サービスの概要

Q: Amazon GuardDuty とは何ですか?

Amazon GuardDuty は、AWS アカウントとワークロードを継続的に監視および保護できる脅威検出機能を提供します。GuardDuty は、AWS CloudTrail Events、Amazon VPC フローログ、および DNS ログで見つかったアカウントとネットワークアクティビティから生成されたメタデータの連続ストリームを分析します。また、既知の悪意のある IP アドレス、異常の検出、機械学習などの統合された脅威インテリジェンスを使用して、脅威をより正確に識別します。

Q: Amazon GuardDuty の技術的メリットは何ですか?

Amazon GuardDuty を使用すると、AWS のアカウントとワークロードの継続的な監視が簡単にできるようになります。これはリソースとは完全に独立して動作するため、ワークロードにパフォーマンスや可用性の影響を及ぼすリスクはありません。統合された脅威インテリジェンス、異常の検出、および機械学習によって完全に管理されます。Amazon GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと簡単に統合できます。前払費用は発生せず、分析されたイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

Q: Amazon GuardDuty にはどれくらいのコストがかかりますか?

Amazon GuardDuty には 2 種類の料金体系があります。この料金体系は、分析された AWS CloudTrail イベントの数量 (1,000,000 イベントあたり) と分析された Amazon VPC フローログと DNS ログの量 (GB あたり) に基づいています。

  • AWS CloudTrail イベント分析 – GuardDuty は、AWS CloudTrail 管理イベントを継続的に分析して、AWS のアカウントとインフラストラクチャのすべてのアクセスと動作を監視します。CloudTrail イベント分析は、毎月 1,000,000 件のイベントごとに課金され、プロ評価されます。
  • VPC フローログと DNS ログの分析 – GuardDuty は、VPC フローログおよび DNS のリクエストと応答を分析して、Amazon EC2 インスタンスで悪意のある動作、不正な動作、または予期しない動作を識別します。フローログと DNS ログの分析は、1 か月あたりギガバイト (GB) 単位で課金されます。フローログと DNS ログの分析には、段階的な従量制割引が適用されます。

前払費用は発生せず、分析されたデータに対する料金のみ発生します。

詳細と料金の例については、Amazon GuardDuty の料金を参照してください。

Q. Amazon GuardDuty 支払人アカウントの推定コストは、リンクされたアカウントすべてに対する合計コスを示しているのですか、それともその支払人のアカウントのみですか?

推定コストは個々の支払人に対するコストのみを表します。マスターアカウントでは、マスターアカウントに対する推定コストのみが表示されます。

Q: 無料トライアルはありますか?

はい。Amazon GuardDuty の新しいアカウントであれば、無料で 30 日間サービスを利用できます。無料トライアル中はすべての機能セットと検出をご使用いただけます。GuardDuty では、処理されたデータの量と、アカウントの 1 日あたりの推定平均サービス料が表示されます。これにより、Amazon GuardDuty を無料で簡単に体験でき、無料トライアル後も使用した場合のサービスの料金を簡単に予測できます。

Q: Amazon GuardDuty と Amazon Macie の違いは何ですか?

Amazon GuardDuty は、攻撃者の偵察、インスタンスの侵害、アカウントの侵害などの脅威を識別することによって、AWS のアカウント、ワークロード、およびデータを幅広く保護します。Amazon Macie は、Amazon S3 のデータを保護するのに役立ちます。これにより、所有しているデータ、データがビジネスにもたらす価値、そのデータへのアクセスに関連する動作を分類できます。どちらのサービスにも、それぞれのカテゴリの脅威を検出するための、ユーザーの動作の分析、機械学習、および異常の検出が組み込まれています。

Q: Amazon GuardDuty は、リージョン別またはグローバルのどちらのサービスですか?

Amazon GuardDuty はリージョン別のサービスです。複数のアカウントが有効になっていて、複数のリージョンが使用されている場合でも、Amazon GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。これにより、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことが保証されます。お客様は、AWS CloudWatch Events を利用し、Amazon S3 のようなお客様が管理するデータストアに検出結果をプッシュし、適切と思われる検出結果を集約することで、Amazon GuardDuty で生成されたセキュリティ検出結果を集約することを選択できます。

Q: Amazon GuardDuty はどのリージョンをサポートしていますか?

各リージョンで利用できる Amazon GuardDuty の一覧は AWS リージョン表 を参照してください

Q: どのパートナーが Amazon GuardDuty と連携していますか?

Amazon GuardDuty には多くのテクノロジーパートナーが統合され、構築されています。また、GuardDuty の専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。Amazon GuardDuty パートナーを参照してください。

GuardDuty の有効化

Q: Amazon GuardDuty を有効にするにはどうすればよいですか?

Amazon GuardDuty は、AWS マネジメントコンソールで数回クリックするだけで有効にできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。 

Q: Amazon GuardDuty で複数のアカウントを管理できますか?

はい。Amazon GuardDuty には、AWS の複数のアカウントを 1 つのマスターアカウントから関連付けて管理できる複数アカウント機能があります。これを使用すると、レビューと修復のためにすべてのセキュリティ検出結果が管理者または Amazon GuardDuty マスターアカウントに集約されます。また、この設定を使用すると、AWS CloudWatch Events も Amazon GuardDuty マスターアカウントに集約されます。

Q: Amazon GuardDuty ではどのようなデータソースを分析するのですか?

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および AWS DNS ログを分析します。このサービスは、セキュリティ検出のほぼリアルタイムの処理のために大量のデータを消費するように最適化されています。GuardDuty を使用すると、クラウド用に開発および最適化され、AWS セキュリティによって維持されて継続的に改善される、組み込みの検出手法にアクセスできます。 

Q: GuardDuty はどのくらいすぐに動作しますか?

有効にすると、Amazon GuardDuty はすぐに、悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効にされた後に開始されるアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果が表示されます。

Q: Amazon GuardDuty の AWS CloudTrail、VPC フローログ、および DNS ログを有効にする必要はありますか?

いいえ。Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、AWS DNS ログから独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty の権限はサービスにリンクされたロールとして管理され、これは GuardDuty を無効にすることによっていつでも取り消すことができます。これにより、複雑な設定を行わなくても簡単にサービスを有効にでき、AWS IAM 権限の変更や S3 バケットポリシーの変更がサービスの運用に影響を与えるリスクが排除されます。また、ほぼリアルタイムで大量のデータを消費するときに GuardDuty を非常に効率的に利用するため、アカウントやワークロードのパフォーマンスや可用性に影響を与えません。

Q: アカウントで Amazon GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?

いいえ。Amazon GuardDuty は AWS リソースとは完全に独立して動作し、アカウントやワークロードに影響を及ぼすリスクはありません。これにより、既存の操作に影響を与えることなく、組織内の多くのアカウントで GuardDuty を簡単に有効にすることができます。

Q: Amazon GuardDuty はログを管理または保持しますか?

いいえ。Amazon GuardDuty はログを管理または保持しません。GuardDuty で使用されるすべてのデータは、ほぼリアルタイムで分析されて破棄されます。これにより、GuardDuty が非常に効率的でコスト効率が良くなり、データの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

Q: Amazon GuardDuty がログとデータソース調べないようにするにはどうすればよいですか?

一般的な設定でサービスの一時停止を選択することで、Amazon GuardDuty によるデータソースの分析をいつでも停止できます。これにより、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これにより、サービスの権限を放棄してサービスをリセットする前に、検出結果や設定構成などの残りのすべてのデータが削除されます。

GuardDuty の検出結果

Q: Amazon GuardDuty では何を検出できますか?

Amazon GuardDuty では、クラウド用に開発および最適化された組み込みの検出手法にアクセスできます。検出アルゴリズムは、AWS セキュリティによって維持され、継続的に改善されます。検出の主なカテゴリは次のとおりです。

  • 偵察 -- 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害 -- インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
  • アカウントの侵害 -- アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、AWS CloudTrail のログ記録を無効にする試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、悪意のある既知の IP アドレスからの API コールが含まれます。

Q: Amazon GuardDuty の脅威インテリジェンスとは何ですか?

Amazon GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS セキュリティと Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。

Q: 独自の脅威インテリジェンスを使用することはできますか?

はい。Amazon GuardDuty を使用すると、独自の脅威インテリジェンスまたは IP セーフリストを簡単にアップロードできます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

Q: 機械学習と異常動作検出はどのように機能しますか?

より高度な動作および機械学習の検出では、アカウントの動作のベースラインを設定するのに 7 〜 14 日かかります。その後、異常検出が学習モードからアクティブモードに切り替わります。アクティブになった後、サービスが脅威を示す動作を監視する場合にのみ、これらの検出から生成された結果が表示されます。

Q: セキュリティの検出結果はどのように配信されますか?

脅威が検出されると、Amazon GuardDuty によって GuardDuty コンソールと AWS CloudWatch Events に詳細なセキュリティの検出結果が配信されます。こうしてアラートをすぐに活用でき、既存のイベント管理システムやワークフローシステムを簡単に統合できます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

Q: Amazon GuardDuty の検出結果はどのような形式ですか?

Amazon GuardDuty の検出結果は、一般的な JSON 形式で送信されます。これは Amazon Macie と Amazon Inspector でも使用されています。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果を簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションに簡単に組み込むことできます。

Q: Amazon GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?

セキュリティの検出結果は、Amazon GuardDuty コンソールおよび API を通じて 90 日間保持され利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、AWS CloudWatch Events を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュすることができます。

Q: Amazon GuardDuty を使用して自動化された予防処置を講じることはできますか?

Amazon GuardDuty、AWS CloudWatch Events、および AWS Lambda を使用すると、セキュリティの検出結果に基づいて自動化された予防処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて AWS セキュリティグループのルールを変更するための Lambda 関数を作成できます。GuardDuty の検出結果で Amazon EC2 インスタンスの 1 つが既知の悪意のある IP によって探知されていることが示されている場合は、CloudWatch Events ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更してそのポートへのアクセスを制限する Lambda 関数をトリガーします

Q: Amazon GuardDuty の検出はどのように開発され、管理されていますか?

Amazon GuardDuty には、検出の開発、管理、反復を専門としているチームがあります。これにより、サービスの新しい検出と既存の検出の継続的な反復が着実に行われます。サービスには、GuardDuty UI にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、お客様は、GuardDuty 検出の将来の反復に組み込まれたフィードバックを提供することができます。

Q: Amazon GuardDuty でカスタムの検出を作成できますか?

いいえ。Amazon GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。お客様からのフィードバックとAWS Security と GuardDuty のチームが行う調査に基づいて、新しい検出が継続的に追加されます。お客様が設定するカスタマイズには、独自の脅威リストと IP セーフリストを追加することが含まれます。

Amazon GuardDuty 料金の詳細

料金ページを見る
始める準備はできましたか?
ログイン
ご不明な点がおありですか?
お問い合わせ