結局、Amazon Detectiveは何をしてくれるのか?

「Amazon GuardDuty(以下、GuardDuty)を入れているから、わざわざ Amazon Detective(以下、Detective)までいらなくない?」 正直、私も検証を始める前はそう思っていました。しかし、実際に動かして確信したのは、Detective は単なる「検知」ツールではなく、「調査の工数を劇的に削るためのセキュリティ分析基盤」であるということです。

GuardDuty が提供するのは「怪しい挙動(イベント)」の通知です。対して Detective は、吸い上げたログを「グラフモデル(Graph Model)」として構造化します。これにより、バラバラのイベントを「誰が(IAM)」「どの端末から(IP)」「何をしたか(Resource)」という関係性のインデックスとして再構築してくれるのです。この「点と線」のつながりこそが、調査において最大の武器になります。

膨大なログでSQLを書くのは、もう終わりにしたい

不審な挙動を見つけたとき、CloudWatch Logs Insights でクエリをこねくり回したり、S3 に吐き出したログを Amazon Athena で必死に叩いて調査していませんか? Detective は、CloudTrail、VPC Flow Logs、GuardDuty の検出結果(Finding)を自動で取り込み、インデックス化します。

「自力で SQL を叩いて潜る時代」から、「AIとグラフで判断する時代」へ。このシフトこそが、Detective を導入する最大の価値だと感じました。

Detective を検証して分かった、導入を推す「4つの決め手」

今回は、GuardDuty の「検出結果サンプルの生成」機能を使い、擬似的なアラートを流し込んで Detective がどう反応するかを検証しました。

※検証環境(米国東部リージョン等)やサンプルデータの制約上、一部の最新機能についてはキャプチャの掲載を控え、機能のポイントを整理してお伝えします。

※Detective の「生成 AI による検出結果グループの要約」機能は、東京リージョンを含む主要なリージョン(東京、バージニア北部、オレゴン、フランクフルト等)で利用可能です(2026年2月時点)。

1. 生成AIによる「検出結果グループの要約」(全体像の把握)

これが直近のアップデートで最も注目すべき強力な機能です。複雑な関係図を読み解かなくても、Amazon Q を活用した生成AIが「何が起きたか」を自然言語でサマリーしてくれます。
これまで専門家がログを突き合わせて行っていた「インシデントの全容把握」を、AIが数秒で代行してくれる。このスピード感こそが、Detective を導入する大きな価値の一つと言えます。

2. MITRE ATT&CK® との紐付け(攻撃フェーズの可視化)

Detective は、バラバラの検出結果を単にまとめるだけでなく、観察された戦術にて「初期アクセス」「実行」といった世界標準のフレームワーク(MITRE ATT&CK®)に当てはめて表示します。

※注:GuardDuty サンプルデータによる検証画面です。

「今は攻撃のどのフェーズにいるのか」を標準的な枠組みで示せるため、上層部へのエスカレーション報告が極めてスムーズになります。

3. 隠れた「エビデンス(状況証拠)」の自動抽出

Detective の「検出結果グループ(Finding Groups)」には、単体ではアラートにならない「不自然な動き(Evidence)」も自動で取り込まれます。

※サンプルデータを用いた極端な例ですが、これだけの関連情報が自動集約されます。

「初めて使われたAPIコール」や「普段は使われないリージョンからのアクセス」など、プロの調査員が数時間かけて行う「裏取り」をシステムが代行してくれる感覚です。

4. 自動調査機能(Detective Investigations)による根本原因の特定

これが「調査の自動化」の肝となる機能です。IAM ユーザーやロールに関連する「侵害の痕跡(IOC)」をシステムが自動で分析します。
具体的には、「不可能移動(Impossible Travel)」や「通常とは異なる挙動(Unusual Behavior)」を分析し、「このユーザーは本当に侵害されているのか?」という問いに、リスクレベル付きで回答を提示します。自力でログの裏取りを行う工数を劇的に削減し、迷いのない初動対応を可能にします。

AWS Organizations でのお作法

Detective も、AWS Organizations のベストプラクティス通り、「セキュリティ専用アカウント」を管理者に委任して運用するのが正解です。

セキュリティ専用アカウント(管理者)側で各メンバーアカウントを統合(自動有効化も可能)することで、各アカウントの生のログ環境を直接触らなくても、セキュリティアカウントの「動作グラフ(Behavior Graph)」でに抽出・集約されるので、全アカウントの状況を一元的に管理できるモデルになっています。

まとめ:「検知して終わり」にしないために

検証した結果、Detective は「何が起きたか」を早く、正確に突き止めるための機能でした。

Detective はアカウント数ではなく、取り込んだデータ量に応じた従量課金です。30日間の無料トライアル期間中は、コンソールから月額推定コストを確認できます。まずは無料で、「調査の自動化」を始めてみてはいかがでしょうか。