AWS 公式ドキュメント

概要

AWS GuardDutyは、AWSが提供するマネージド型のセキュリティ監視サービスです。このサービスは、AWSクラウド環境におけるセキュリティの脅威を自動的に検出し、警告を発行することで、セキュリティを強化します。

主な特徴と機能には以下のようなものがあります：

1. 不正なアクティビティの検出:
   • AWSアカウント内での不正なアクティビティや潜在的なマルウェア、不正アクセスを検知します。
2. リアルタイムのセキュリティ監視:
   • リアルタイムでAWSのログやイベントを監視し、異常なパターンや不正な動きを検出します。
3. インテリジェントな脅威検出:
   • 機械学習と組み合わせたセキュリティ分析により、新たな脅威やパターンを学習し、既知の脅威だけでなく未知の脅威も検出します。
4. インシデントのアラートと通知:
   • 不正アクティビティや潜在的なセキュリティリスクを検出すると、アラートや通知を提供し、適切な対応を促します。
5. AWSリソースのマルチアカウントサポート:
   • 複数のAWSアカウント間での統合的なセキュリティ監視を可能にします。
6. AWSの標準ログソースを活用:
   • CloudTrail、VPC Flow Logs、DNSログなどのAWS標準ログソースからデータを収集し、セキュリティの分析に利用します。

AWS GuardDutyは、セキュリティの脅威検知に特化したサービスであり、クラウド環境におけるセキュリティ保護を強化するための有用なツールです。

AWS GuardDutyとAWS Security Hubとの違い

AWS GuardDutyとAWS Security Hubは、どちらもAWSのセキュリティサービスですが、異なる目的と機能を持っています。

1. AWS GuardDuty:

   • セキュリティイベントの検出と監視に特化したサービスです。
   • マシンラーニングと組み合わせた検出機能を持ち、AWSのログデータを監視して不正なアクティビティや脅威を検出します。
   • 特定のAWSアカウント内での不正アクティビティや不審なパターンを検知することに焦点を当てています。

2. AWS Security Hub:

   • セキュリティ状態の総合的な可視化と管理を提供するサービスです。
   • 複数のセキュリティツール（GuardDuty、Inspector、Macieなど）からのセキュリティアラートを集約し、統合的なセキュリティダッシュボードを提供します。
   • セキュリティポリシーや規制への準拠状況を可視化し、セキュリティの改善点や優先度を示します。

主な違いは、GuardDutyが特定のAWSアカウント内の不正アクティビティの検出に特化しているのに対し、Security Hubは複数のセキュリティツールやサービスからの情報を集約し、総合的なセキュリティの可視化と管理を提供している点です。セキュリティイベントの検出が主な目的であればGuardDutyを、セキュリティの統合的な可視化や管理が必要な場合はSecurity Hubを活用することが一般的です。