Amazon GuardDuty あまぞん がーどでゅーてぃ
簡単に言うとこんな感じ!
AWSのクラウド環境を24時間365日見張ってくれる「自動警備員」だよ!不審なアクセスや怪しい操作をAIが自動で検知して、「これ危ないかも!」ってアラートを出してくれるサービスなんだ。自分でログを解析する手間がゼロになるってこと!
GuardDutyとは
Amazon GuardDutyは、AWSが提供するマネージド型の脅威検出サービスです。AWS環境内で起きている不審なアクティビティや悪意ある動作を、機械学習・異常検知・脅威インテリジェンスを組み合わせて自動的に見つけ出してくれます。有効化するだけで即座に監視が始まり、自前でログ収集サーバーを用意したり、複雑な設定をしたりする必要がありません。
監視対象となるのは、AWS CloudTrail(API操作ログ)、VPC フローログ(ネットワーク通信の記録)、DNS ログ(名前解決の記録)など複数のデータソースです。これらを横断的に分析し、「通常ありえない時間帯に管理者権限でAPIが叩かれた」「マルウェアが使うとして知られているIPアドレスと通信している」といった異常をリアルタイムで検出します。
発注・選定担当者の視点で言えば、「セキュリティの専門チームがいなくても、AWSアカウントへの不正アクセスや情報漏えいの兆候をいち早くキャッチできる仕組み」です。月額コストもデータ処理量に応じた従量課金で、まず30日間は無料トライアルで試せます。
GuardDutyの仕組みと検出できる脅威
GuardDutyが何を見ていて、何を検出できるのかを整理します。
| 監視データソース | 何を見ているか | 検出例 |
|---|---|---|
| AWS CloudTrail | AWSのAPI操作履歴 | 不審な権限昇格・ルートアカウントの利用 |
| VPC フローログ | VPC内のネットワーク通信記録 | 既知の悪意あるIPとの通信・ポートスキャン |
| DNS ログ | DNSの名前解決リクエスト | マルウェアC2サーバーへの通信 |
| S3データイベント | S3バケットへのアクセス操作 | 大量データの外部流出・公開設定の改ざん |
| EKSログ | Kubernetesクラスター操作 | コンテナ環境への不正侵入 |
| RDS ログイン活動 | データベースへのログイン | ブルートフォース攻撃の試み |
検出カテゴリの覚え方
GuardDutyが出すアラート(Findingと呼ぶ)は大きく3種類に分類されます。
脅威の種類
├── Backdoor … マルウェア感染・ボット化の疑い
├── Recon … 偵察行為(ポートスキャンなど下調べ)
├── CryptoCurrency … 暗号通貨マイニングへの悪用
├── Trojan … トロイの木馬的な不正通信
├── UnauthorizedAccess … 不正な認証情報利用
└── Stealth … ログ削除・証拠隠滅の試み語呂合わせ:「バックリクリプトトロステ」(Backdoor・Recon・CryptoCurrency・Trojan・UnauthorizedAccess・Stealth)の頭文字を並べて覚えるのがコツ!
重要度レベル(Severity)
| レベル | 数値範囲 | 意味 | 対応の目安 |
|---|---|---|---|
| High | 7.0〜8.9 | 即時対応が必要 | 数時間以内に調査 |
| Medium | 4.0〜6.9 | 要調査 | 数日以内に確認 |
| Low | 0.1〜3.9 | 参考情報 | 定期レビュー時に確認 |
歴史と背景
- 2017年11月 — AWS re:Invent 2017 にて Amazon GuardDuty が正式リリース。当初は CloudTrail・VPCフローログ・DNSログの3ソースのみ対応
- 2018年〜 — AWS Organizations との統合が進み、複数アカウントを一元管理できる「マスターアカウント」機能が追加。大企業での採用が加速
- 2020年 — S3の保護機能(S3 Protection)が追加。S3バケットへの不審なアクセスも検出対象に
- 2022年 — EKS(Kubernetes)監視機能が追加。コンテナ環境のセキュリティ需要増に対応
- 2023年 — RDS Protection・Lambda Protection など対応サービスが大幅拡張。マルウェアスキャン機能(EBSボリュームのスキャン)も登場
- 現在 — AWSアカウントを持つ企業の多くが「まず有効化すべきセキュリティの基本」として採用。有効化率はAWS利用企業の中でも特に高いサービスのひとつ
背景には、クラウド利用の拡大にともなう「設定ミスによる情報漏えい」や「認証情報の不正利用」事件の増加があります。従来型のSIEM(ログ収集・分析基盤)を自前で構築するには専門知識と多大なコストが必要でしたが、GuardDutyはそのハードルをほぼゼロにしました。
類似サービス・関連サービスとの比較
GuardDutyは「検出」に特化したサービスです。周辺のAWSセキュリティサービスとの役割分担を理解しておくと発注・選定がしやすくなります。
GuardDuty vs 競合サービス
| 比較項目 | Amazon GuardDuty | Microsoft Defender for Cloud | Google Security Command Center |
|---|---|---|---|
| 対応クラウド | AWS専用 | Azure中心(AWS/GCP部分対応) | GCP専用 |
| 設定の手間 | ほぼゼロ(有効化のみ) | 中程度 | 中程度 |
| 機械学習 | あり | あり | あり |
| 価格体系 | 従量課金 | ライセンス+従量 | 従量課金 |
| マルチアカウント管理 | Organizations連携で一元化 | 管理グループ連携 | 組織ポリシー連携 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-53 | 連邦情報システムのセキュリティ管理策。GuardDutyは「SI-4 情報システム監視」など複数の管理策を自動的に充足する |
| CIS AWS Foundations Benchmark | AWSのセキュリティベストプラクティス。GuardDutyの有効化が推奨事項として明示されている |
関連用語
- AWS CloudTrail — AWS上のAPI操作をすべて記録する監査ログサービス。GuardDutyの主要データソース
- Amazon Security Hub — GuardDutyを含む複数のAWSセキュリティサービスのアラートを一元集約するサービス
- VPCフローログ — VPC内のネットワーク通信を記録するログ。GuardDutyの監視対象のひとつ
- Amazon Macie — S3バケット内の機密データを自動検出するAWSサービス
- AWS Inspector — EC2インスタンスやコンテナの脆弱性を自動スキャンするサービス
- SIEM — セキュリティ情報・イベント管理。ログを収集・分析してインシデントを検出する仕組みの総称
- 脅威インテリジェンス — 既知の攻撃者IPやマルウェア情報などのセキュリティ知識ベース。GuardDutyが検出に活用
- IAM — AWSのIdentity and Access Management。不正なIAMキー利用もGuardDutyが検出する