Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ

Avatar for KintoTech_Dev KintoTech_Dev
August 06, 2025
Technology
0
15

Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ

Avatar for KintoTech_Dev

KintoTech_Dev

August 06, 2025
Tweet

More Decks by KintoTech_Dev

See All by KintoTech_Dev
トヨタグループ内製開発組織が追求する、カルチャー&技術両輪の生成AI活用推進 〜CloudWeGo/EinoによるAI Agent民主化事例紹介もあわせて紹介〜 Part#2
Avatar for KintoTech_Dev kintotechdev
0
18
トヨタグループ内製開発組織が追求する、カルチャー&技術両輪の生成AI活用推進 〜CloudWeGo/EinoによるAI Agent民主化事例紹介もあわせて紹介〜 Part#1
Avatar for KintoTech_Dev kintotechdev
0
22
生成AIを活用したPlaywrightでのテストデータ作成事例.pdf
Avatar for KintoTech_Dev kintotechdev
0
39
MobilityNight#3 マップビジュアライゼーション
Avatar for KintoTech_Dev kintotechdev
0
140
LLM アプリケーション のためのクラウドセキュリティ 〜CSPM の実装ポイント〜
Avatar for KintoTech_Dev kintotechdev
1
42
3ヶ月の生成AI研修結果とその後の取り組み 〜新たな境地:AXの本質とは?(前回のAI Leaders Connect #2のピッチ続編))
Avatar for KintoTech_Dev kintotechdev
0
42
KTCにおける品質保証の取り組み
Avatar for KintoTech_Dev kintotechdev
0
1.2k
QA作業における生成AI活用事例
Avatar for KintoTech_Dev kintotechdev
0
170
マルチクラウド環境におけるクラウドセキュリティの工夫と実践
Avatar for KintoTech_Dev kintotechdev
1
530

Other Decks in Technology

See All in Technology
猫でもわかるQ_CLI(CDK開発編)+ちょっとだけKiro
Avatar for Hiroo Katoh kentapapa
0
3.2k
ソフトウェア開発プロジェクトでの品質管理への提案(温故知新)
Avatar for 大和田裕 yohwada
0
100
TypeScript 上達の道
Avatar for Kanon ysknsid25
23
5.2k
AI時代の知識創造 ─GeminiとSECIモデルで読み解く “暗黙知”と創造の境界線
Avatar for Yukinaga OISHI nyagasan
0
190
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
Avatar for Takashi Shinohara karamem0
0
290
データエンジニアがクラシルでやりたいことの現在地
Avatar for harry gappy50
3
840
dipにおけるSRE変革の軌跡
Avatar for ディップ株式会社 dip_tech
PRO
1
210
経理出身PdMがAIプロダクト開発を_ハンズオンで学んだ話.pdf
Avatar for Shunsuke Narita shunsukenarita
1
300
AIに全任せしないコーディングとマネジメント思考
Avatar for kichion kikuchikakeru
0
410
GMOペパボのデータ基盤とデータ活用の現在地 / Current State of GMO Pepabo's Data Infrastructure and Data Utilization
Avatar for Hiroka Zaitsu zaimy
3
180
Kiroから考える AIコーディングツールの潮流
Avatar for Oikon s4yuba
4
630
Claude Codeが働くAI中心の業務システム構築の挑戦―AIエージェント中心の働き方を目指して
Avatar for os1ma os1ma
9
1.5k

Featured

See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.6k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.9k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.8k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1k

Transcript

  1. Amazon GuardDuty での脅威検出: 脅威検出の実例から学ぶ KINTOテクノロジーズ株式会社 セキュリティ・プライバシー部 クラウドセキュリティグループ 桑原大輔

  2. 自己紹介 • 氏名 : 桑原 大輔(くわはら だいすけ) • 所属 :

    KINTOテクノロジーズ株式会社 (KTC) @Osaka Tech Lab クラウドセキュリティ グループ 兼 サイバーセキュリティ グループ • 業務 : 主に AWS や Google Cloud などの クラウドレイヤのセキュリティや SOC 業務を担当

  3. 01 02 03 04 Agenda クラウドを取り巻く脅威 Amazon GuardDuty とは 脅威検出の実例

    まとめ

  4. クラウド利用者はどの部分のセキュリティに ついて責任があるのか? 出典:https://pages.awscloud.com/rs/112-TZM-766/images/T1_AWS-Builders-Online-Series_2023-Q3_Presentation-Deck-Opening.pdf

  5. 日々発生するセキュリティ脅威の中で、 クラウド特有の脅威も多数ある 出典:https://threats.wiz.io/all-incidents

  6. AWS は、セキュリティ構成ミスや認証情報の漏洩といった リスクに対し、脅威アクターが悪用する代表的な手法や 攻撃パターンを公開している 出典:https://aws-samples.github.io/threat-technique-catalog-for-aws/

  7. AWS 環境内のセキュリティ脅威を検知する サービス:Amazon GuardDuty 出典:https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2025_Amazon-GuardDuty-Basic_0131_v1.pdf

  8. AWS 環境におけるログを継続的に分析し、機械学習や 異常検知技術を用いて脅威を自動的に検出・通知する 出典:https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2025_Amazon-GuardDuty-Basic_0131_v1.pdf

  9. [参考] KTC ではマルチクラウド環境であり、 サードパーティーの脅威検知サービスも活用 クラウド 仕組み データソース AWS • Amazon

    GuardDuty • AWS CloudTrail • VPC flow logs • DNS log • S3 CloudTrail データイベント Google Cloud • Sysdig Secure CDR (Cloud Detection and Response) • Cloud Audit Logs Azure • Sysdig Secure CDR (Cloud Detection and Response) • Azure アクティビティログ クラウドレイヤの 脅威検出 例 • クラウド環境内での不正な活動や不正アクセス、疑わしい行動 • 異常な API 呼び出しや、予期しないリソースの使用など • データの不正な流出 • クラウドストレージからの大量のデータ転送や、予期しない場所へのデータ転送 • 悪意ある IP アドレスからのアクセス • 脅威検知サービスが保有する悪意ある IP アドレスからのアクセス検知 • マルウェアの検出 • マルウェアや暗号通過マイニング活動の検知 • C&C サーバーとの通信の検知

  10. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled [実例]

    GuardDuty 検出結果 脅威種別ごとに分類し、割合をグラフ化 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

  11. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled AnomalousBehavior

    は、「異常な振る舞い」や「通常とは異な る行動」。この操作が業務上の正当な作業かどうかを確認する。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

  12. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled AnomalousBehavior

    の中でも S3 関連のアラートは、2 〜 3 カ月に一度の バッチ処理や分析作業などの非定常作業にて、アラートが発生しやすい 傾向あり。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

  13. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled Terraform

    で管理されている S3 バケットを削除すると、 仕様上アラートが必ず発生するが、これは正常な動作 で問題ない。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual バケット削除とセットに なっていれば問題なし

  14. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled CloudTrail

    “証跡” 設定を停止または削除した際に発生。 この操作が業務上の正当な作業かどうか、確認は必須。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

  15. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled Root

    でのアカウントサインインで発生。 この操作が業務上の正当な作業かどうか至急確認。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual

  16. まとめ クラウドの脅威検知サービスを活用することで、クラウド特有の脅威を含むクラウド環境全 体のセキュリティリスクを検知可能である。これは、どのクラウドサービスを利用する場合 においても、Must に近い要件と言える。 検知されたアラートの確認に際しては、各クラウドに関する技術的なスキルに加え、運用者 や開発者本人やその管理者への確認が不可欠なケースが大半を占める。そのため、運用者や 開発者と円滑に連携できる環境やコミュニケーション体制の整備が重要となる。 「この環境で何がどのように動いており、通常はどのような人員が関与しているのか」と いった情報を事前に把握しておくことで、アラートの切り分けをより迅速かつ高精度に行う

    ことが可能となる。

  17. We‘re hiring ! KINTOテクノロジーズ セキュリティ・プライバシー部では、 一緒に働く仲間を募集しています! (クラウドセキュリティ・サイバーセキュリティ・インフォメーションセキュリティ) 【クラウドセキュリティエンジニア(リーダー候補)】 クラウドセキュリティ G/東京・大阪

    【クラウドセキュリティエンジニア】 クラウドセキュリティ G/東京・大阪
  18. None