Amazon GuardDuty入門|AWSの脅威検知サービスで不正アクセスを自動検知する
現場実践|AWS脅威検知
Amazon GuardDuty入門|AWSの脅威検知サービスで不正アクセスを自動検知する
「AWSアカウントが不正アクセスされたかどうか確認したい」「GuardDutyって有効にするだけでいいの?」——Amazon GuardDutyの仕組み・検知できる脅威の種類・アラート対応フロー・Security Hubとの連携を解説します。
💡 GuardDutyは有効化するだけでAWSアカウントへの不正アクセス・マルウェア・クリプトマイニング等を機械学習で自動検知するサービスです。設定不要で始められる最も費用対効果の高いAWSセキュリティサービスの一つです。
1. GuardDutyが検知できる主な脅威
IAMクレデンシャルの不正利用
アクセスキーが通常と異なる地域・IPから使われた場合に検知。「UnauthorizedAccess:IAMUser/TorIPCaller」等の検出タイプで通知される。
クリプトマイニング(暗号通貨採掘)
EC2インスタンスが外部の採掘プールと通信している場合に検知。アクセスキー漏洩後にEC2を起動されて採掘に悪用されるケースが多い。
マルウェア・C2通信
EC2がマルウェアのC2(コマンド&コントロール)サーバーと通信している場合に検知。外部への不審なアウトバウンド通信を自動検出する。
2. GuardDutyの有効化と基本設定
1
全リージョンで有効化する
GuardDutyはリージョン単位で有効化が必要。使用中の全リージョンで有効化する。Organizations経由で全アカウント・全リージョンに一括適用するのがベストプラクティス。
2
EventBridge+SNSでSlack通知を設定
GuardDutyの検出結果(Finding)をEventBridgeルールで捕捉してSNS経由でSlackに通知する。重大度が「HIGH」以上のFindingのみ通知するよう絞り込むと実用的。
3
S3保護とEKS保護を有効化
GuardDutyのオプション機能「S3保護」「EKS保護」「マルウェアスキャン」も有効化する。追加費用はかかるが検知範囲が大幅に拡大する。
3. GuardDutyのアラートへの対応フロー
- HIGH重大度:即座に対応が必要。アクセスキーの無効化・対象EC2の隔離・フォレンジック調査を開始する
- MEDIUM重大度:24時間以内に調査。誤検知の可能性を確認してから対処を判断する
- LOW重大度:週次レビューで確認。傾向を把握してルールの調整を検討する
📌 この記事のポイント
- GuardDutyは有効化するだけでAWS全体の脅威を機械学習で自動検知する。設定の複雑さはほぼない
- 全リージョンで有効化・EventBridge+SNS+SlackでHIGH重大度のみ通知する設定が実用的
- HIGH重大度は即座にアクセスキー無効化・EC2隔離の対応。MEDIUM以下は調査・傾向把握で対処
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
