Amazon Detectiveとは？セキュリティの調査や視覚化に役立つサービスを解説

公開日：2024年8月2日最終更新日: 2024年8月2日

Amazon Detectiveの概要

最初に、Amazon Detectiveがどのようなサービスであるのか、基本知識を解説していきます。

Amazon Detectiveとは

Amazon Detectiveは、AWSのセキュリティサービスで、セキュリティインシデントの調査や分析を支援してくれます。従来、AWSで発生したセキュリティインシデントは、主にGuardDutyが検知して通知する仕組みが一般的でした。昔から継続的にAWS環境を運用している場合は、このような実装を採用していることがあるのではないでしょうか。しかし、この実装では検知した内容をCloudTrailやVPC Flow Logsなどで分析する手間が生じてしまいます。

しかし、Amazon Detectiveを利用すれば、これらの問題は一気に解決できます。VPC Flow Logs・CloudTrail・GuardDuty Findingsなどの情報を自動的に収集して、機械学習などを活用した分析を実施してくれるのです。本来は、ログが集約される仕組みや分析されるサービスを自力で導入する必要がありましたが、Amazon Detectiveはすべて整えてマネージドサービスとして提供されます。

Amazon Detectiveの仕組み

繰り返しになりますが、Amazon Detectiveの主な仕組みはVPC Flow Logs・CloudTrail・GuardDuty Findingsのデータを自動的に収集し、分析するというものです。AWS公式サイトの解説イラストを引用すると、以下のように説明されています。

引用：Amazon Detective

ネットワークトラフィックやセキュリティアラートなどの情報も含まれるため、セキュリティ面で重要な情報も管理できるようになっています。

また、収集した情報は内部で加工され「グラフモデル」として管理されます。これはリソース・アクション・イベントなどの関連性を示したもので、関連性の評価結果からインシデントであるかどうかを評価する仕組みです。

なお、インシデントであるかのどうかの評価にあたっては、グラフモデルに対して統計解析や機械学習を適用した結果が活用されます。例えば、特定のリソースに対して今までとは異なるIPアドレスからアクセスがあったならば、不正アクセスの疑いをかけるのです。また、過去の同時間帯と比較して、極端に多いAPIコールがあれば、これも不正と判断するなどが考えられます。

Amazon Detectiveの利用料金

Amazon Detectiveの料金は取り込まれたログの容量によって左右され、具体的には以下のとおりです。

• 最初 0 – 1,000 GB：$2.70/GB
• – 4,000 GB (最大 5,000 GB)：$1.35/GB
• – 5,000 GB (最大 10,000 GB)：$0.68/GB
• 10,000 GB – ：$0.34/GB

Amazon Detectiveの有効化と基本設定

続いては、実際にAmazon Detectiveを有効化して、利用するための基本設定を進めていきましょう。

Amazon Detectiveの有効化

AWSマネジメントコンソールからAmazon Detectiveを検索し、トップページを表示します。「開始方法」をクリックし、Amazon Detectiveの有効化を進めましょう。

有効化に向けた説明画面が表示されます。なお、Amazon Detectiveを有効化する際には、管理者権限の設定が必要です。利用しているIAMユーザによりますが、もし権限の不足が予想される場合には以下のボタンからIAMポリシーをアタッチしておきましょう。

権限面の問題がなければ、ページ下部の「Amazon Detective を有効化」をクリックします。

以下のような画面が表示されたならば、有効化は完了です。

初めてAmazon Detectiveを有効化する場合、記載のとおり30日間の無料トライアルが用意されています。そのため、まずは実際に有効化して、使い勝手などを評価してみると良いでしょう。

また、Amazon Detectiveを有効化したユーザ以外に、Amazon GuardDuty、AWS Security Hubの外部のユーザを追加することも可能です。もし、他のAWSで運用している情報を活用するために、アカウントを追加したい場合には、画面下部のボタンから追加してください。

Amazon Detectiveの有効化が完了したならば、関連するリソースからログの収集が進められます。状況に左右されますが、公式サイトでは最大で24時間が必要になるとされているため注意しましょう。ただ、経験則としては2時間から3時間程度で読み込みが完了します。

Amazon Detectiveでの状況確認

基本的な情報を読み込んでいれば、画像のとおり必要な情報が表示されます。ただ、現状ではすべての要素について調査が完了しているわけではありません。例えば、AWSロールは全10種類あるにもかかわらず、一部しか調査できていない状況です。そこで今回であれば「1/10」の部分をクリックすることで、調査へと進みます。

クリックした結果、以下のとおり未調査のAWSロールが一覧で表示されます。今回は、この中から1つをクリックしました。

詳細が表示されるため「調査を実行」をクリックして完了まで待機します。

調査が完了すると、画面が切り替わり結果が表示されます。「重要度」の部分を確認することで問題があるかどうかの確認が可能です。今回のように「情報」と表示されている場合は、問題がなかったことを意味します。

調査結果をクリックすることで、さらに細かな情報を得られます。このAWSロールについては、異常な動作が見られなかったことが示されました。

なお、別のAWSアカウントで意図的に問題点を含めると、画像のとおり表示されます。

異常な動作は見られないものの、リスクを含んでいることが示されているため、問題がないか自身で評価して必要に応じて設定を変更します。ページ下部の「探索」をクリックして、詳細を確認しましょう。

GuardDutyやSecurity Hubからの呼び出し

基本的にどのような問題が生じているかは、Amazon Detectiveのコンソールから表示できます。ただ、Amazon Detectiveから表示するのではなく、セキュリティインシデントを検知する側であるGuardDutyやSecurity Hubからの表示も可能です。

例えば、GuardDutyでインシデントをクリックすると「Detective で調査する」のテキストリンクが表示されます。

このリンクをクリックすることで、Amazon Detectiveの画面に遷移して具体的にどのような状況であるのか、調査を支援してもらえるのです。

同じく、Security HubからもAmazon Detective を利用して調査という項目から呼び出しできます。

自分でインシデントの内容とAmazon Detectiveを突き合わせる必要はなく、関連する情報はリンクでスムーズに表示できるようになっています。

情報の可視化

Amazon Detectiveを導入する際に活用してもらいたいものはデータの可視化です。単純に原因を特定するためのサービスだと思われがちですが、内容を可視化して、直感的に理解できることは魅力だと考えられます。

情報の可視化は「検出結果グループ」と呼ばれる項目にデータがある場合に利用が可能です。これは、複数の異常を検知した際に、これらの関連性を機械学習によって導けると表示されます。異常がない場合には何も表示されません。

そのため、AWSの公式で解説されている事例を引用すると画像のとおりです。

また、このような関連性のある事象が発見された際には、情報の可視化が可能です。同じく、AWSの公式で解説されている事例を引用します。

引用：Analyzing finding groups

画像のように、複数の異常についてどのような関連性があるかを直感的な関係図で示してもらえます。この事例であれば、中心となる問題に対して、どのような異常が発生しどこからの攻撃が疑われるかなどを関連させて表示しているのです。

なお、可視化はアップデートが続けられていて、現在は4種類から選択できるようになりました。それぞれの特徴があるため、実際に利用する際は比較してみると良いでしょう。