AWS GuardDuty えーだぶりゅーえす がーどでゅーてぃ
簡単に言うとこんな感じ!
AWS GuardDutyはAWSのクラウド環境を24時間365日見張ってくれる「自動警備員」だよ!不審なアクセスや怪しい動きを機械学習で自動検知して、「ここが危ないよ!」ってアラートを出してくれるサービスなんだ。設定がほぼ不要でONにするだけだから、セキュリティ専門家がいなくても使えるってこと!
AWS GuardDutyとは
AWS GuardDutyは、Amazon Web Services(AWS)が提供するマネージド型の脅威検出サービスです。AWSアカウント内で発生するさまざまなログやイベントデータを継続的に分析し、不正アクセス・マルウェア感染・内部不正などの脅威をリアルタイムで検出します。「マネージド型」とは、サーバーの管理やソフトウェアの更新などをAWSが肩代わりしてくれる形式のことで、利用者は有効化するだけで使い始められます。
GuardDutyの最大の特徴は、機械学習(ML)と脅威インテリジェンスを組み合わせた自動検出の仕組みです。単純なルールベースではなく、「このアカウントの普段の行動パターンと比べて今の動きは異常だ」という文脈を加味した判断ができるため、従来のセキュリティツールでは見逃しがちな脅威も捉えられます。
ビジネスパーソンの視点で言うと、GuardDutyは「AWSを使い始めたら最初に有効にすべきセキュリティサービス」の筆頭格です。コストも比較的低く、専任のセキュリティ担当者がいなくても自社のクラウド環境の異変を検知できる体制が作れます。
GuardDutyが監視する対象と検出できる脅威
GuardDutyは複数のデータソースを組み合わせて分析を行います。
| データソース | 内容 |
|---|---|
| AWS CloudTrail | AWSアカウント内の操作ログ(誰が何をしたか) |
| VPC Flow Logs | AWSネットワーク内の通信記録(どこからどこへ通信したか) |
| DNS ログ | EC2インスタンスなどからのDNS問い合わせ記録 |
| S3データイベント | S3バケットへのアクセスログ |
| EKSログ | Kubernetesクラスターの操作ログ |
| マルウェアスキャン | EC2・ECSのファイルシステムのスキャン(オプション) |
検出できる脅威の種類
| カテゴリ | 具体例 |
|---|---|
| 不正アクセス | 通常使わない国からのAPIコール、クレデンシャル漏洩による不審操作 |
| 内部不正・設定ミス | IAMユーザーによる大量データダウンロード、S3バケットの公開設定変更 |
| マルウェア・C2通信 | EC2インスタンスからの既知の悪意あるIPへの通信 |
| クリプトマイニング | 仮想通貨の無断採掘に使われるパターンの検出 |
| 偵察活動 | ポートスキャン、アカウント列挙 |
覚え方
「Guard(警備)+ Duty(任務)」——まさに「AWS環境を警備するのが任務」のサービスと覚えると忘れにくいですよ!
歴史と背景
- 2017年11月 — AWS re:Invent 2017にてGuardDutyが一般公開(GA)。当初はCloudTrail・VPC Flow Logs・DNSログの3ソースのみ
- 2020年 — S3の保護機能が強化され、データレイクへの不審アクセス検知が可能に
- 2021年 — EKS(コンテナ管理)への対応を追加。コンテナ環境のセキュリティ需要の高まりに対応
- 2022年 — マルウェアスキャン機能(GuardDuty Malware Protection)を追加。EC2やECSのディスクを直接スキャンできるように
- 2023年 — Lambda・RDS・ECSのサポートを拡充。サーバーレス環境やデータベースの監視にも対応
- 背景 — クラウド利用の急拡大とともに「クラウド上の資産を狙う攻撃」が急増。設定ミスや認証情報の漏洩を起点とした侵害が多発したため、手軽に導入できる自動検出サービスへのニーズが高まった
関連サービスとの比較・連携
GuardDutyは単体でも機能しますが、AWSの他のセキュリティサービスと組み合わせることで真価を発揮します。
| サービス | 役割 | GuardDutyとの関係 |
|---|---|---|
| GuardDuty | 脅威の検出 | 異常を発見してアラートを出す |
| AWS Security Hub | セキュリティ状況の一元管理 | GuardDutyの検出結果を集約・可視化 |
| AWS Inspector | 脆弱性の評価 | アプリやOSの脆弱性を診断 |
| AWS Config | リソース設定の記録・監査 | 設定変更の履歴を追跡 |
| Amazon Macie | S3内の機密データ検出 | 個人情報や機密情報の場所を特定 |
| AWS WAF | Webへの攻撃をブロック | GuardDutyは検知、WAFは遮断 |
GuardDutyとAWSセキュリティサービス群の役割分担をSVGで整理します。
自動対応のイメージ
GuardDutyが脅威を検出すると、Amazon EventBridge経由でAWS Lambdaを起動し、自動でIAMユーザーを無効化したり、不審なEC2インスタンスを隔離するといった「自動対応フロー」を組み込めます。これにより、夜中に発生した侵害にも即時対応できる体制が作れます。
関連する用語・概念
- AWS Security Hub — GuardDutyを含む複数セキュリティサービスの検出結果を一元集約するダッシュボード
- IAM(Identity and Access Management) — AWSのアクセス権限管理。GuardDutyの主要な監視対象の一つ
- AWS CloudTrail — AWSアカウント内の操作ログを記録するサービス。GuardDutyの主要データソース
- VPC Flow Logs — VPCネットワーク内の通信ログ。GuardDutyがネットワーク異常を検出する際に使う
- SIEM(Security Information and Event Management) — セキュリティイベントを集約・分析するシステム。GuardDutyの結果をSIEMに連携するケースも多い
- Amazon Macie — S3内の機密データ(個人情報など)を自動検出するサービス
- ゼロトラストセキュリティ — 「社内だから安全」とは考えない現代的なセキュリティ思想。GuardDutyはゼロトラスト実践の重要ツール
- 脅威インテリジェンス — 既知の攻撃者・悪意あるIPなどの情報データベース。GuardDutyの検出精度を支える基盤