Amazon GuardDuty
AWS 環境への脅威を機械学習で自動検知するマネージド脅威検出サービス
何ができるか
Amazon GuardDuty は、AWS アカウントとワークロードに対する脅威を継続的に監視・検出するマネージドサービスです。CloudTrail のイベントログ、VPC フローログ、DNS クエリログなどを機械学習と脅威インテリジェンスで分析し、不正なアクセス、マルウェア通信、暗号通貨マイニング、データ漏洩の兆候などを自動的に検出します。エージェントのインストールやインフラの構築は不要で、有効化するだけで即座に脅威検出が開始されます。
どのような場面で使うか
AWS アカウントへの不正アクセスの検知、EC2 インスタンスからの不審な外部通信の検出、IAM 認証情報の漏洩や不正利用の検知、S3 バケットへの異常なアクセスパターンの検出、EKS クラスターや Lambda 関数に対する脅威の監視など、AWS 環境のセキュリティ監視が必要な場面で利用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
マンションの AI 搭載防犯システムに例えるとわかりやすいでしょう。監視カメラの映像 (ログデータ) を AI (機械学習) が 24 時間分析し、不審者の侵入 (不正アクセス)、窓の破損 (脆弱性の悪用)、不審な荷物の搬出 (データ漏洩) を自動検知して管理人 (セキュリティチーム) に通報します。
GuardDuty とは
Amazon GuardDuty は、AWS 環境に対する脅威をリアルタイムで検出するマネージドサービスです。従来のセキュリティ監視では、ログの収集基盤の構築、分析ルールの作成、脅威インテリジェンスの更新など、多大な労力が必要でした。GuardDuty はこれらをすべて AWS が管理し、コンソールで有効化するだけで数分以内に脅威検出が開始されます。検出結果 (Finding) は重要度 (低・中・高) で分類され、対処の優先順位付けが容易です。
検出の仕組み
GuardDuty は複数のデータソースを分析して脅威を検出します。CloudTrail 管理イベントから IAM 認証情報の不正利用や異常な API 呼び出しを、VPC フローログから不審なネットワーク通信を、DNS ログからマルウェアの C&C サーバーへの通信を検出します。機械学習モデルがアカウントの通常の行動パターンを学習し、逸脱した行動を異常として検出するため、単純なルールベースでは見逃す高度な脅威も捕捉できます。
検出結果への対応
GuardDuty が脅威を検出すると、Finding としてコンソールに表示されます。Finding には脅威の種類、影響を受けるリソース、推奨される対処方法が含まれます。EventBridge と連携すれば、Finding の発生をトリガーに Lambda 関数で自動対処 (セキュリティグループの変更、IAM ユーザーの無効化など) を実行できます。Security Hub と統合すれば、GuardDuty の Finding を他のセキュリティサービスの検出結果と一元的に管理できます。
料金体系
GuardDuty の料金は分析するデータ量に基づく従量課金です。CloudTrail 管理イベント、VPC フローログ、DNS クエリログの分析量に応じて課金されます。30 日間の無料トライアルが提供されており、その間に実際のコストを見積もることができます。Organizations と連携すれば、組織内の全アカウントで一括有効化でき、管理アカウントから集中管理が可能です。
Azure・オンプレミスとの比較
AWS の優位点
- エージェントのインストールやログ収集基盤の構築が不要で、コンソールで有効化するだけで数分以内に脅威検出が開始されるため、導入の障壁が極めて低い
- AWS が管理する脅威インテリジェンスと機械学習モデルが自動更新されるため、最新の脅威パターンに対する検出能力を運用負荷なしで維持できる
- Organizations との統合により、数百のアカウントに対する脅威検出を管理アカウントから一括で有効化・管理でき、大規模組織のセキュリティ監視を効率化できる
注意点
- GuardDuty は検出のみを行い、自動的にリソースをブロックする機能はない。検出結果に基づく対処は EventBridge + Lambda で自動化するか、手動で対応する必要がある
- 30 日間の無料トライアル期間中にコスト見積もりを確認し、本番有効化後の月額コストを事前に把握しておくこと
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。