Amazon GuardDuty のアイコン

Amazon GuardDuty

機械学習を活用した脅威検出サービス

約 1 分で読めます

何ができるか

Amazon GuardDuty は、AWS アカウントとワークロードに対する脅威を継続的に監視・検出するマネージドサービスです。CloudTrail ログ、VPC Flow Logs、DNS ログなどを機械学習と脅威インテリジェンスで分析し、不正アクセス、マルウェア、暗号通貨マイニングなどの脅威を自動検出します。

どのような場面で使うか

AWS アカウントへの不正アクセスの検出、EC2 インスタンスのマルウェア感染の検知、S3 バケットへの異常なアクセスパターンの検出、IAM 認証情報の漏洩検知などに利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの防犯カメラと AI 監視システムに例えられます。24 時間カメラ (ログ) で監視し、AI (機械学習) が不審な行動を自動検出して警備員 (管理者) に通報します。

GuardDuty とは

Amazon GuardDuty は、ワンクリックで有効化できる脅威検出サービスです。エージェントのインストールやログの設定は不要で、有効化するだけで AWS 環境の監視が開始されます。検出された脅威は「検出結果 (Finding)」として重要度 (低・中・高) 付きで報告されます。

検出できる脅威

GuardDuty は 3 つのカテゴリの脅威を検出します。偵察 (ポートスキャン、API の異常な呼び出し)、インスタンスの侵害 (マルウェア通信、暗号通貨マイニング、C&C サーバーへの接続)、アカウントの侵害 (通常と異なるリージョンからの API 呼び出し、IAM 認証情報の不正使用) です。EKS、S3、RDS、Lambda の保護機能も追加で有効化できます。

はじめかた

GuardDuty コンソールで「GuardDuty の有効化」をクリックするだけで開始できます。30 日間の無料トライアルが提供されます。検出結果は EventBridge と連携して Lambda で自動対応したり、Security Hub に集約して一元管理できます。Organizations と統合すれば、全アカウントで一括有効化が可能です。

注意点

  • GuardDuty は脅威の検出のみを行い、自動的なブロックや修復は行わない。対応の自動化には EventBridge + Lambda の連携が必要
  • 分析するログ量に応じた従量課金のため、大規模環境ではコストを事前に見積もること。30 日間の無料トライアルで実際のコストを確認できる

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス