Amazon GuardDutyによる脅威モニタリングとリアルタイム通知の実現

1. Amazon GuardDutyとは

Amazon GuardDutyはAWSアカウントやワークロードを保護するための脅威検出サービスです。本コラムでは、GuardDutyの基本的な概要から、脅威を検知した際に迅速に対応するための通知設定について、具体的な方法を交えて解説します。

1-1. 本コラムの対象読者

以下のような方々にとって、特に役立つ内容です。

• AWSの情報セキュリティ対策を、もう一歩進めたいと考えている方
• Amazon GuardDutyの導入を検討中、または最近利用し始めた方
• GuardDutyが脅威を検知した後、具体的にどのような通知を受け取るべきか知りたい方

1-2. 本コラムの目的とゴール

このコラムを通じて、まずはGuardDutyがどのような役割を担うサービスなのかを理解していただくことを目指します。

その上で、検知した脅威に対して、どのような通知システムを構築するのが適切かについてご紹介します。最終的に、読者の方がご自身の環境に合った通知方法を選択し、実際に設定を組めるようになることが、このコラムのゴールとなります。

Amazon GuardDutyに関するご相談や機能の詳しいご説明をご希望の方はお気軽にNTT東日本までお問い合わせください。

2. 通知設定の方法

GuardDutyが脅威を検出した際に、その結果を通知するための方法はさまざまです。

それぞれの通知方法には特徴があり、用途に応じて使い分けることが重要となります。

今回は、最もベーシックな通知方法とされる、【Amazon EventBridge + Amazon SNS】との連携方法についてご説明します。

2-1. Amazon SNS設定方法

まず、AWS マネジメントコンソールで Amazon SNS のサービス画面を開きます。

左側のメニューから「トピック」を選び、「トピックの作成」をクリックしてください。

設定画面では、タイプとして「スタンダード」を選択します。

今回はFIFOである必要はありません。

「名前」の欄に、任意の名前（例:K-SNS-GuardDuty）を入力したら、「トピックの作成」をクリックします。

2-2. サブスクリプションの作成 (Eメール登録)

トピックが作成されたら、通知を受け取るEメールアドレスを登録します。トピックのダッシュボードから先ほど作成したトピックを選択してください。

続いて、画面左側の「サブスクリプション」タブを選び、「サブスクリプションの作成」をクリックします。

「トピック ARN」は、先ほどのトピックが自動で入力されるはずです。自動入力無ければ検索して、入力します。

「プロトコル」で「Eメール」を選択します。

「エンドポイント」の欄に、通知を受け取りたいEメールアドレスを入力します。

入力が完了したら「サブスクリプションの作成」をクリックします。

【重要】 Eメールでの承認作業

この設定を行うと、登録したEメールアドレス宛に「AWS Notification - Subscription Confirmation」という件名の確認メールが届きます。

メール本文に記載されている「Confirm subscription」というリンクを必ずクリックして、サブスクリプションを「承認」してください。

この承認作業を行わないと、設定をしても通知が一切届きません。SNSのコンソール上で、サブスクリプションのステータスが「確認済み」になっていれば、設定は無事完了です。

2-3. Amazon EventBridgeルールを作成し、SNSへ転送する

次に、GuardDutyからの検知イベントをキャッチして、先ほど作成したSNSトピックへ、転送するためのルールを作成します。この設定には Amazon EventBridge を利用します。全部で6ステップとなります。

ステップ1: ルールの詳細を定義

AWS マネジメントコンソールで Amazon EventBridge のサービス画面を開いてください。 左側のメニューから「ルール」を選択し、「ルールを作成」をクリックします。

まず「名前」の入力欄に、わかりやすい名前を付けます (例: K-GuardDuty-SNS)。

「イベントバス」は default のままで進めましょう。GuardDutyは標準で、この default イベントバスにイベントを送信するようになっているためです。

設定したら「次へ」をクリックします。

ステップ2: イベントパターンを構築

こちらでは「どのイベントをキャッチするか」を具体的に定義していきます。

「イベントソース」の項目は、「AWS のイベントまたは EventBridge パートナーイベント」を選択します。

そのまま下にスクロールし、「イベントパターン」というセクションまで進んでください。 ここで「カスタムパターン (JSON エディタ)」を選択します。

表示されたテキストボックスに、任意のJSONを貼り付けます。

• 横にスクロールします

{
  "source": ["aws.guardduty"]
}

{
  "source": ["aws.guardduty"],
  "detail": {
    "severity": [
      {
        "numeric": [">=", 7]
      }
    ]
  }
}

このように特定の条件で絞り込みたい場合は、JSONを変更することで、複数通知を減らすことが可能です。

今回は、通知を絞ったJSONにします。

正しいJSONが入力されると、下部に有効表示がでます。次へ をクリックします。

ステップ3： ターゲットを選択

イベントパターンが決まったので、次は「そのイベントをどこに送るか」を設定します。

• ターゲットタイプは「AWS のサービス」を選択します。
• ターゲットを選択のドロップダウンから、「SNS トピック」を選びます。
• トピック欄で、ステップ1で作成したトピックを選択してください。トピック名がリストに多数ある場合は、検索欄に名前の一部を入力するとすぐに見つかります。

設定できたら「次へ」をクリックして進みます。

[推奨] 通知を読みやすく整形する

次の設定は任意ですが、実運用を考えると、ほぼ必須と言えるステップです。

もしこの設定を省略すると、EメールにはGuardDutyが発行した巨大なJSONデータがそのまま送られてきます。これでは非常に読みにくく、何が問題なのかを瞬時に把握しづらくなります。

そこで「Input Transformer (入力トランスフォーマー)」機能を使って、通知内容を読みやすい形に整形します。

ターゲットの設定画面（ステップ3の続き）で、「追加設定」の部分をクリックして展開します。

• 「ターゲット入力を設定」の項目で、「入力トランスフォーマー」を選択します。
• 「入力トランスフォーマーを設定」ボタンをクリックします。

入力パス (必要な情報をJSONから抽出)

まず、元のJSONデータから、通知に必要な情報のみ抜き出すための「入力パス」と「テンプレート」を定義します。 以下のJSONを「入力パス」と「テンプレート」のテキストボックスに貼り付けてください。

• 横にスクロールします

{
  "account": "$.detail.accountId",
  "region": "$.region",
  "severity": "$.detail.severity",
  "time": "$.time",
  "title": "$.detail.title"
}

ステップ4： タグを設定(オプション)

任意でタグを作成します。

ステップ5： レビューと作成

確認 をクリックし、次へ → 次へ → ルールを作成 をクリックして完了です。

2-4. 最終確認：テスト通知を送信してみる

すべての設定が完了しましたので、この仕組みが正しく動作するかテストしてみましょう。GuardDutyには、テスト用のイベント（サンプル検出結果）を意図的に発生させる便利な機能が用意されています。

まず、AWS マネジメントコンソールで GuardDuty のサービス画面を開きます。 左側のメニューから「設定」をクリックしてください。

画面をスクロールしていくと、「サンプル検出結果の生成」というセクションが見つかります。 ここの「サンプル検出結果の生成」ボタンをクリックします。

何が起こるか？

このボタンを押すと、GuardDutyがさまざまな重大度（高・中・低など）のサンプルイベントを擬似的に生成します。

1. EventBridgeルールが、この「aws.guardduty」ソースのイベント発生を検知します。
2. ルールに従い、イベントデータがSNSトピックに転送されます。
3. SNSトピックが、サブスクリプション（Eメール）宛に通知を送信します。

メールの確認

数分以内に、ステップ1で登録したEメールアドレスに通知メールが届けば成功です。

また、この他にもさまざまな通知設定があります。GuardDutyの通知方法は、今回紹介したSNS（Eメール）を使ったもの以外にも、AWSの他のサービスと連携することで、さらに柔軟な運用が可能になります。

よく使われる連携先としては、以下のようなものがあります。

• AWS Chatbot：
  SlackやAmazon Chimeといった、普段使っているビジネスチャットツールへ直接通知を飛ばすことができます。
• AWS Security Hub との連携：
  GuardDutyだけでなく、AWS ConfigやInspectorなど、他のセキュリティサービスのアラートもまとめて一元管理したい場合に非常に強力です。
• Amazon Detective との連携：
  GuardDutyが検出した結果をもとに、関連するログなどを深掘りして、根本原因を詳細に調査する際に役立ちます。

このように、GuardDutyは多くのサービスと連携させることが可能です。

Amazon GuardDutyに関するご相談や機能の詳しいご説明をご希望の方はお気軽にNTT東日本までお問い合わせください。

3. 方法の使い分け

各通知方法を、どのようなシーンで使い分けるか、簡単に整理しておきます。

1. シンプルにメール通知をしたい
   今回コラムで解説した「EventBridge + SNS」の構成が最もシンプルで確実です。
2. 開発チームのSlackにすぐ通知したい
   「AWS Chatbot」との連携が最適です。リアルタイム性が求められる場合に適しています。
3. 他のセキュリティサービスと集約して管理したい
   「AWS Security Hub」をハブとして利用することを検討しましょう。
4. インシデント調査を迅速に開始したい
   検出後の調査プロセスを効率化するために「Amazon Detective」との連携が役立ちます。

ご自身のチームの運用スタイルに合わせて、最適な通知方法を選択してみてください。

Amazon GuardDutyに関するご相談や機能の詳しいご説明をご希望の方はお気軽にNTT東日本までお問い合わせください。

4. 料金インパクト・GuardDutyの料金体系

GuardDutyと今回ご紹介した各通知方法を利用した際の料金体系について解説します。

4-1. GuardDuty本体の料金

まず、GuardDuty自体は有料サービスであり、料金体系は「従量課金制」です。

具体的には、

• 分析したAWS CloudTrailのイベント
• VPCフローログ
• DNSログなどの量

に基づいてコストが計算されます。

4-2. 通知サービスの料金 (SNS, EventBridgeなど)

一方、通知に利用する EventBridge, Amazon SNS, AWS Chatbot といったサービスは、料金が非常に安価か、あるいは無料枠が大きいのが特徴です。

例えば、SNSのEメール通知やEventBridgeのルール起動は、無料利用枠が大きく設定されています。そのため、よほど大規模な環境でない限り、通知にかかるコストは月額数十円程度か、ほとんどかからない場合も多いです。

料金の詳細はAWSの公式サイトをご確認ください。

料金 - Amazon GuardDuty | AWS

4-3. GuardDutyの「30日間無料トライアル」を活用しよう

GuardDutyは有料サービスですが、AWSでは安心して評価・導入ができるよう、30日間の無料トライアルが用意されています。

• GuardDutyを初めて利用する方: 対象のアカウント・リージョンで初めて有効化する際、全機能（すべての保護プラン）を30日間無料で体験できます。
• すでにGuardDutyを利用中の方: 例えば、これまでS3保護プランを使っていなかった場合など、新たに追加する保護プランに対しても、そのプラン単独で30日間の無料トライアルが適用されます。

このトライアル期間中は、GuardDutyのコンソール上で「トライアルの残り日数」や「トライアル終了後の日々の予測コスト」を簡単に確認できます。

まずはこの無料トライアルを活用し、ご自身の環境でどれくらいのコストがかかりそうか、どのような検知ができるかを評価してみることをお勧めします。

Amazon GuardDutyに関するご相談や機能の詳しいご説明をご希望の方はお気軽にNTT東日本までお問い合わせください。

5. まとめ

今回は、Amazon GuardDutyの基本的な概要から、脅威を検知した際の通知方法、そして気になる料金体系までをご紹介してきました。

GuardDutyは、AWS環境の情報セキュリティを維持する上で、非常に心強いサービスです。

検知した脅威に対して迅速に対応するためにも、ぜひ今回のコラム内容を参考にしていただき、ご自身の運用に合った通知設定を適切に行い、AWS環境の情報セキュリティ体制をさらに強化していきましょう。

Amazon GuardDutyに関するご相談や機能の詳しいご説明をご希望の方はお気軽にNTT東日本までお問い合わせください。