サービスの概要

Q: Amazon GuardDuty とは何ですか?

Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリグおよび保護できる脅威検出機能を提供します。GuardDuty は、AWS CloudTrail イベント、Amazon VPC フローログ、および DNS ログで見つかったアカウントとネットワークアクティビティから生成されたメタデータの連続ストリームを分析します。また、既知の悪意のある IP アドレス、異常の検出、機械学習などの統合された脅威インテリジェンスを使用して、脅威をより正確に識別します。

Q: Amazon GuardDuty の主な利点は何ですか?

Amazon GuardDuty を使用すると、AWS のアカウントとワークロードの継続的なモニタリングが簡単にできるようになります。これはリソースとは完全に独立して動作するため、ワークロードにパフォーマンスや可用性の影響を及ぼすリスクはありません。統合された脅威インテリジェンス、異常の検出、および機械学習によって完全に管理されます。Amazon GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと簡単に統合できます。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

Q: Amazon GuardDuty にはどれくらいのコストがかかりますか?

Amazon GuardDuty には 2 種類の料金体系があります。この料金体系は、分析した AWS CloudTrail イベントの数量 (100 万 イベントあたり) と分析した Amazon VPC フローログと DNS ログの量 (GB あたり) に基づいています。

  • AWS CloudTrail イベント分析 – GuardDuty は、AWS CloudTrail 管理イベントを継続的に分析して、AWS のアカウントとインフラストラクチャのすべてのアクセスと動作をモニタリングします。CloudTrail イベント分析は、毎月 100 万件のイベントごとに課金され、プロ評価されます。
  • VPC フローログと DNS ログの分析 – GuardDuty は、VPC フローログおよび DNS のリクエストと応答を分析して、Amazon EC2 インスタンスで悪意のある動作、不正な動作、または予期しない動作を識別します。フローログと DNS ログの分析は、1 か月あたりギガバイト (GB) 単位で課金されます。フローログと DNS ログの分析には、段階的な従量制割引が適用されます。

前払費用は発生せず、分析したデータに対する料金のみ発生します。

詳細と料金の例については、Amazon GuardDuty の料金を参照してください。

Q.Amazon GuardDuty 支払人アカウントの推定コストは、リンクしたアカウントすべてに対する合計コストを示しているのですか、それともその支払人のアカウントのみですか?

推定コストは個々の支払人に対するコストのみを表します。マスターアカウントでは、マスターアカウントに対する推定コストのみが表示されます。

Q: 無料トライアルはありますか?

はい。Amazon GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中は、すべての機能セットと検出をご使用いただけます。GuardDuty では、処理したデータの量と、アカウントの 1 日あたりの推定平均サービス料が表示されます。これにより、Amazon GuardDuty を無料で簡単に体験でき、無料トライアル後も使用した場合のサービスの料金を簡単に予測できます。

Q: Amazon GuardDuty と Amazon Macie の違いは何ですか?

Amazon GuardDuty は、攻撃者の偵察、インスタンスの侵害、アカウントの侵害などの脅威を識別することによって、AWS のアカウント、ワークロード、およびデータを幅広く保護します。Amazon Macie は、Amazon S3 のデータを保護するのに役立ちます。これにより、所有しているデータ、データがビジネスにもたらす価値、そのデータへのアクセスに関連する動作を分類できます。どちらのサービスにも、それぞれのカテゴリの脅威を検出するための、ユーザーの動作の分析、機械学習、および異常の検出が組み込まれています。

Q: Amazon GuardDuty は、リージョン別またはグローバルのどちらのサービスですか?

Amazon GuardDuty はリージョン別のサービスです。複数のアカウントが有効となっていて、複数のリージョンが使用されている場合でも、Amazon GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。お客様は、AWS CloudWatch Events を利用して、Amazon S3 のようなお客様が管理するデータストアに検出結果をプッシュし、適切と思われる検出結果を集計することで、Amazon GuardDuty で生成されたセキュリティ検出結果を集約することを選択できます。

Q: Amazon GuardDuty はどのリージョンをサポートしていますか?

各リージョンで利用できる Amazon GuardDuty の一覧は、AWS リージョン表を参照してください

Q: どのパートナーが Amazon GuardDuty と連携していますか?

Amazon GuardDuty は多くのテクノロジーパートナーと統合し、構築されています。また、GuardDuty の専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。Amazon GuardDuty パートナーを参照してください。

GuardDuty の有効化

Q: Amazon GuardDuty を有効にするにはどうすればよいですか?

Amazon GuardDuty は、AWS マネジメントコンソールでわずか数回クリックするだけで有効にできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。 

Q: Amazon GuardDuty で複数のアカウントを管理できますか?

はい。Amazon GuardDuty には、AWS の複数のアカウントを 1 つのマスターアカウントから関連付けて管理できる複数アカウント機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者または Amazon GuardDuty マスターアカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、AWS CloudWatch イベントも Amazon GuardDuty マスターアカウントに集約されます。

Q: Amazon GuardDuty ではどのようなデータソースを分析するのですか?

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および AWS DNS ログを分析します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、ビルトインの検出手法にアクセスできます。これは、クラウド用に開発および最適化されており、AWS セキュリティが維持、および継続的に改善するものです。 

Q: GuardDuty はどの程度、迅速に動作できますか?

有効にすると、Amazon GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析をすぐに開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。

Q: Amazon GuardDuty の AWS CloudTrail、VPC フローログ、および DNS ログを有効にする必要はありますか?

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、AWS DNS ログから独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクしたロールとして管理されます。これは GuardDuty を無効にすることで、いつでも取り消すことができます。このため、複雑な設定を行うことなく、簡単にサービスを有効にでき、AWS IAM アクセス許可の変更や S3 バケットポリシーの変更がサービスの運用に影響を与えるリスクが排除されます。また、大量のデータを消費する際にほぼリアルタイムで GuardDuty を極めて効率的に活用するため、アカウントやワークロードのパフォーマンス、または可用性に影響を与えることはありません。

Q: アカウントで Amazon GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?

Amazon GuardDuty は AWS リソースとは完全に独立して動作するため、アカウントやワークロードに影響を及ぼすリスクはありません。このため、既存の操作に影響を与えることなく、組織内の多くのアカウントで GuardDuty を簡単に有効にすることができます。

Q: Amazon GuardDuty はログを管理または保持しますか?

いいえ。Amazon GuardDuty はログを管理または保持しません。GuardDuty が使用するすべてのデータは、ほぼリアルタイムで分析されて破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

Q: Amazon GuardDuty がログとデータソースを調べないようにするにはどうすればよいですか?

一般設定でサービスの一時停止を選択することで、Amazon GuardDuty のデータソース分析をいつでも停止できます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、検出結果や設定構成などの残りのすべてのデータを削除します。

GuardDuty の検出結果

Q: Amazon GuardDuty では何を検出できますか?

Amazon GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、AWS セキュリティが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

  • 偵察-- 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害 -- インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
  • アカウントの侵害 -- アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、AWS CloudTrail のログ記録を無効にする試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、悪意のある既知の IP アドレスからの API コールが含まれます。

Q: Amazon GuardDuty の脅威インテリジェンスとは何ですか?

Amazon GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS セキュリティと Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty が継続的に更新します。

Q: 自分の脅威インテリジェンスを使用することはできますか?

はい。Amazon GuardDuty を使用すると、独自の脅威インテリジェンスまたは IP セーフリストを簡単にアップロードできます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

Q: 機械学習と異常動作検出はどのように機能しますか?

より高度な動作および機械学習の検出では、アカウントの動作のベースラインを設定するのに 7〜14 日かかります。その後、異常検出が学習モードからアクティブモードに切り替わります。アクティブになった後、サービスが脅威を示す動作をモニタリングする場合にのみ、これらの検出から生成された結果を表示します。

Q: セキュリティの検出結果はどのように配信されますか?

脅威が検出されると、Amazon GuardDuty が GuardDuty コンソールと AWS CloudWatch イベントに、詳細なセキュリティの検出結果を配信します。こうしてアラートをすぐ活用でき、既存のイベント管理システムやワークフローシステムを簡単に統合できます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

Q: Amazon GuardDuty の検出結果の形式は何ですか?

Amazon GuardDuty の検出結果は、一般的な JSON 形式で送信されます。これは Amazon Macie と Amazon Inspector でも使用されてるものです。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果を簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションに簡単に組み込むことできます。

Q: Amazon GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?

セキュリティの検出結果を、Amazon GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、AWS CloudWatch イベントを有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。

Q: Amazon GuardDuty を使用して自動での予防処置を講じることはできますか?

Amazon GuardDuty、AWS CloudWatch Events、および AWS Lambda を使用すると、セキュリティの検出結果に基づいて、自動での予防処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、CloudWatch イベントルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数をトリガーします。

Q: Amazon GuardDuty の検出はどのように開発され、管理されていますか?

Amazon GuardDuty には、検出の開発、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出と既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty UI にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んだフィードバックを、お客様に提供することができます。

Q: Amazon GuardDuty でカスタムの検出を作成できますか?

Amazon GuardDuty は、独自のカスタムルールセットの開発と保守に付随する面倒な処理や複雑さを排除します。お客様からのフィードバック、および AWS Security と GuardDuty のチームが行う調査に基づき、新たな検出を継続的に追加します。お客様が設定するカスタマイズでは、独自の脅威リストや IP セーフリストを追加することができます。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細はこちら 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン