで同期する。イベント駆動トリガー、PII マスキング、PrivateLink によるセキュアな転送を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。

内容が近い用語・記事

Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。Amazon GuardDuty機械学習を活用した脅威検出サービスある企業のセキュリティチームが、AWS アカウント内で不審な API 呼び出しパターンや不正なリソースアクセスを自動的に検出したいと考えています。最も適切なサービスはどれですか?脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。