結論
Amazon GuardDuty は脅威を検知するサービス、Amazon Detective は検知後の事象を調査して原因や影響範囲を追いやすくするサービスです。
AWS Certified Cloud Practitioner では、両者を細かく実装レベルで覚えるよりも、「GuardDuty = 怪しい動きを見つける」「Detective = その後を調べる」と整理すると選択問題で判断しやすくなります。
まずは一目で比較
| 観点 | Amazon GuardDuty | Amazon Detective |
|---|---|---|
| 主な役割 | 脅威の検知 | 調査・原因分析 |
| 何をするか | AWS環境のログやデータソースを継続的に分析し、不審な挙動を見つける | 関連するユーザー、IP、AWSリソース、アクティビティのつながりを可視化して深掘りする |
| 出力のイメージ | Finding(検出結果) | 調査用の可視化、関連エンティティ、根本原因の分析材料 |
| 向いている問い | 「怪しいことは起きていないか?」 | 「何が起きたのか、誰が関係し、どこまで広がったのか?」 |
| 試験での覚え方 | 見つける | 調べる |
用語を短く整理
- 脅威検知:不正アクセスや異常な挙動など、セキュリティ上問題になりそうな動きを見つけること。
- Finding:GuardDuty などが出す「要注意イベント」の結果。試験では「検出結果」くらいの理解で十分です。
- 根本原因:なぜその問題が起きたのか、どのユーザー・IP・リソースが関係していたのかという原因のこと。
Amazon GuardDutyとは
Amazon GuardDuty は、AWS 公式ドキュメントでthreat detection serviceと説明されているサービスです。AWS環境内の各種データソースやログを継続的に監視・分析し、疑わしいアクティビティや悪意のある可能性がある挙動を見つけます。
たとえば、認証情報の不正利用、暗号資産の不正マイニング、マルウェアの存在、異常なログインパターンなどを検出対象として扱います。
また、GuardDuty は基本データソースとして CloudTrail 管理イベント、VPC Flow Logs、DNS ログなどを自動的に取り込みます。これは Cloud Practitioner の観点では「セキュリティ監視・脅威検知の代表サービス」と覚えるのが重要です。
Amazon Detectiveとは
Amazon Detective は、セキュリティに関する検出結果や疑わしいアクティビティについて、分析・調査・根本原因の特定を助けるサービスです。
公式ドキュメントでは、Detective はログデータを自動収集し、機械学習・統計分析・グラフ理論を使って可視化を生成すると説明されています。つまり、Detective 自体の中心的な価値は「新しい脅威をまず見つけること」ではなく、見つかった問題を調査しやすくすることにあります。
Cloud Practitioner レベルでは、Detective を「セキュリティ調査のための可視化・分析ツール」として理解しておくと十分です。
具体例で理解する
たとえば、ある IAM ユーザーの操作が怪しいとします。
- GuardDuty:その不審なAPI操作や異常なアクセスをもとに、問題がありそうだと検知して Finding を出す。
- Detective:その Finding を起点に、どのIPアドレスから来たのか、他にどのリソースへ触っているか、似た挙動がいつから起きているか、といった関連情報をたどりやすくする。
このため、役割分担としてはGuardDuty が警報、Detective が調査です。
両者の関係
GuardDuty と Detective は対立するサービスではなく、むしろ連携すると理解しやすい組み合わせです。AWS公式でも、Detective は GuardDuty の Finding を可視化し、関連エンティティの調査に役立つと説明されています。
そのため問題文で「脅威を見つけたい」のか、「検出後に詳細調査したい」のかを読み分けるのがポイントです。
試験での選び分け方
- 不審な挙動を自動検知したい → Amazon GuardDuty
- セキュリティイベントの原因や影響範囲を調べたい → Amazon Detective
- 検出結果に関連するユーザー・IP・リソースのつながりを見たい → Amazon Detective
- 継続的にAWS環境を監視したい → Amazon GuardDuty
間違えやすいポイント
- GuardDuty は調査サービスではない
GuardDuty は主に検知が役割です。詳細な調査や因果関係の分析は Detective の役割です。 - Detective は一次検知サービスとして覚えない
Detective は「怪しいかも」を知らせる中心サービスではなく、「怪しい事象を掘り下げる」サービスです。 - 両方とも Cloud Practitioner の試験範囲に含まれる
どちらも in-scope services に含まれています。ただし、試験では深い設定手順よりも、役割の違いを理解しているかが重要です。
覚え方
GuardDuty = Guard(見張る)
Detective = Detective(捜査する)
英単語のイメージ通りに覚えると、選択肢で迷いにくくなります。
試験対策として不確かな点の整理
(1) 確実に言えること
- AWS Certified Cloud Practitioner (CLF-C02) では Security and Compliance が出題領域に含まれています。
- Amazon GuardDuty と Amazon Detective は、どちらも Cloud Practitioner の in-scope services に含まれています。
- 公式ドキュメント上、GuardDuty は脅威検知サービス、Detective は調査・分析支援サービスとして説明されています。
(2) 推測
- 可能性が高いこととして、試験では「この要件ならどのサービスか」を問うサービス選択問題で GuardDuty と Detective の違いが問われやすいと考えられます。根拠は、試験ガイドに「一般的なユースケースに対してAWSサービスを識別する」趣旨の能力が含まれているためです。
(3) 不明点
- AWS は本試験で各サービスが何問出るか、どの表現で出るかまでは公開していません。そのため、GuardDuty と Detective の出題頻度や出題形式を断定することはできません。
参考URL(AWS公式)
- Cloud Practitioner Exam Guide (CLF-C02)
https://docs.aws.amazon.com/pdfs/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.pdf - In-Scope AWS Services for CLF-C02
https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/clf-02-in-scope-services.html - What is Amazon GuardDuty?
https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html - What is Amazon Detective?
https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html - Integrating with Amazon Detective
https://docs.aws.amazon.com/guardduty/latest/ug/detective-integration.html