AWSセキュリティ入門|IAM・GuardDuty・Security Hubで始める多層防御設計
現場実践|AWSセキュリティ設計
AWSセキュリティ入門|IAM・GuardDuty・Security Hubで始める多層防御設計
「AWSのセキュリティって何から始めればいい?」——AWSのセキュリティ設計の基礎となるIAMの最小権限設計・GuardDutyによる脅威検知・Security Hubによる一元管理の実践方法を解説します。
💡 AWSのセキュリティは「設定したら終わり」ではなく「継続的に監視・改善するもの」。GuardDuty・Security Hub・AWS Configを組み合わせた多層防御が現代のクラウドセキュリティの標準です。
1. AWSセキュリティの基本:最小権限IAM
- ルートアカウントは使わない:AWSアカウントのルートユーザーは日常的な作業に使用しない。IAMユーザー・IAMロールを使う
- 最小権限の原則:必要なサービスへのアクセスだけを許可するIAMポリシーを設定する。AdministratorAccessは本番環境では使わない
- MFAを全ユーザーに強制:全IAMユーザーにMFA(多要素認証)を強制するSCPを設定する
- IAMロールを活用:EC2・Lambda等のサービスにはIAMロールを使ってアクセスキーを使わずに権限を付与する
2. GuardDutyで脅威を自動検知
まず、Amazon GuardDutyはVPC Flow Logs・CloudTrail・DNSクエリを機械学習で分析して、不正アクセス・暗号通貨マイニング・疑わしいAPIコール等の脅威を自動検知するサービスです。有効化するだけで使えます(エージェント不要)。GuardDutyのアラートはEventBridgeを経由してSlackに通知する構成が定番です。
3. Security Hubでセキュリティを一元管理
Security Hub
GuardDuty・Inspector・Macieのアラートを一元集約してダッシュボード表示するサービス。「重要度HIGH」のアラートを優先して対応できる。
AWS Foundational Security Best Practices
AWSが提供するセキュリティ標準。S3のパブリック公開・root MFA未設定等の設定ミスを自動チェックしてスコア化する。
AWS Config
AWSリソースの設定変更を継続的に記録・監査するサービス。「いつ・誰が・何を変更したか」を追跡できる。
4. セキュリティ設定の優先順位
1
まず有効化すべきサービス(今日すぐ)
GuardDuty(全リージョン)・CloudTrail(全リージョン・S3への証跡保存)・S3のパブリックアクセスブロック。この3つは最低限即座に有効化する。
2
次に設定すべき(1週間以内)
Security Hub・AWS Config・全IAMユーザーのMFA強制・未使用のIAMキーの削除・root用のCloudWatchアラーム設定。
3
継続的に改善する(月次)
Security HubのスコアをKPIとして継続的に改善する。月次のセキュリティレビューを定例化する。
📌 この記事のポイント
- AWSセキュリティの基本はルートアカウント不使用・最小権限IAM・全ユーザーMFA強制の3点
- GuardDutyはエージェント不要で有効化だけで機械学習による脅威検知が始まる
- Security HubはGuardDuty・Inspector等のアラートを一元集約してセキュリティスコアで可視化する
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
