皆さん、こんにちは!アイレット株式会社クラウドインテグレーション事業部MSPセクションの蓮沼翔悟です。

アメリカのフィラデルフィアで行われている AWS re:Inforce 2025 に参加しています。

re: Inforce 2025で視聴した以下のセッションに関してのサポートをお届けします。

  • TDR308-NEW: Amazon GuardDuty Extended Threat Detection: Identify multi-stage attacks

クラウドセキュリティの進化とGuardDutyの役割

クラウド環境のセキュリティは日々進化しており、多段階にわたる複雑な攻撃からAWS環境を保護することは、多くの組織にとって大きな課題となっています。特に、アラートの量が多すぎること、個別のアラート同士の関連性が見えにくいこと、そしてアラートの分析に多くの時間と労力がかかることが、クラウドセキュリティ運用の難しさとして挙げられます。

Amazon GuardDutyとは、AWS環境におけるアクティブな攻撃や脅威を検出するマネージド型の脅威検出サービスです。機械学習(ML)、異常検知、統合された脅威インテリジェンスを活用し、潜在的な脅威を自動で識別し、リスクに応じた優先順位をつけて通知します。GuardDutyはAWSコンソール、CloudFormation、またはAPIを通じて数ステップで有効化可能で、一度有効化すればCloudTrailやVPCフローログ、DNSログなどに自動でアクセスし、継続的な監視を開始します。

GuardDutyは、以下のような多様な保護プランを提供しています:

  • 基盤的脅威検出(Foundational Threat Detection):CloudTrail管理イベント、VPCフローログ、DNSログを通じて、あらゆるAWS資産のセキュリティを包括的に監視します。エージェント不要でGuardDutyを有効化するだけで利用可能です。
  • S3保護:CloudTrail S3データイベントを用いて、データ流出、ランサムウェア、設定ミスといったS3関連のリスクを検知します。
  • EKS監査ログ監視:Kubernetesのコントロールプレーンからの監査ログを分析し、異常なK8s APIの利用や匿名アクセスの検出を行います。
  • EKS/EC2/ECS/Fargate ランタイム監視:GuardDuty専用エージェントをインストールすることで、OSレベルのプロセス、ファイル、ネットワークイベントを監視し、コンテナや仮想マシンの内部動作を可視化します。
  • RDS保護:Amazon AuroraやRDS PostgreSQLに対応し、ログアノマリーや不正ログイン試行などをエージェントなしで検知します。
  • Lambda保護:Lambda関数の実行から得られるネットワークデータを基に、クリプトマイニングや不正な関数の使用などを検出します。
  • マルウェア保護:EBSボリュームに対してマルウェアスキャンを行い、信頼されていないアプリケーションからのS3バケットアクセスなども防御します。

Amazon GuardDuty Extended Threat Detection:点と点をつなぐ分析官

GuardDutyの課題は、個別のファインディングが大量に出る点にあります。セキュリティチームはその関連性を人手で見極める必要があり、対応に時間と労力がかかっていました。

お客様から「アラートが多すぎる」という声を受けて、Amazon GuardDuty Extended Threat Detectionをリリースしました。

この機能は、AIと機械学習を使用して、強いシグナル(finding)と弱いシグナル(潜在的に疑わしいが、単体ではアラートにならないもの)の間で関連性を見つけ出し、攻撃を検出します。

EDTが出力するファインディングは、「攻撃シーケンスの検出結果(attack sequence findings)」としてまとめられ、すべて”Critical”(重大)な深刻度で表示されます。これは、GuardDutyがその攻撃シナリオを特に深刻で優先度の高いものと判断したことを意味し、運用側としても即座の対応が求められます。
(出典:AWS公式ドキュメント – Attack sequence findings

EDTは、これらのファインディングに加え、通常はアラートとならない「弱い信号」も含めて、AIと機械学習で自動相関します。例えば:

  • IAMユーザーがいつもと異なる場所からアクセス(弱い信号)
  • 不審なAPI操作(昇格試行)
  • 新たなEC2インスタンスの立ち上げ(実行)
  • S3バケットへの不審なアクセス(データ流出)

このように、EDTは一連の動きから「認証情報の侵害 → 権限昇格 → 実行 → データ流出」という多段階攻撃のストーリーを浮かび上がらせ、セキュリティチームにアタックシーケンスファインディングとして通知します。これにより、単なる点ではなく、脅威全体の流れを把握し、適切に対応できるようになります。

カバーされる主要な攻撃シナリオ

以下の3つの攻撃シナリオが、現在EDTにおけるAttack Sequence Findingsとして正式に定義されています:https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

ファインディング名 シナリオ概要
AttackSequence:IAM/CompromisedCredentials IAM認証情報が漏洩し、攻撃者が権限昇格やEC2実行などを通じて攻撃インフラを展開する流れを検出
AttackSequence:S3/CompromisedData 機密データがS3から外部に送信・漏洩・削除されるなど、データ侵害のシナリオを追跡
AttackSequence:EKS/CompromisedCluster EKS監査ログやランタイムイベントから、特権コンテナの実行やマイニング行為など、EKSクラスターの侵害を特定

MLによる優先順位付けと信頼性の高い判断

EDTでは、高度な機械学習モデルがセキュリティエンジニアの直感(ドメイン知識)を再現。次のような特徴をもとに、関連ファインディングを優先付けします:

  • 高リスクなAPI操作が含まれるか
  • 通常と異なる構成・リージョン・インスタンス
  • 信頼性の低いIPアドレスからのアクセス

このモデルは、相関結果の矛盾や一致をスコア化し、最も信頼性の高い脅威から提示します。

GuardDuty EDTのメリット

  • アラート疲労の軽減:平均でアカウントあたり月2件未満のアタックシーケンスのみが生成されるため、対応の負荷が軽減されます。
  • 迅速なトリアージと信頼性:自動相関された重要な脅威のみが提示されるため、トリアージと初動が迅速化
  • MITRE ATT&CKとのマッピング:検知されたファインディングは、攻撃者の戦術・技術を標準化したMITRE ATT&CKフレームワークに対応しており、対応計画や修正手順が立てやすくなります。
    • ※MITRE ATT&CKとは:攻撃者がどのような技術・戦術で攻撃を行うかを体系化した世界的なフレームワーク。セキュリティ対応の標準として多くの企業・機関で利用されています。
  • 自動有効化と追加費用なし:EDTは対象プランを有効にするだけで自動的に稼働し、追加料金は不要です。(上記保護プラン自体の料金はデータソースを増やす分かかるがEDT自体の料金は発生しない)

まとめ:点を線に、線を行動へ

GuardDutyが「高性能な監視カメラ」なら、EDTは「複数の映像を分析して、断片的な行動を攻撃シナリオとして組み立てる賢い分析官」。この組み合わせにより、組織はより迅速かつ効果的に脅威へ対応できるようになります。

ひとまず、現状提供されている以下の3つのファインディングに関しては運用設計を決めてお決めておいた方が良さそうです。

以下はGuardDutyとEDTの検知の違いをまとめた比較表です:

項目 GuardDuty(通常のファインディング) EDT(Attack Sequence Findings)
対象 個別のアクティビティ(例:API呼び出し、IPアクセス) 一連の関連するアクティビティのつながり(攻撃のシナリオ)
Severityの基準 アクション単体の影響度や信頼性に応じて「Low」「Medium」「High」など 攻撃のストーリー全体をAIが評価し「Critical」で出力
通知数 イベントごとに複数出る可能性がある(例:10件以上) 多くても月に1~2件程度(1アカウントあたり)(*)
目的 攻撃の兆候を幅広く検知 本当に対処すべき“重大な脅威の全体像”を提示

(*)AWSによる試算:AWSによる試算:
過去3ヶ月間で保護している100万のAWSアカウントに対して約13,000件の攻撃シーケンスファインディングを生成しています。これは、アカウントあたり3ヶ月で平均2件未満、年間に換算しても約8件と非常に少なく、セキュリティチームが過剰なアラートに悩まされることなく、「この検出が出たら即対応すべき」という明確な判断基準として活用できる、実運用に即したボリューム