AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

Amazon GuardDutyは、AWS環境への脅威を継続的に検出するインテリジェントな脅威検出サービスです。機械学習・異常検知・統合脅威インテリジェンスを組み合わせて、悪意のある活動や不審な動作を自動的に識別します。

GuardDutyはエージェントレスで、VPCフローログ・DNS クエリログ・CloudTrail管理イベントを分析します。有効化するだけで即座に脅威検出が開始され、インフラへの影響ゼロで動作します。

2. 主な特徴と機能

2.1 データソース

• VPCフローログ: 不審なネットワーク通信（C&Cサーバーとの通信・ポートスキャン等）を検出。
• CloudTrail管理イベント: 異常なAPIコール・権限昇格・リソースの不審な操作を検出。
• DNS クエリログ: 悪意のあるドメインへの通信・DNS DATA EXFILTRATION（DNSトンネリング）を検出。

2.2 追加保護（オプション）

• GuardDuty S3 Protection: S3のデータアクセスイベント（S3データイベント）を分析して異常なデータ取得・削除を検出。
• GuardDuty EKS Protection: Kubernetes監査ログを分析してKubernetesクラスター内の脅威を検出。
• GuardDuty マルウェアスキャン: EC2インスタンスとECSタスクの悪意のあるファイルをスキャン（EBSボリュームのスナップショットをスキャン）。
• GuardDuty RDS Protection: RDS/Auroraへの不審なログイン試行を検出。
• GuardDuty Lambda Protection: Lambda関数の不審な動作やネットワーク活動を検出。

2.3 検出結果（Findings）

検出された脅威はFindingとして報告されます。重大度（High/Medium/Low）・脅威タイプ・影響リソース・推奨対処法が含まれます。Finding TypeはUnauthorizedAccess、Trojan、Backdoor、Recon等のカテゴリに分類。

2.4 Organizations統合

Organizations内の全メンバーアカウントでGuardDutyを一括有効化。委任管理者アカウントから全組織の脅威検出結果を集中管理できます。

3. アーキテクチャおよび技術要素

1. GuardDutyが自動でデータソース（VPCフローログ等）を収集・分析（ユーザーのログ設定不要）。
2. 機械学習モデルがベースラインを学習し、異常パターンを検出。脅威インテリジェンス（AWS・CrowdStrike・Proofpoint）と照合。
3. Findingが生成→EventBridgeにイベント発行→Lambda/SNS/Security Hubで自動対応。

4. セキュリティと認証・認可

• エージェントレス: インフラへの変更・エージェントインストール不要。有効化するだけで即時保護。
• Finding抑制ルール: 既知の誤検知パターンをフィルタリング。
• 信頼済みIPリスト: 自社のIPアドレスをホワイトリスト登録して誤検知を減らす。
• 脅威インテリジェンスリスト: 独自の悪意あるIPリストをGuardDutyに登録して検出精度を向上。

5. 料金形態

• 分析したVPCフローログ・DNSログ・CloudTrailイベントのデータ量（GB）に課金。
• 追加保護オプション（S3/EKS/RDS/マルウェアスキャン/Lambda）は別途課金。
• 30日間の無料トライアルあり。

6. よくあるアーキテクチャ・設計パターン

• 自動インシデント対応: GuardDuty Finding → EventBridge → Lambda → 自動でセキュリティグループのルール変更・IAMユーザーの無効化・インスタンスの隔離。
• 集中管理（Organizations）: セキュリティアカウントをGuardDuty委任管理者として設定。全組織のFindingをSecurity Hubに集約。

7. 設定・デプロイ手順（ハンズオン例）

1. GuardDutyコンソールで「GuardDutyを有効化」をクリック（30日間無料）。
2. 追加保護（S3/EKS等）を必要に応じて有効化。
3. EventBridgeルールを作成してFinding発生時にSNS通知またはLambdaで自動対応。
4. Organizations統合で全メンバーアカウントに一括有効化。

8. 試験で問われやすいポイント