AWS環境の不審な挙動を継続的に検知・可視化する脅威検知サービス
AWS環境の利用が拡大するにつれて、セキュリティ状況を正確に把握し続けることが難しくなっています。日々発生する膨大な操作ログや通信、システムの挙動の中から、不審な兆候だけを人手で見極めるのは現実的ではなく、気づかないうちにリスクが潜んでいるケースも少なくありません。
Amazon GuardDutyは、こうした課題に対し、AWS環境のログや挙動を自動的に分析して脅威の兆候を継続的に検知・可視化するサービスです。本記事では、Amazon GuardDutyの基本的な仕組みや機能、検出できる脅威、導入時の注意点を解説します。
目次
1. Amazon GuardDutyとは
Amazon GuardDutyは、AWSが提供するマネージド型の脅威検知サービスです。AWS環境内で発生するさまざまなログや挙動を継続的に分析し、不審なアクティビティやセキュリティ上のリスクを自動で検知します。
GuardDutyの大きな特長は、追加のエージェント導入や複雑な初期設定を必要としない点です。有効化するだけで、AWSが提供するログやデータを活用して脅威を検知できます。検知された脅威は重要度別に整理され、影響を受けたリソースや発生状況を管理画面から一目で把握することが可能です。
GuardDutyを活用すれば、自社で監視基盤や分析環境を構築・運用する手間がかかりません。AWS環境の規模が拡大しても運用負荷を抑えつつ、一定のセキュリティレベルを維持できるため、多くの企業で標準的な対策として導入されています。
AWSのセキュリティに関する基本的な考え方や全体像については、以下の記事で解説しています。
Amazon GuardDutyの仕組み
GuardDutyは、AWS環境で生成される複数のログデータをほぼリアルタイムに収集・分析することで脅威を検知します。
具体的には、AWS CloudTrail(AWS上のAPI操作ログを記録するサービス)を通じて不審なAPI操作を確認し、VPC Flow Logsからは通常とは異なる通信パターンを把握します。さらにDNS Logsを分析することで、悪意のあるドメインとの通信といった兆候も検出可能です。
これらのログ情報は、AWSが保有する脅威インテリジェンス(過去の攻撃事例に基づく不正通信元や悪性ドメインの情報)と照合され、既知の攻撃手法や侵害パターンに該当する挙動がないか評価されます。加えて、機械学習モデルを用いて環境ごとの通常時の挙動を学習し、そこから逸脱した異常行動を検出する仕組みも備えています。
分析の結果は重要度(高・中・低)を含めて出力され、AWS Security Hub(複数のセキュリティ検知結果を集約・可視化するサービス)に統合したり、Amazon EventBridge(イベントをトリガーに通知や処理を連携するサービス)を通じて通知や自動対応のワークフローにつなげたりすることが可能です。
Amazon Inspectorとの違い
Amazon GuardDutyは「攻撃の兆候を検知するサービス」、Amazon Inspectorは「攻撃される前の弱点を把握するサービス」と位置づけられます。
Amazon Inspectorは、攻撃される前の弱点を把握することを目的としたサービスです。ソフトウェアの脆弱性や意図せず外部に公開されているネットワークの露出など、攻撃の原因となり得るリスクを検出し、発生前の段階で対策を検討するために利用されます。
一方、Amazon GuardDutyは、不正アクセスやマルウェア通信、異常な操作といった実際の脅威につながる挙動を検知し、「現在進行形で不審な活動が起こっていないか」を監視する役割を担います。
両者は補完関係にあり、脅威検知と脆弱性管理を組み合わせることで、AWS環境のセキュリティ対策をより多面的に強化できます。
2. Amazon GuardDutyの機能
Amazon GuardDutyは、AWS環境における脅威を検知・可視化するための基本機能に加え、必要に応じて監視範囲を拡張できる保護プランを備えています。ここでは、代表的な機能を解説します。
脅威の検出と可視化(基本機能)
GuardDutyを有効にすると、AWS環境内で発生する操作や通信のログをもとに、不審な挙動の検知が自動的に行われます。検出結果は項目ごとに整理され、発生状況を一覧で把握できる形で可視化されます。
各検出結果には重要度が付与されるため、どの脅威から対応すべきかを判断しやすい点が特長です。また「何が発生したのか」「どのリソースが影響を受けたのか」といった詳細情報を確認できるため、初動対応や影響範囲の特定にも役立ちます。
さらに、AWS Security Hubと連携すれば、GuardDuty以外のAWSサービスや外部ツールの検出結果も含めて一元的に管理することが可能です。
脅威インテリジェンスと機械学習による高度な分析(基本機能)
GuardDutyでは、既知の悪意あるIPアドレスやドメインとの通信は脅威インテリジェンスと照合され、明確な攻撃兆候として検出されます。加えて、機械学習を用いて環境ごとの通常時の挙動を学習するため、普段とは異なるAPI操作や通信パターンといった異常行動も検知可能です。
複数のイベントが連続して発生した場合には、それらを関連付けて評価することで、単体では見逃されがちな攻撃の兆候を捉えられる点も強みといえます。
コンテナ/ランタイムの監視(保護プラン)
Amazon Elastic Kubernetes Service(EKS)環境を利用している場合には、Runtime Monitoringを有効にすると、コンテナ内のプロセス挙動や不審なコマンド実行を監視対象に含めることが可能です。
これにより、従来のログ分析だけでは把握しづらかったランタイムレベルでの侵害兆候を検知できるようになり、クラウドネイティブな環境におけるセキュリティ強化につながります。
マルウェアの検知(保護プラン)
EC2を利用している場合は、EBSボリュームを対象としたマルウェア検知を有効にすることで、スケジュール設定やエージェント導入を行わずにスキャンを実施できます。
また、S3向けのマルウェア検知を有効にすれば、新たにアップロードされたオブジェクトに潜むマルウェアの検出も可能です。これらの機能を必要に応じて組み合わせることで、侵害の痕跡を早期に発見し、被害拡大を防ぎやすくなります。
3. Amazon GuardDutyが検出する脅威
Amazon GuardDutyの主な検出対象は次のとおりです。
アカウント・IAMに関する不審な操作
AWSアカウントやIAMの利用状況に変化がないかを監視し、不正利用や内部不正の兆候を特定します。
- 異常な地域や時間帯からのログイン試行
- 認証失敗の多発など、不審なアクセス挙動
- 権限昇格を試みる操作
- 通常とは異なるユーザーやロールによるAPI実行
- 大量のAPI呼び出しの失敗や想定外のリソース操作 など
ネットワーク起点の異常な通信・攻撃の兆候
ネットワーク通信の挙動をもとに、外部からの攻撃や侵害後の不正な通信を検知します。
- 既知の悪意あるIPアドレスとの通信
- C2(Command and Control)サーバー(攻撃者が遠隔操作を行うためのサーバー)との通信
- 短時間での大量トラフィックの発生
- 通常業務では使用されないポートへの通信 など
リソース侵害の兆候
稼働中のリソースの挙動を監視し、ランタイムレベルでの侵害やマルウェア感染の兆候を検知します。
- EKS環境での不審なプロセス実行
- 想定外のコマンドや権限操作
- EC2/EBSにおけるマルウェアの有無 など
4. Amazon GuardDutyを導入するメリット
Amazon GuardDutyを導入することで、組織全体のセキュリティ運用を最適化するさまざまなメリットが得られます。
AWS環境全体のリスクを自動で可視化できる
AWS環境内で発生するログやアクティビティを自動的に分析し、不審な挙動を早期に把握できるようになります。人手に頼らず継続的な監視が行われるため、対応漏れや見落としのリスクを抑えられる点がメリットです。
また、検知された脅威には重要度が付与されるため、どの事象から対応すべきかを即座に判断できます。これにより、環境全体のセキュリティ状態を俯瞰的に把握することが可能です。
運用負荷を軽減し、監視作業を効率化できる
GuardDutyは、脅威インテリジェンスや機械学習を活用して脅威検知を自動化するため、日常的な監視作業にかかる工数を大幅に削減できます。複数のアカウントやリージョンにまたがる大規模な環境であっても、統一された仕組みで監視できるため、管理の手間が増えにくい点も特長です。
膨大なログを人手で追い続ける必要がなくなることで、運用担当者は目先のアラート対応に追われる状態から脱却し、より本質的な対策に注力できるでしょう。さらに検知結果を一元的に確認できる仕組みにより、監視業務のプロセスを標準化しやすい点もメリットです。
AWS環境全体のセキュリティレベルを底上げできる
AWS環境の規模が拡大するほど、GuardDutyによる分析対象は広がり、検知精度の向上が期待できます。加えて、保護プランのコンテナ/ランタイムの監視やマルウェアの検知といった機能を組み合わせることで、ログ分析だけではなく多層的な監視が可能となります。
脅威の予兆を早い段階で把握することは、深刻な被害に発展する前に対応するうえで重要です。さらに、AWS Security Hubと連携させることで、AWS環境全体のセキュリティ状況を統合的に管理・可視化できるため、継続的な改善につなげられます。
5. Amazon GuardDutyの料金体系
Amazon GuardDutyの料金は、分析したデータ量に応じて発生する仕組みです。デフォルトで有効となる基本的な脅威検出(基本料金)と、用途に応じて任意で有効化できる保護プラン(オプション料金)の2層構成になっています。
AWSアカウントでGuardDutyを初めて有効化すると、まず基本的な脅威検出が自動的に開始されます。一方、保護プランは必要に応じて個別に有効・無効を切り替えられるため、利用状況に合わせた柔軟なコスト調整が可能です。
料金単価はデータソースやAWSリージョンによって異なり、環境の規模やログ量の増減に応じて月々の利用料も変動します。
詳しくは以下をご覧ください。
参考:料金 – Amazon GuardDuty | AWS
6. Amazon GuardDutyを導入する際の注意点
Amazon GuardDutyは強力なツールですが、その効果を最大化するためには、導入時に注意すべきポイントがあります。
有効化するログ・設定によって検知精度が変わる
Amazon GuardDutyは、CloudTrailやVPC Flow Logsなどのログをもとに脅威を分析する仕組みのため、参照するデータソースの設定状況によって検知できる範囲や精度が変わります。
これらのログが有効化されていない場合、本来であれば検知できるはずの不審な挙動を見逃してしまうおそれがあります。また、マルチアカウント構成の環境では、アカウントごとに設定状況がばらつくと、監視の抜け漏れが生じやすい点にも注意が必要です。
そのため、GuardDutyの有効化とあわせて、参照するログや設定を環境全体で統一することが重要です。
アラート通知や対応は別途設定が必要
GuardDuty単体では、アラート通知や対応を自動的に行う仕組みを備えていません。検知結果を実際の対応につなげるためには、Amazon EventBridgeやSNS、Security Hubなどと連携させ、通知やエスカレーションの経路を設計する必要があります。
また、検知後に「誰がどのように初動対応を行うのか」「どの時点でエスカレーションするのか」といった運用フローを事前に整理しておくことも不可欠です。GuardDutyは有効化して完結するサービスではなく、検知後の運用まで含めて初めて効果を発揮する点を理解しておきましょう。
まとめ
Amazon GuardDutyは、AWS環境内のログや挙動を継続的に分析し、アカウント操作や通信、リソースの挙動に潜む脅威の兆候を可視化できるマネージド型の検知サービスです。優先度付きで検出結果を提示してくれるため、環境全体のリスク状況を迅速に俯瞰できます。
一方で、検知後の通知設定や初動対応、エスカレーションといった運用面は、自社の要件に合わせて別途整備する必要があります。GuardDutyの効果を十分に発揮させるには、検知結果を活かした継続的な運用体制が欠かせません。
ハートビーツの「SecureOps+」は、GuardDutyを含むAWSセキュリティサービスの活用から、運用設計、日常的な監視・対応までを一貫して支援するサービスです。
弊社はAWSの厳格な審査を通過した「MSSPコンピテンシー(Level1 MSSPコンピテンシー)」を取得しており、AWSセキュリティ運用に特化した確かな技術と実績を備えています。
AWS環境のセキュリティ運用に不安をお持ちの方は、ぜひハートビーツへご相談ください。
