セキュリティ調査を効率化するAmazon Detectiveとは?活用方法を解説
近年、クラウド環境に対するサイバー攻撃は巧妙かつ高度になり、従来の防御策や単純なアラート通知だけでは十分に対応しきれないケースが増えています。アラート発生後に原因や影響範囲を素早く把握し、適切に対応する能力が、セキュリティ体制の要として重要です。
AWSでは、アラートの原因や関連リソースの動きを視覚的に追跡できる調査支援ツールとして「Amazon Detective」を提供しています。本記事では、Amazon Detectiveの概要、活用方法、他のAWSセキュリティサービスとの連携方法や料金体系について解説します。AWS環境におけるセキュリティ調査を効率化したい方は、ぜひ参考にしてください。
この記事の目次
Amazon Detectiveとは
Amazon Detectiveは、AWS上で発生したセキュリティイベントの背景調査を効率化するマネージドサービスです。
AWS CloudTrail ログやAmazon VPC フローログ、Amazon GuardDutyの検出結果などのデータソースから情報を収集し、機械学習やグラフ理論を用いて関連リソース同士のつながりを可視化します。これにより、アラートの発生源や影響範囲を直感的に把握でき、調査にかかる時間と手間を大幅に削減することが可能です。
AWS環境におけるセキュリティインシデントへの対応力を高めたい企業にとって、有効な支援ツールといえます。
Amazon Detectiveの活用方法
Amazon Detectiveは、主に以下のような活用方法があります。
アラート分析
AWS環境で発生したアラートに対して迅速かつ詳細な調査を可能にします。たとえば、GuardDutyなどで不審なアクティビティが検出された場合、アラート画面からワンクリックでDetectiveに遷移し、詳細な相関関係を視覚的に確認できます。該当ユーザーやIPアドレス、リソースのアクティビティ履歴をグラフで表示し、攻撃の流れや影響範囲を直感的に把握することが可能です。
インシデント調査
AWS環境で発生したセキュリティインシデントに対して、関連するリソースやアクティビティを横断的に調査できます。たとえば、不審なIAMユーザーによる操作や、異常な通信元IPからのアクセスがあった場合、そのユーザーの行動履歴や関与したリソースを時系列で確認し、影響範囲を明らかにします。
影響を受けたリソース同士の関係をグラフで視覚化したり、生成AIが検出結果の自動要約や自然言語での解説を提供したりすることで、調査の効率と精度を高めることが可能です。
スレットハンティング
明確なアラートが出ていない段階でも、潜在的なリスクを能動的に探る「スレットハンティング」にも活用できます。通常とは異なるAPIの使用や不審な通信パターン、位置情報の異常などをもとに、潜在的な脅威や不正アクセスを早期に検知可能です。
エンティティごとのプロファイルやアクティビティ履歴も参照できるため、特定のIAMユーザーやIPアドレスに関連する詳細な動きや傾向を把握しやすく、サイバー攻撃の手法や挙動を体系化したMITRE ATT&CKフレームワークに基づいた分析もサポートします。
他のAWSセキュリティサービスとの連携
Amazon Detectiveは、他のAWSセキュリティサービスと連携することで、セキュリティインシデントの検出から調査、対応までのプロセスを効率化します。
Amazon GuardDutyとの連携
Amazon GuardDutyは、AWS環境における不審な動作や脅威の兆候を自動で検出するサービスです。Amazon Detectiveと連携することで、GuardDutyのアラートから「Detectiveで調査」ボタンを通じて直接詳細分析を行えます。両者を組み合わせることで、検出から調査への流れがシームレスになり、より精度の高いセキュリティ運用を実現できます。
Amazon GuardDutyについては以下の記事をご確認ください。
ベアサポートブログ|Amazon GuardDutyとは?AWS環境の脅威検出サービスを解説
AWS Security Hubとの連携
AWS Security Hubは、複数のAWSセキュリティサービスの検出結果(Findings)を集約し、統合的に管理するプラットフォームです。Amazon Detectiveと統合することで、Security Hubに表示されるFindingsから直接調査に移行でき、異常の原因や相関関係を深掘りできます。全体のセキュリティ状況を俯瞰しつつ、必要に応じてピンポイントでの分析が可能になります。
AWS Security Hubについては以下の記事をご確認ください。
ベアサポートブログ|AWS Security Hubとは? 機能や料金、使用時の注意点を解説
AWS CloudTrailやAmazon VPC フローログとの連携
Amazon Detectiveは、CloudTrail ログやVPC フローログなどからデータを自動で収集・分析します。AWS CloudTrailのAPI呼び出し履歴やAmazon VPCの通信ログをもとに、インシデント前後のアクティビティを時系列でたどることができ、異常行動の背景や影響リソースを特定するのに役立ちます。これにより、アラートの背後にある全体像の可視化が可能です。
AWS Cloudtrailについて詳しくは以下の記事をご確認ください。
ベアサポートブログ|AWS CloudTrailとは? AWS上の証跡を残す方法を解説
Amazon Detectiveの料金体系
Amazon Detectiveは、使用した分だけ料金を支払う従量課金制で、インスタンス数や期間に関係なく、取り込まれたデータ量(GB単位)に応じて料金が発生します。対象となるのは、CloudTrail、Amazon VPC フローログ、Amazon GuardDutyの検出結果などから取り込まれるログデータです。
料金はアカウント/リージョン/月ごとに集計され、1GBあたりの単価はリージョンによって異なります。2025年時点の東京リージョンの料金は以下の通りです。
| 最初の 1,000 GB/アカウント/リージョン/月 | USD 2.70/GB |
| 次の 4,000 GB/アカウント/リージョン/月 | USD 1.35/GB |
| 次の 5,000 GB/アカウント/リージョン/月 | USD 0.68/GB |
| 10,000 GB 以上/アカウント/リージョン/月 | USD 0.34/GB |
30日間の無料トライアルも提供されているため、実際の分析フローを試してから本格導入を検討することもできます。
詳しくは以下をご覧ください。
Amazon Detective の料金 – AWS
まとめ
Amazon Detectiveは、AWS環境におけるセキュリティイベントの調査を効率化するためのマネージドサービスです。ただし、あくまで相関分析支援ツールであり、アラートを出す機能はありません。そのため、今回紹介したようなAWSの他のセキュリティサービスと組み合わせて活用することが重要です。
AWS環境のセキュリティ運用に課題を抱えている場合は、専門家への相談もおすすめです。インフラ運用に関わるすべてをサポートするベアサポートへぜひご相談ください。
インフラ運用を24時間365日サポート|ベアサポート
