Amazon GuardDuty とは?機械学習で AWS の脅威を検知
Amazon GuardDuty は 機械学習と脅威インテリジェンスで AWS の脅威を継続検知するサービス。CloudTrail / VPC Flow Logs / DNS ログ・S3 ログ・EKS 監査ログ・RDS / Lambda ログ を自動分析し、不正アクセス・マ...
機械学習で AWS アカウントの脅威を検知するセキュリティサービス。CloudTrail / VPC Flow Logs / DNS ログを分析。
1. 概要(端的に)
Amazon GuardDuty は 機械学習と脅威インテリジェンスで AWS の脅威を継続検知するサービス。CloudTrail / VPC Flow Logs / DNS ログ・S3 ログ・EKS 監査ログ・RDS / Lambda ログ を自動分析し、不正アクセス・マルウェア感染・暗号通貨マイニング・データ流出等を検出する。設定不要で 数クリックで有効化。
2. 何ができるか
- 脅威の自動検知:機械学習 + 脅威インテリジェンス
- 設定不要:有効化するだけ
- 複数データソース統合:CloudTrail / VPC Flow Logs / DNS / S3 / EKS / RDS / Lambda
- マルチアカウント対応:Organizations 統合
- 調査結果(Findings):重要度別に提示
- EventBridge / Security Hub 連携:自動対応
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | データ分析量に応じた従量課金 |
| 無料トライアル | 30 日 |
| 設定不要 | ログ収集・分析を全自動 |
| 対応データソース | CloudTrail / VPC Flow Logs / DNS / S3 / EKS / RDS / Lambda |
| 検知タイプ | 100+ パターン |
主な検知パターン
- クレデンシャル流出:通常と異なる地理からの API 呼び出し
- 暗号通貨マイニング:マイニングプール宛の通信
- DDoS への加担:他者攻撃に AWS が利用される
- コンテナ侵害:EKS の異常な API 呼び出し
- マルウェア:EBS スキャン(Malware Protection)
- ポートスキャン:内部からの不審なスキャン
4. 仕組み
GuardDuty は AWS のサービスログを内部で取得・分析し、機械学習モデルと脅威インテリジェンスフィードを使って異常を検出する。
動作の流れ
- GuardDuty 有効化(数クリック)
- AWS が自動的にログを取得・分析
- 異常検知 → Finding 生成
- EventBridge 経由で通知 / Security Hub 集約
- 自動対応(Lambda)or 人間が調査
Finding 例
タイトル: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
重要度: HIGH
内容: EC2 インスタンスのクレデンシャルが AWS 外部から使用された
リソース: IAM Role MyRoleマルチアカウント
- Organizations と連携
- 管理アカウントから全子アカウントを一元監視
5. ユースケース
ユースケース 1:基本セキュリティ
全アカウント有効化が AWS のベストプラクティス。
ユースケース 2:脅威検知の自動化
攻撃検知 → Lambda で自動対応(インスタンス隔離等)。
ユースケース 3:マルチアカウント統制
Organizations + GuardDuty で組織全体の脅威監視。
ユースケース 4:コンプライアンス
セキュリティ監視要件への対応。
6. 関連用語
- Inspector — 脆弱性スキャン(補完関係)
- Security-Hub — 統合表示
- Detective — 詳細調査
- CloudTrail / VPC-Flow-Logs — データソース
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | 脅威検知の概念 |
| SAA | 中 | セキュリティ設計選定 |
| DVA | 低 | 出題稀 |
| SOA | 高 | セキュリティ運用 |