Amazon GuardDutyとは？AWS環境の脅威検出サービスの基本的な概要と特徴を初心者向けに解説

Amazon GuardDutyとは？AWS環境の脅威検出サービスの基本的な概要と特徴を初心者向けに解説

Amazon GuardDutyは、AWS環境のセキュリティを強化する脅威検出サービスです。GuardDutyは、AWS CloudTrailやVPCフローログ、DNSクエリログなどのクラウド上のログデータを常時監視し、不審なアクティビティを自動的に分析して警告を出します。AWS公式のマネージドサービスとして、サーバーやエージェントを用意する必要がなく、手軽に導入できる点が大きな特徴です。脅威インテリジェンス（悪意のあるIPアドレスやドメイン、ファイルハッシュのリスト）や機械学習（ML）モデルを活用し、リアルタイムで脅威を検出します。

この解説ではGuardDutyの概要や導入メリット、主な機能について、初心者でも理解しやすいよう順を追って解説します。

GuardDuty登場の背景：急増するクラウド脅威に対応するためAWS環境で求められるセキュリティ検出ニーズ

AWS環境が普及するにつれて、クラウド上の脅威や攻撃も増加しています。GuardDutyは、こうした新しい脅威に対応するために登場したサービスです。従来、セキュリティ担当者はCloudTrailログを手作業で分析したり、複雑なルールを構築したりしていましたが、GuardDutyを使うことでこれらを自動化できます。AWS公式の脅威検出サービスとして、GuardDutyは複数のデータソースを横断的に監視し、脅威を統合的に検出・通知します。GuardDutyの導入により、セキュリティ担当者はクラウド環境の状況をリアルタイムに把握しやすくなり、潜在的な攻撃を早期に検出・対処できるようになります。

CloudTrail/VPCフローログ/DNSログなど、GuardDutyが監視するAWSログデータの種類と重要性

GuardDutyでは、AWS環境内の複数のログデータを監視対象としています。たとえば、AWS CloudTrailの管理イベントログを分析することで、ユーザーやアプリケーションのAPI呼び出しに潜む不審な操作を検出できます。また、VPCフローログを監視してEC2インスタンスやコンテナのネットワーク通信を記録し、ポートスキャンや不正通信などの異常なトラフィックパターンを検出します。さらにDNSログの解析により、マルウェア感染時などに外部へ送信される不正なドメインへのクエリを特定できます。GuardDutyはこれら基本的なデータソースを有効化後に自動で取り込むため、追加設定なしですぐに継続的な監視を始められます。

マネージド型セキュリティサービスとしてのGuardDutyのメリット：インフラ不要で常時監視可能なスケーラビリティ

GuardDutyはAWSが提供するマネージドサービスなので、ユーザーが専用サーバーやソフトウェアを構築・管理する必要がありません。有効化するとAWS側で自動的にスケールし、大量のログデータを継続的に処理して脅威検出を行います。このため、膨大なログ分析を自動で行いつつ、最新の脅威インテリジェンスや検出ルールが常にAWS側で更新されるメリットがあります。ユーザーは検出結果の確認や対応に集中でき、システムの運用負荷や設定の手間を大幅に軽減できます。

GuardDutyの検出手法：機械学習と脅威インテリジェンスを組み合わせた高度な脅威検出の詳細を解説

GuardDutyでは、脅威インテリジェンスと機械学習を組み合わせて脅威検出を行います。脅威インテリジェンスフィードには既知の悪意あるIPアドレス、ドメイン、マルウェアのファイルハッシュなどが含まれており、GuardDutyはこれらとマッチする通信やダウンロードを監視します。また、機械学習アルゴリズムにより正常な環境の振る舞いを学習し、異常なアクティビティを検出します。たとえば、通常使われないAPIコール、大量のデータアクセス、未知のポートへの通信などが検出対象です。脅威インテリジェンスとMLの両者を活用することで、従来のルールベース検出を超えた高度な脅威発見が可能になります。

GuardDutyが提供する主要機能とその役割：検出シナリオや分析機能の概要を初心者向けに最新情報も交えて解説

GuardDutyでは多様な脅威シナリオに対応する検出機能が提供されています。例えば、漏洩した認証情報を使った不正ログイン、EC2インスタンスやECSコンテナ上でのマルウェア活動、異常なデータ転送や未知ポートへの通信などを検出できます。検出結果はGuardDutyコンソールやAWS Security Hubで集約して確認でき、必要に応じてSlackやメールで通知を送ることも可能です。基本的には脅威検出に特化したサービスであり、インシデント対応を効率化するための情報をセキュリティ担当者に提供します。AWSはGuardDutyの機能を定期的にアップデートしており、新たな攻撃パターンへの対応やS3検出の強化などが追加されています。

GuardDutyの主な特徴とセキュリティ検出機能の全体像を初心者向けに最新情報も交えてわかりやすく解説

GuardDutyの大きな特徴は、継続的な監視と高い検出精度です。GuardDutyを有効化するだけで、CloudTrail管理ログ、VPCフローログ、DNSクエリログなど複数のデータソースの分析が自動的に開始されるため、複雑な初期設定を必要としません。マネージド型サービスのため、サーバーやセンサーを用意する必要はなく、従量課金制により利用した分だけ料金が発生します。また、S3やEKSなど特定のリソース向けに用意された保護プランを有効にすることで、検出範囲をさらに拡張できます。これらの機能により、ガードデューティーは広範囲な脅威を効率的に検出し、AWS環境を継続的に保護します。

GuardDutyの基本検出機能：CloudTrail、VPCフローログ、DNSログなど監視対象データソース

GuardDutyは有効化すると、CloudTrail管理イベント、VPCフローログ、DNSクエリログといった複数のデータソースを自動的に分析対象とします。CloudTrail管理イベントログではAWSアカウント内のAPIコール（コンソール操作や認証アクティビティなど）を監視し、不正なアクセスや権限濫用を検出します。VPCフローログではEC2やコンテナのネットワーク通信を記録し、異常なトラフィックパターン（例えばポートスキャンや不正な外部通信）を検出します。さらにDNSクエリログを解析することで、インスタンスから送信されたDNSリクエストを監視し、マルウェアが通信する悪意のあるドメインへのアクセスを特定します。これらのデータを組み合わせることで、GuardDutyは幅広い脅威を検出します。

GuardDuty Extended Threat Detection (拡張脅威検出) 機能とは？多段階攻撃の検出メカニズム

Extended Threat Detection (ETD) はGuardDutyの機能で、複数のログやイベントを相関させて多段階攻撃を検出します。従来の検出では見逃しがちな、EKSクラスタ内の操作ログや実行プロセス、AWS APIログなどを組み合わせて分析し、高度な侵害シナリオを識別します。2024年以降、GuardDutyを有効にすると追加料金なしで自動的に有効化されるようになり、コンテナやクラウド環境を対象に、権限昇格やマルウェア攻撃といった複雑な攻撃チェーンを検出できるようになりました。

ユースケース別GuardDuty保護プラン：S3/EKS/Runtime Monitoring各プランの特徴

GuardDutyには基本検出に加え、用途別の保護プランが用意されています。たとえば、「S3保護プラン」を有効にすると、Amazon S3バケットへ新規にアップロードされるファイルをスキャンし、マルウェアの有無を検出できます。また、「Runtime Monitoringプラン」では、Amazon EKSクラスタやEC2上で実行されるコンテナのランタイムイベントを監視し、クリプトマイニングや異常プロセスなどを検出します。さらにRDSやLambda向けのプランもあり、データベースへの不正アクセスやサーバーレス環境の異常を検出します。必要に応じてこれらのプランを有効化すれば、GuardDutyの検出範囲をユースケースに合わせて柔軟に拡張できます。

GuardDutyの料金体系とコストメリット：ログ分析の従量課金モデルで低コストにスケールする仕組み

GuardDutyの料金は従量課金制で、分析するログの量に応じて課金されます。具体的にはCloudTrailやVPCフローログ、DNSログのレコード数に基づいて料金が決まり、初期費用や固定費用は発生しません。そのため、小規模な環境では低コストで導入でき、大規模な環境でもログ量に応じてスケールします。また、新規アカウントでは7日間の無料トライアル期間が用意され、実際の環境での動作を試せるメリットもあります。必要な分だけ柔軟に支払えるモデルにより、GuardDutyはコストパフォーマンスに優れたセキュリティ監視を実現します。

GuardDutyの統合機能：Security HubやCloudWatch Eventsとの連携によるセキュリティ強化

GuardDutyはAWSの他のセキュリティサービスとも連携できます。例えば、AWS Security Hubに検出結果を連携させると、GuardDutyのアラートをSecurity Hubのダッシュボード上でまとめて可視化し、一元管理できます。さらに、Amazon EventBridge（旧CloudWatch Events）と連携させることで、GuardDutyの検出をトリガーにSNS通知やLambda実行などの自動処理を行うことが可能です。これにより、異常検出時の対応をすばやく自動化し、セキュリティ運用の負荷を軽減できます。また、Amazon Detectiveと統合すれば、GuardDutyの検出結果をもとに詳細なインシデント調査を行いやすくなります。

GuardDutyの設定方法と導入手順：AWSコンソール/CLIでの有効化と初心者向け統合設定ガイド

GuardDutyの設定は非常にシンプルで、AWSアカウントさえあればすぐに監視を開始できます。AWSマネジメントコンソール上でGuardDutyを開き、「有効化」ボタンをクリックするだけでGuardDutyが起動し、デフォルトのログ分析が始まります。また、AWS CLIやSDKを使用する場合は、create-detector コマンドを実行することで同様にGuardDutyを有効化できます。AWS Organizationsを利用している場合は、管理アカウントから複数のメンバーアカウントに対して一括でGuardDutyを有効化することも可能で、全アカウントの脅威検出を一元管理できます。

GuardDuty導入時のベストプラクティスと注意点：初期設定で押さえておくべき項目と設定例まとめガイド

GuardDutyの導入時にはいくつかのベストプラクティスと注意点があります。まず、VPCフローログやDNSログが有効化されていることを確認してください。これらのログが収集されていないと、GuardDutyはネットワークやDNSレベルの異常を検出できないため、監視精度が低下します。AWS Organizationsを利用する場合は、管理アカウントからGuardDutyを統括して、メンバーアカウントに一括で有効化する運用がおすすめです。GuardDutyの有効化後は、検出結果の通知先（SNSトピックなど）やアカウント間連携の設定も事前に確認し、スムーズに運用開始できるように準備しましょう。

AWSマネジメントコンソールからGuardDutyを有効化する具体的手順（初心者向けステップバイステップ解説）

コンソールでGuardDutyを有効化する手順は簡単です。まずAWSマネジメントコンソールにログインし、左上のサービス検索ボックスで「GuardDuty」を検索してサービスページを開きます。GuardDuty画面に移動したら、画面中央にある「GuardDutyの有効化」ボタンをクリックします。これだけでGuardDutyがアクティブになり、すぐに監視が開始されます。有効化後はGuardDutyのダッシュボード画面でセキュリティ検出の概要を確認したり、「Findings」タブで検出結果を見ることができます。

AWS CLI/SDKでGuardDutyを有効化する方法：コマンド例とCloudFormationテンプレート

AWS CLIやSDKを利用したGuardDuty有効化方法もあります。AWS CLIを使う場合、以下のコマンドでGuardDutyを有効化できます：aws guardduty create-detector --enable。これによりGuardDutyが即座に起動します。プログラム的に設定するには、AWS SDKを使って同等のAPI（CreateDetector）を呼び出すことも可能です。また、CloudFormationではリソースAWS::GuardDuty::Detectorをテンプレートに追加することで、自動的にGuardDutyを有効化できます。これらの方法を活用すれば、インフラ構築の自動化プロセスにGuardDutyの導入を組み込むことができます。

GuardDutyのマルチアカウント設定：AWS Organizationsを活用したまとめて有効化

AWS Organizationsと連携してGuardDutyを設定すると、複数アカウントへの適用が容易になります。具体的には、管理アカウントでGuardDutyを有効にし、メンバーアカウントをGuardDutyに招待します。これにより一度の操作で複数アカウントのGuardDuty導入が可能となります。また、AWS CLIやSDKでCreateMembers/InviteMembers APIを用いれば、スクリプトで組織配下の全アカウントにGuardDutyを自動的に展開できます。全アカウントからの検出結果は統合ダッシュボードで一元管理できるため、大規模環境でも効率的に運用できます。

GuardDutyの検出範囲を拡張する設定：S3 ProtectionやEKS/RDS保護プランの有効化

GuardDutyは基本検出以外にも、拡張オプションで検出範囲を広げられます。例えば、S3バケットのマルウェアスキャンを有効にしたい場合は、「S3保護プラン」をGuardDutyコンソールでONにします。同様に、Amazon EKSやRDS用の保護プランもあり、これらを有効化すると各サービスに関連するログを監視対象に追加できます。保護プランを有効化すると、GuardDutyはS3オブジェクトの解析やEKSクラスターのイベント監視など、新たなデータソースから脅威検出を行います。

GuardDutyの検出結果の確認方法：コンソール・CLI・SecurityHubでの分析手順と具体例

GuardDutyの検出結果（Findings）はGuardDutyコンソール上で確認できます。コンソールの「Findings」タブを開くと、発生したセキュリティアラートの一覧が表示され、フィルタリングやソートで重要度や検出ファミリーごとに絞り込めます。また、AWS CLI/SDKでも検出結果を取得することが可能で、プログラムや他の分析ツールと連携できます。さらに、AWS Security Hubと連携すれば、GuardDutyの検出結果を他サービスの結果と合わせてダッシュボードで一元管理でき、組織全体のセキュリティ状況を可視化できます。以下では、コンソール・CLI・Security Hubそれぞれを使った検出結果の分析方法を解説します。

GuardDutyコンソールで検出結果(Findings)を確認する手順：基本画面とフィルタリングの使い方

GuardDutyコンソールで検出結果を確認するには、まずGuardDutyのダッシュボード画面で「Findings」タブを選択します。ここにGuardDutyによって検出された全てのアラートが一覧表示されます。表示される各行では、検出タイプや影響を受けたリソース、重大度(Severity)などの情報を確認できます。画面上部のフィルタ機能を使えば、特定の重大度や検出タイプのみを絞り込むことができ、必要な検出結果だけを効率的に絞り込めます。また、[Dashboard]ビューではグラフで過去の検出数を確認できるため、全体的な傾向も把握しやすくなっています。

GuardDuty検出結果の分析方法：重要項目のフィルタリングやソート、レポート機能の活用方法を解説

Findingsタブでは、表の各列ヘッダーをクリックすることで並べ替えが行えます。例えば重大度（Severity）でソートすれば、高いものが上位に表示されます。また、検索ボックスにキーワードを入力することで、検出メッセージに含まれる用語やリソース名などで絞り込むことができます。これらのフィルタリングとソートを活用すれば、関心のあるイベントだけを効率的に抽出できるようになります。さらに、検出結果はCSV形式でエクスポートすることも可能で、他の分析ツールと組み合わせて詳細に調査することができます。

AWS CLI/SDKでGuardDuty検出結果を取得する方法：コマンド例と自動化スクリプトの活用

AWS CLI/SDKを使ってGuardDutyの検出結果を取得することもできます。例えばAWS CLIの場合、まず検出器IDを指定してlist-findingsコマンドを実行し、発見されたフィンドングIDのリストを取得します。続けてget-findingsコマンドでこれらIDを指定すると、検出の詳細情報がJSON形式で出力されます。出力結果はスクリプトやjqなどで加工・分析しやすいため、自動化処理や他ツールとの連携が容易です。これにより、定期レポート作成やアラート自動化のために検出結果を自動的に収集・分析できます。

GuardDutyの検出結果をAWS Security Hubで一元管理する方法と連携メリットを解説

GuardDutyの検出結果をAWS Security Hubで一元管理するには、まずSecurity HubコンソールでGuardDutyを有効化します。すると、GuardDutyのFindingsが自動的にSecurity Hubに送信され、Security Hubのダッシュボード上で他のセキュリティサービスとまとめて表示されます。これにより、GuardDutyの検出結果を含めた全社的なセキュリティ状況を可視化でき、優先度の高いインシデントから対応できます。Security Hubではさらに、検出結果をもとに自動修復アクションを設定することも可能です。たとえば、GuardDutyで特定の脅威が検出された際に自動的に対応するワークフローを組むことで、運用効率をさらに高められます。

GuardDutyのサンプル検出結果を生成する方法：疑似的な脅威検出を確認するステップバイステップ解説

GuardDutyコンソールには、サンプル検出結果を生成する機能があります。これはGuardDutyを学習目的で試用する際に便利な機能で、典型的な脅威検出結果を擬似的に発生させられます。方法は簡単で、GuardDutyのコンソール画面から「Create sample findings」ボタンをクリックするだけです。すると数分以内に数種類のサンプルアラートが生成され、Findings画面に表示されます。このサンプルを確認することで、実際の運用前にダッシュボード表示や通知設定の動作を検証できます。

GuardDutyの脅威検出と分類方法：AI/MLと脅威インテリジェンスで検出可能な攻撃シナリオを徹底解説

GuardDutyが検出した脅威は、種別（ThreatType）や重大度（Severity）によって分類されます。例えば、暗号資産マイニングが検出されるとCryptoCurrency.BitcoinToolのようにラベルが付けられ、通常は高い重大度が割り当てられます。また、不正なAPI使用や認証情報の流用が発生した場合はUnauthorizedAccess関連のFindingになります。各検出結果には0～8のスコアで重大度が付与され、主にHigh（高）、Medium（中）、Low（低）の3段階に分類されます。重大度の高いものはインシデント対応の優先度を上げて調査し、情報提供（Informational）のものは参考情報として扱います。このようにGuardDutyは検出した脅威を整理して表示し、効果的な優先順位付けを支援します。

GuardDutyが検出する代表的な脅威シナリオの例：権限侵害や暗号資産マイニング、マルウェア感染など

GuardDutyではさまざまな脅威を検出できます。たとえば、EC2インスタンス上で実行されている暗号資産マイニングツールを検出したり（CryptoCurrencyカテゴリ）、漏洩した認証情報による不正なAPIコールやコンソールログインを発見したりします。また、ポートスキャンやブルートフォースなどの初期攻撃活動（Reconカテゴリ）、不審な外部通信を伴うマルウェア感染の兆候も検出対象です。さらに、データ盗難を狙った大量データ転送や不自然なS3アクセスといった高度な攻撃シナリオも、GuardDutyの検出モデルにより見逃されません。これらの具体的な脅威例をもとにGuardDutyは異常をアラートとして検出します。

GuardDutyのFindingタイプと脅威カテゴリ：各検出結果が示す脅威の分類と対応例を初心者向けに解説

GuardDutyの各Findingsには「UnauthorizedAccess」「Trojan」「CryptoCurrency」「Recon」などの脅威カテゴリが付与されます。例えば、UnauthorizedAccessは不正ログインなど権限侵害、CryptoCurrencyは暗号マイニングの検出を意味します。これらのタイプに応じて、パスワード変更やネットワーク設定の見直しといった対策を検討します。GuardDutyの公式ドキュメントには各カテゴリに応じた推奨対応例が詳しく掲載されています。

GuardDutyの脅威検出メカニズム：機械学習とシグネチャルールの組み合わせによる異常検出の仕組み

GuardDutyの検出では、機械学習（ML）とシグネチャベースのルールを組み合わせています。ML機能はアカウントの通常動作を学習し、異常なアクティビティを検知します。シグネチャルールでは、既知の脆弱性やマルウェアのパターンに基づく検出を行い、CryptoやTrojanなどのシグネチャに一致するものを直接識別します。これにより、新たな攻撃手法（未知の異常）の検出と、既知の攻撃パターンの両方に対応できます。

GuardDuty検出結果の分類と対応方針：重大度（Severity）別の優先順位付けと対処ガイドライン

重大度別の対応方針は次の通りです。High/Criticalのアラートが出た場合、即座にインシデント対応プロセスを開始し、該当するインスタンスを隔離するなど迅速な対策を取ります。Mediumレベルの場合は速やかに詳細を調査し、必要に応じてパッチ適用や設定変更などの修復措置を実施します。Lowレベルは主に情報収集用と考え、トレンド分析や環境監視に利用します。GuardDutyの検出結果には推奨アクションが記載されるため、それを参考に優先度を決めて対応計画を立てることが有効です。

GuardDutyのThreatType解説：各脅威タイプ(例: UnauthorizedAccess, CryptoCurrency, AccountCompromise)の概要

GuardDutyが使用する主な脅威タイプには、「UnauthorizedAccess」「CryptoCurrency」「Recon」「Trojan」「AccountCompromise」などがあります。UnauthorizedAccessは許可されていないアクセスを示し、例えば見知らぬIPからのログイン試行などに使われます。CryptoCurrencyは暗号資産マイニング関連のアラートで、EC2インスタンスなどでマイニングツールが実行されていることを検出します。AccountCompromiseは認証情報漏洩による不正アクセスの兆候を示すカテゴリで、不審なAPIコールや認証試行に関連したアラートに使われます。これら各タイプの検出結果に対しては、該当リソースの隔離や認証情報の変更など適切な対策を行うことが重要です。

GuardDutyの通知機能：CloudWatch Events経由でSNSやメール連携するアラートの仕組みと設定

GuardDuty自体は直接メール通知機能を持ちませんが、Amazon EventBridge（旧CloudWatch Events）を経由することで柔軟な通知を実現できます。GuardDutyが検出結果を記録すると、対応するイベントがEventBridgeに送られます。EventBridgeでルールを作成し、GuardDutyのイベントをキャッチしてSNSトピックやLambda関数に連携させることで、メールやチャットへ通知できます。たとえば「High」重大度のFindingのみを抽出してSNSに送信し、メールやSMSで担当者に通知するような設定が可能です。GuardDuty検出→EventBridge→SNS（メール）というフローにより、運用環境でリアルタイムにアラートを受け取れます。

GuardDuty通知設定の基礎：CloudWatch Events(EventBridge)で検出結果をトリガーする方法

GuardDuty通知の基本はEventBridgeルールの作成です。AWSコンソールでEventBridge（CloudWatch Events）を開き、新しいルールを作成します。ルールのイベントパターンにはソースにaws.guardduty、イベントタイプにGuardDuty Findingを指定します。これにより、GuardDutyの検出イベントをトリガーとしてルールが発動します。また、GuardDutyコンソール上から通知ルール作成ウィザードを利用することも可能で、簡単にEventBridgeルールを作成できます。作成したルールにSNSやLambdaといったターゲットを設定することで、発見時に自動で通知や処理を実行できます。

SNSトピック設定でGuardDuty検出結果をメール通知する手順：セットアップと送信テストを詳しく解説

GuardDuty検出をメールで受け取るには、SNSトピックを作成し、メールアドレスをサブスクライブする必要があります。AWSコンソールでSNSを開き、新規トピックを作成後、サブスクリプションでEmailを選択し通知先メールアドレスを登録します。メール受信者は、送られてくる確認リンクをクリックして購読を承認する必要があります。その後、EventBridgeルールのターゲットにこのSNSトピックを設定しておけば、GuardDutyからのイベント発生時に自動でメールが送信されます。最後にテストメッセージを送ることで、メール通知が正常に機能しているか確認することをお勧めします。

AWS Chatbotや他ツールとの連携：GuardDuty通知をSlackやTeamsに送信する方法

AWS Chatbotを利用すると、GuardDutyの検出結果をSlackやMicrosoft Teamsに直接通知できます。まずAWS ChatbotでSlackチャネルまたはTeamsチャネルを設定し、通知先のSNSトピックを紐付けます。その後、EventBridgeルールでそのSNSトピックをターゲットに設定すれば、GuardDutyのアラートがチャットツールに自動で投稿されます。Chatbotによって整形された通知には、検出タイプや影響リソースなどの詳細情報が含まれるため、セキュリティチームは普段使いのチャットツール上でリアルタイムに情報を受け取ることができます。

CloudWatch Events通知の詳細設定：GuardDutyのSeverityや検出タイプで通知を絞り込む方法

EventBridgeルールのイベントパターンを工夫することで、通知を特定の条件に絞り込めます。たとえばGuardDutyの重大度(Severity)がHigh以上の場合だけ通知したいときは、イベントパターンに"detail": {"severity": [7,8]}のように指定します。これによりHigh/Mediumのアラートのみがルールの対象となります。同様に、特定のThreatTypeやリソースIDを条件に追加すれば、特定の検出パターンにマッチした場合のみ通知できます。こうした設定により、重要度の高い発見のみをアラートとして受け取り、運用のノイズを減らせます。

GuardDutyのEventBridge通知に含まれる情報解説：イベントフォーマットと各フィールドの意味

EventBridge経由で通知されるGuardDutyのイベントには、検出結果の詳細情報が含まれます。代表的なフィールドとして、detail.findingId（発見ID）、detail.severity（重大度スコア）、detail.region（リージョン）、detail.title（検出概要）、detail.description（詳細説明）、detail.resource（影響リソース）などがあります。通知メッセージはJSON形式で提供されるため、Lambdaやログ収集ツールで特定のフィールドを抽出して処理することが可能です。これらのフィールドの意味を把握しておくことで、通知の自動化ルールやダッシュボードに必要な情報を効率よく利用できます。

GuardDutyの重大度優先順位と対応策：High/Medium/Lowレベルの検出結果を識別し効果的に対処する方法

GuardDutyは検出結果に重大度(Severity)を割り当て、優先度を表します。一般的に、7以上はHigh（重大）と判断され、4～6はMedium、3以下はLowと分類されます（実装上は0～8のスコアが使われます）。HighレベルのFindingは緊急対応が必要とされ、システムの侵害や深刻な不正通信を示唆します。Mediumは注視すべき問題、Lowは情報提供レベルの通知と扱います。まずは高重大度から調査・対応し、必要に応じてシステム隔離やパスワード更新といった対策を実行します。

GuardDutyの重大度レベル（High/Medium/Low/Info）とは？各レベルの意味と分類基準

GuardDutyでは検出結果に「Severity（重大度）」を付与し、優先度を表します。一般的に、7以上はHigh（重大）と判断され、4～6はMedium、3以下はLowと分類されます（実装上は0～8のスコアが使われます）。HighレベルのFindingは緊急対応が必要とされ、システムの侵害や深刻な不正通信を示唆します。Mediumは注視すべき問題、Lowは情報提供レベルの通知と扱います。まずは高重大度から調査・対応し、必要に応じてシステム隔離やパスワード更新といった対策を実行します。

GuardDuty検出結果の分類と対応方針：重大度（Severity）別の優先順位付けと対処ガイドライン

重大度別の対応方針は次の通りです。High/Criticalのアラートが出た場合、即座にインシデント対応プロセスを開始し、該当するインスタンスを隔離するなど迅速な対策を取ります。Mediumレベルの場合は速やかに詳細を調査し、必要に応じてパッチ適用や設定変更などの修復措置を実施します。Lowレベルは主に情報収集用と考え、トレンド分析や環境監視に利用します。GuardDutyの検出結果には推奨アクションが記載されるため、それを参考に優先度を決めて対応計画を立てることが有効です。

高優先度検出結果への対応フロー例：具体的な初動対応手順とインシデント調査のポイントを初心者向けに解説

高重大度の検出結果に対しては、迅速かつ体系的な対応が求められます。まず影響を受けたリソース（EC2インスタンスやIAMユーザーなど）を特定し、必要に応じて隔離・停止して被害拡大を防ぎます。その後、CloudTrailログやVPCフローログなど関連する証跡を収集し、侵害範囲と攻撃手法を分析します。並行して、盗まれた可能性のある認証情報の失効やパスワードリセット、セキュリティグループの設定見直しなどを行い、環境を安全な状態に戻します。これらの初動対応はセキュリティチームと連携して実施し、調査状況を共有しながら進めることが重要です。

GuardDuty検出結果のエスカレーション：Security Hub連携によるインシデント管理フロー

重要な検出結果を関係者に確実に伝えるため、GuardDutyのFindingsはAWS Security Hubと連携させると効果的です。Security HubにGuardDutyのアラートを集約し、インシデント管理ツール（ITSM）やダッシュボードと連携すれば、自動的にチケットを作成したり、Slackに通知を流したりできます。たとえば、Security Hubのインサイト機能を利用して重要インシデントをハイライトしたり、GuardDutyの特定条件に応じて自動アクションを設定すれば、初動対応ワークフローを自動化できます。これにより、検出結果を迅速にエスカレーションし、対応状況を一元的に管理する運用が可能になります。

GuardDuty検出結果におけるFalse Positive対策：検証プロセスと検出精度改善方法を解説

GuardDutyでも誤検知（False Positive）が発生することがあります。対策としては、まず疑わしい検出結果が実際の脅威かどうかを精査することが重要です。たとえば、開発用のアクセスが検出された場合は問題ない場合があります。GuardDutyでは、信頼できるIPアドレスやCIDRブロックを除外する「Trusted IP List」機能が用意されており、誤検出の原因となる自社ネットワークや監査ツールのIPを事前に登録しておくことで、不要な警告を減らせます。加えて、定期的に検出結果と運用ログを照合し、誤検知パターンを把握してロギング設定を調整するなど、検出精度を継続的に改善する運用も推奨されます。

GuardDutyとCloudWatch Eventsによる自動化運用：検出結果連携と自動対応の設定

GuardDutyの検出結果はEventBridge（旧CloudWatch Events）経由で他サービスと連携できるため、自動化された運用を構築できます。EventBridgeルールでGuardDutyの警告をトリガーに設定し、そのターゲットにAWS Lambda関数やStep Functionsワークフローを指定すれば、検出時に自動的に対策処理を実行できます。例えば、異常を検知したEC2インスタンスを自動で隔離するLambda、発見通知をチームに自動送信する処理などが構築可能です。また、検出イベントをSQSに流し、運用フローを組む方法もあります。これにより、GuardDutyによる脅威検出から対応アクションまでのプロセスを自動化し、迅速で効率的な対応が可能になります。

GuardDutyとAmazon EventBridge(CloudWatch Events)連携：検出イベントルールの作成手順

GuardDutyの検出イベントとCloudWatch Events（EventBridge）を連携するためには、まずEventBridgeで新しいルールを作成します。ルールの設定画面で「イベントパターン」を選択し、ソースをaws.guarddutyにします。続いて、イベントタイプにAWS API Call via CloudTrailを指定すれば、GuardDutyのFindingsに関連するイベントをキャッチできます。このルールのターゲットにLambdaやSQS、SNSなどを登録すると、GuardDutyで検出が発生した際に自動で指定したターゲットが起動します。たとえば、Lambda関数をターゲットに設定すれば、検出結果を元にEC2を隔離するなどの自動対応スクリプトを走らせることができます。

AWS Lambdaを使った自動対応例：GuardDuty検出結果でEC2隔離や通知を自動実行する仕組み

AWS Lambdaを使うと、GuardDutyの検出結果をトリガーにして自動処理を行えます。例えば、重大度Highのアラートを検知した場合、そのイベント情報から影響を受けたEC2インスタンスIDを抽出し、AWS SDKからStopInstancesやTerminateInstancesを呼び出してインスタンスを自動停止することが可能です。あるいは、検出メッセージを整形してSNS経由でSlackやメールに通知するLambda関数を作成しておく運用もあります。Lambda関数をEventBridgeルールのターゲットに設定することで、GuardDuty検出時に自動的に必要な対応処理が実行されるようになります。

複数アカウント/リージョン環境でのGuardDuty自動化：集中監視の設定とEventBridgeルール集約

複数アカウント・複数リージョンでGuardDutyを運用する際は、管理アカウントに検出結果を集中させて自動化ルールを一元管理できます。AWS OrganizationsでGuardDutyを全リージョン・全アカウントに展開した後、中央アカウントを設定して検出結果を集約します。EventBridgeのグローバルイベントバスを用いれば、他リージョンからCentral Event Busにイベントを転送可能です。これにより、Central Accountで一つのEventBridgeルールを作成して、全アカウントの検出をまとめて処理できます。例えば、どのアカウントでHighレベルの検出があっても同じLambdaで処理を行うような仕組みを構築できます。

GuardDuty検出イベントをAWS Config/Security Hubに通知することで可視化する方法

GuardDuty検出結果は主にSecurity Hubで可視化されますが、AWS Configとも組み合わせることが可能です。例えば、AWS Configのカスタムルールで特定のGuardDutyイベントを監視対象に設定することで、検出結果をConfigコンソール上に表示できます。GuardDutyのAPIやイベント通知を利用してConfigルールのトリガーに組み込むと、検出時にConfigダッシュボードで結果を参照できるようになります。ただし、基本的にはSecurity Hubとの連携が一般的で、Config連携は高度な要件に応じて検討することが多いです。

GuardDuty検出イベントの自動処理例：SNS通知やEC2隔離、ログ収集などで迅速に対応する方法

GuardDuty検出結果をトリガーにした自動処理の例を紹介します。まず、SNS通知を使って検出時にメールやチャットへアラートを飛ばし、担当者へ速やかに周知できます。また、Lambdaを利用すれば例えば検出対象のEC2インスタンスのセキュリティグループを自動で更新したり、不正利用された認証情報を無効化したりすることが可能です。さらに、S3に検出ログをアーカイブするワークフローを組むことで、イベント記録を保存・分析し後続対応に活かせます。これらを組み合わせると、GuardDutyでの検出から対処までの一連の流れを迅速かつ自動的に行えます。

GuardDutyの拡張脅威検出(Extended Threat Detection)機能の仕組みと検出の強化効果

Extended Threat Detection (拡張脅威検出) は、GuardDutyに新たに追加された機能で、多段階の攻撃を検出します。従来の単独ログ解析では見逃しがちな複合的な攻撃シナリオに対応するため、ETDは複数のデータソース（例：EKSクラスタの監査ログ、コンテナのランタイム情報など）を相関させて分析します。その結果、コンテナレベルの不正アクセス、権限昇格、内部侵入といった高度な脅威を検出できるようになります。ETDは追加費用なしでGuardDutyに組み込まれており、運用開始と同時に有効になります。これにより、GuardDutyはより広範な攻撃パターンに対しても高い検出能力を発揮します。

GuardDutyの拡張脅威検出（Extended Threat Detection）とは？多段階攻撃シーケンスの検出メカニズム

Extended Threat Detection (ETD) はGuardDutyの機能で、複数のログやイベントを相関させて多段階攻撃を検出します。従来の検出では見逃しがちな、EKSクラスタ内の操作ログや実行プロセス、AWS APIログなどを組み合わせて分析し、高度な侵害シナリオを識別します。2024年以降、GuardDutyを有効にすると追加料金なしで自動的に有効化されるようになり、コンテナやクラウド環境を対象に、権限昇格やマルウェア攻撃といった複雑な攻撃チェーンを検出できるようになりました。

GuardDuty ETDで検出可能な攻撃例：Amazon EKSやEC2で発生する複合的な攻撃シナリオ

GuardDuty Extended Threat Detectionが検出する攻撃例には、コンテナ/Kubernetes環境特有の複雑なシナリオがあります。例えば、EKSクラスタ内のコンテナが外部から侵入され、権限昇格後に他のリソースに不正アクセスするといった多段階攻撃です。ETDはEKSクラスタの監査ログやコンテナのランタイム情報を組み合わせて分析するため、単一ログでは検出できない内部侵害を識別できます。また、攻撃者がEC2インスタンス上でマルウェアを実行しつつ、同時に異なるリージョンのリソースにアクセスするような高度な攻撃も検出対象となります。これらの複合的な脅威シナリオを見逃さないのがExtended Threat Detectionの強みです。

GuardDuty標準検出とETDの違い：拡張脅威検出で強化される保護範囲と追加コストなしのメリット

GuardDuty標準の検出機能では、主にCloudTrailやVPCフロー、DNSなど一部ログだけを分析していました。これに対し、Extended Threat Detectionは新たにEKSクラスタの監査ログやランタイムプロセス情報も分析対象に加えます。つまり、従来は検出できなかったコンテナ内のマルウェアや内部侵入の兆候を検出できるようになります。また、ETDは追加料金なしで自動的に有効化されるため、コストを気にせずに広範囲な脅威検出が得られるメリットがあります。

ETD機能の有効化方法：ガードデューティーの拡張脅威検出(Extended Threat Detection)は自動的に有効化

Extended Threat Detection機能はGuardDutyの一部として自動的に有効化されます。GuardDutyを有効化すると、追加設定なしでETDの機能も利用できるようになります。AWSマネジメントコンソールでGuardDutyの設定画面を確認すると、ETD関連の設定オプションが表示されますが、デフォルトではすでにオンになっています。そのため、ユーザーは特別な操作をせずとも、ETDの高精度な検出機能を利用できます。

Extended Threat Detectionを有効にする利点と注意点：S3保護プランによる検出強化

Extended Threat Detectionを有効にする主な利点は、S3保護プランとの組み合わせにより脅威検出が強化できる点です。GuardDutyのS3保護プランを有効化すると、新規アップロードされたオブジェクトのマルウェアスキャンが開始され、ETDと組み合わせてより広範な攻撃チェーンを検出できます。ただし、S3保護プランを利用する場合はAmazon MacieやS3アクセスログなど追加ログが必要になる点に注意してください。これらの連携を正しく設定することで、S3への侵入やデータ流出攻撃も含めて包括的な検出が可能になります。

GuardDutyのMalware Protection機能：EC2/EBSボリュームとS3オブジェクトのマルウェア検出

Malware ProtectionはGuardDutyの拡張機能で、EC2/EBSボリュームやAmazon S3オブジェクトのマルウェア検出を実現します。EC2（EBS）向けでは、GuardDutyエージェントを導入せずにEBSボリュームをスキャンし、マルウェア感染を検出できます。S3向けでは、新規にアップロードされたオブジェクトを自動スキャンし、ウイルスやマルウェアを検出します。これらを有効化すると、従来のネットワーク/ログベース検出に加え、ストレージ階層での脅威検出が可能になり、GuardDutyによるセキュリティ監視をさらに強化できます。

Malware Protection機能の概要：GuardDutyで提供されるEC2/EBSとS3スキャン機能

GuardDutyのMalware Protection機能は、Amazon EC2/EBSボリュームとAmazon S3オブジェクトのマルウェアを検出するための機能です。EC2/EBSスキャンでは、GuardDutyがAWS管理下でEBSボリュームのスナップショットを定期的に解析し、マルウェアの痕跡がないかをチェックします。S3向けスキャンでは、GuardDutyがS3バケットに新規アップロードされたオブジェクトをリアルタイムにスキャンし、マルウェアの有無を判定します。これにより、クラウドリソース内のストレージに存在するマルウェアも自動的に検出し、通知することが可能になります。

EC2/EBSボリュームスキャン：Malware Protectionを使ってインスタンス検査する方法

Malware ProtectionのEC2/EBSボリュームスキャンでは、GuardDutyがアクティブなボリュームのスナップショットを作成し、これをもとにマルウェア検査を実行します。この処理はAWS側で管理されるため、ユーザーが個別にエージェントをインストールする必要はありません。スキャン結果はGuardDutyコンソールに検出結果（Findings）として表示され、感染が検出された場合は詳細情報と推奨対応が示されます。必要に応じて、感染したインスタンスの隔離やEBSの置換などの対策を行うことができます。

S3向けマルウェア防御：GuardDutyで新規アップロードオブジェクトをスキャンして脅威検出する方法

GuardDutyのS3向けマルウェア防御では、新しくS3バケットにアップロードされたオブジェクトが自動的にスキャンされます。S3バケットにイベント通知設定を行い、アップロードイベントが発生するとGuardDutyに通知されます。GuardDutyはそのオブジェクトをClamAVベースのエンジンで分析し、マルウェアの有無を判定します。検出結果はGuardDutyのFindingsに表示され、マルウェアが見つかった場合は対象のオブジェクト情報と推奨対応が記載されます。この仕組みにより、S3上のファイルに潜む脅威もリアルタイムに検出できます。

Malware Protection有効化手順：必要なIAM設定とGuardDuty設定画面での操作

Malware Protection機能を有効化するには、まずGuardDutyコンソールで対象のリージョンに移動し、「Malware Protection」セクションを開きます。ここでEC2/EBSスキャンやS3スキャン用のオプションをそれぞれONにします。有効化時には、GuardDutyに必要なIAM権限が自動で設定されますが、独自にロールを使用する場合はマネージドポリシーAWSGuardDutyMalwareProtectionServiceRolePolicyが必要です。設定画面で有効化を完了すると、GuardDutyが自動的にスキャンを開始します。

Malware Protection検出結果の確認と対応方法：スキャン結果の種類と対応手順を詳しく解説

Malware Protectionによる検出結果は、GuardDutyのFindingsに通常の検出結果と同様に一覧表示されます。検出結果にはスキャン対象のリソース情報（インスタンスIDやS3バケット名、オブジェクトキーなど）と、検出されたマルウェアの名前が記載されています。対応方法としては、感染が確認されたEC2インスタンスの隔離や、問題のファイルを削除・隔離するなどの対策を行います。たとえば、不正なファイルがS3にアップロードされていた場合はそのオブジェクトを削除し、アップロード元のIAM資格情報をローテーションするなどの手順を実行します。GuardDutyのアラートを参考にしつつ、システム運用者は迅速に被害範囲を特定し、再発防止策を講じる必要があります。