AWSのセキュリティサービス総まとめ|GuardDuty・Security Hub・WAF・Macieの使い分け
現場実践|AWSセキュリティサービス
AWSのセキュリティサービス総まとめ|GuardDuty・Security Hub・WAF・Macie の使い分け
「AWSのセキュリティサービスが多すぎて何を使えばいいかわからない」——GuardDuty・Security Hub・AWS WAF・Amazon Inspector・Macieの役割と使い分けを解説します。
💡 AWSのセキュリティサービスは「検知」「評価」「保護」「データ保護」の4カテゴリで整理すると理解しやすくなります。まずGuardDutyとSecurity Hubの2つから始めることをお勧めします。
1. AWSセキュリティサービスの全体像
GuardDuty(脅威検知)
CloudTrail・VPCフローログ・DNSログを機械学習で分析して不審なアクティビティを検知する。有効化するだけで機能する。
Security Hub(統合管理)
複数のAWSセキュリティサービスの検出結果を一元管理。CIS AWS Benchmarkへの準拠状況も確認できる。
AWS WAF(Webアプリ保護)
ALB・CloudFront・API Gatewayの前段に配置してSQLインジェクション・XSS等のWeb攻撃をブロックする。
Inspector(脆弱性評価)
EC2・Lambda・コンテナイメージのソフトウェア脆弱性を自動スキャンして重大度付きで報告する。
2. サービス別の役割まとめ
| サービス | 役割 | 最初に有効化すべきか |
|---|---|---|
| GuardDuty | 脅威の検知・アラート | YES(最優先) |
| Security Hub | セキュリティ状態の一元可視化 | YES(最優先) |
| AWS WAF | Webアプリケーション層の保護 | 公開Webがある場合YES |
| Inspector | OSパッチ・脆弱性の自動スキャン | EC2・Lambdaが多い場合YES |
| Macie | S3内の機密データ(PII等)の検出 | S3にデータを大量に保管する場合 |
3. AWS WAFの基本設定
- マネージドルールグループを使う:AWS・パートナーが提供するルールセット(Core Rule Set・SQL injection等)を有効化するだけで基本的な攻撃をブロックできる
- まずCOUNTモードで様子を見る:いきなりBLOCKモードにすると正常なトラフィックをブロックする可能性がある。最初はCOUNTで検知だけしてログを確認する
- IP reputation listを有効化:既知の不審なIPのブロックリストを自動更新してくれる
📌 この記事のポイント
- GuardDutyとSecurity Hubは全環境で最優先に有効化すべき基本セキュリティサービス
- AWS WAFはCOUNTモードで様子を見てからBLOCKモードに移行するのが安全な導入手順
- Inspectorは脆弱性の自動スキャンでパッチ適用の優先順位付けに活用できる
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
