2024年12月1日、Amazon Web Services(AWS)は、マネージド脅威検出サービスであるAmazon GuardDutyに新たな機能「GuardDuty Extended Threat Detection」を追加したことを発表しました。この新機能により、AWSアカウント、ワークロード、データを標的とする高度なマルチステージ攻撃を特定しやすくなります。
GuardDuty Extended Threat Detectionの概要
GuardDuty Extended Threat Detectionは、人工知能(AI)と機械学習(ML)アルゴリズムを活用し、AWSサービス全体からのセキュリティシグナルを自動的に相関させることで、重大な脅威を検出します。これにより、例えば認証情報の漏洩に続くデータの不正持ち出しなどの攻撃シーケンスを単一の重大度の高い検出結果として提示します。検出結果には、インシデントの概要、詳細なイベントタイムライン、MITRE ATT&CK®の戦術と技術へのマッピング、修復の推奨事項が含まれます。
想定される利用用途
- クラウドセキュリティの強化: AWS環境内での複雑な攻撃パターンを迅速に検出し、セキュリティチームが効果的に対応できるよう支援します。
- コンプライアンス遵守: 高度な脅威検出機能により、PCI DSSなどのセキュリティ基準への適合をサポートします。
- 自動化された脅威対応: Amazon EventBridgeやAWS Lambdaとの連携により、検出された脅威に対する自動対応を実現します。 AWS
メリット
- 高度な脅威検出: AIとMLを活用し、複数のリソースやデータソースにわたる攻撃シーケンスを効果的に特定します。
- 迅速な対応: 詳細なインシデント情報と修復推奨により、セキュリティチームの迅速な対応を支援します。
- コスト効率: 既存および新規のGuardDutyユーザーは、追加費用なしでこの機能を利用できます。
デメリット
- 学習曲線: 新機能の効果的な活用には、セキュリティチームのトレーニングが必要となる場合があります。
- AIとMLアルゴリズムの精度は、提供されるデータの質に依存します。
まとめ
Amazon GuardDutyの拡張脅威検出機能は、AWS環境におけるセキュリティ対策を大幅に強化します。AIとMLを活用した高度な脅威検出により、複雑な攻撃パターンを迅速に特定し、セキュリティチームの対応力を向上させます。既存のGuardDutyユーザーは追加費用なしでこの機能を利用できるため、コスト効率の面でも優れています。ただし、新機能の効果的な活用には適切なトレーニングが必要となる場合があるため、導入前に検討することをおすすめします。
公式サイトはこちら: Amazon GuardDutyの新機能について
