この記事で分かること(AWS Certified Cloud Practitioner 直結)
AWSのセキュリティ系サービスは名称が似ていて混同しやすい一方、試験では「何をするサービスか(役割)」で問われます。この記事では、初学者でも判断できるように、代表的な5サービスを検知→調査→弱点発見→改善提案→集約という流れで整理します。
まず結論:5サービスの役割を1枚で整理
| サービス | 一言で | 得意分野 | 試験での典型ワード |
|---|---|---|---|
| Amazon GuardDuty | 脅威の検知 | 不審な動き(攻撃・侵害の兆候)を見つける | 「不正アクセスの兆候」「脅威検知」 |
| Amazon Detective | 調査の支援 | 検知結果の原因・影響範囲を追いやすくする | 「調査」「相関」「根本原因」 |
| Amazon Inspector | 脆弱性の発見 | OS/ソフトウェア/コンテナ等の脆弱性や露出を見つける | 「CVE」「脆弱性スキャン」 |
| AWS Trusted Advisor | 改善提案 | ベストプラクティス観点のチェック(セキュリティ含む) | 「コスト最適化/セキュリティ/制限」 |
| AWS Security Hub | 集約・可視化 | 複数サービスの検出結果を統合し優先度付け | 「一元管理」「Findings集約」 |
1) Amazon GuardDuty:脅威を「見つける」
GuardDutyは、AWSアカウントやワークロードに対する脅威の兆候(不審な挙動)を検知するサービスです。典型的には、API操作履歴やネットワーク挙動などから「いつもと違う」「攻撃にありがちなパターン」を検出します。
よくある試験シナリオ例
- 漏えいしたアクセスキーが海外から使われ、普段しない操作が連続した(=不審なAPI呼び出し)
- EC2が突然、未知の外部IPへ大量通信を始めた(=侵害/マルウェア/不正利用の兆候)
公式:https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html
2) Amazon Detective:検知後を「調べる」
Detectiveは、GuardDuty などで出てきた検知結果について、関連するリソース・アクティビティのつながりを追いやすくして、調査を支援します。試験では「検知(GuardDuty)と調査(Detective)の役割分担」を押さえるのが近道です。
例:GuardDutyのアラートが出た後の動き
- 「どのIAMユーザー/ロールが関与したか」を追う
- 「影響がどのリソースまで広がっているか」を把握する
- 「いつから異常が始まったか」を時系列で確認する
公式:https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html
3) Amazon Inspector:脆弱性を「見つける」
Inspectorは、ワークロードに潜む脆弱性(CVEなど)や露出リスクを発見するためのサービスです。試験では「攻撃を検知(GuardDuty)」と「弱点を見つける(Inspector)」を区別できると強いです。
例:典型的な指摘
- OSやミドルウェアのパッケージが古く、重大なCVEが残っている
- 外部公開されている資産に、既知の脆弱性があり「攻撃されやすい」状態になっている
公式:https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html
4) AWS Trusted Advisor:運用改善(ベストプラクティス)を「提案する」
Trusted Advisorは、AWS利用をベストプラクティス観点でチェックし、改善提案を提示します。メモにある通り、代表カテゴリは以下の5つです。
- コスト最適化(Cost Optimization):不要/過剰なリソースの見直し
- パフォーマンス(Performance):性能・スループット観点の改善
- セキュリティ(Security):危険な設定の発見(例:過度な公開、MFAなど)
- 耐障害性(Fault Tolerance):単一障害点の回避など
- サービス制限(Service Limits):クォータ/上限への接近を検知
試験でよくある言い換え
- 「ベストプラクティスに従っているか確認したい」→ Trusted Advisor
- 「サービス上限に近いので警告が欲しい」→ Trusted Advisor(Service Limits)
公式:https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html
5) AWS Security Hub:結果を「集約して全体管理する」
Security Hubは、複数のAWSサービスや対応製品のセキュリティ検出結果(Findings)を一元的に集約・可視化するハブです。試験では「セキュリティイベント/指摘が各所に散らばる問題」をまとめる役として出題されがちです。
例:こんな要件ならSecurity Hub
- 複数サービスのセキュリティ指摘を1か所で見たい
- 重要度順に並べて、対応の優先順位を付けたい
- セキュリティの状態を継続的にモニタしたい
公式:https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html
試験で迷わない「選び方」:キーワードで瞬時に決める
- 不審な挙動・攻撃の兆候を検知 → Amazon GuardDuty
- 検知後の調査(関連・時系列・影響範囲) → Amazon Detective
- 脆弱性(CVEなど)を見つけたい → Amazon Inspector
- ベストプラクティスのチェック(コスト/性能/制限/耐障害/セキュリティ) → AWS Trusted Advisor
- 検出結果を統合して一元管理したい → AWS Security Hub
ミニケースで理解:1つの事故を5サービスで分担するとこうなる
例:外部からの攻撃でサーバーが不審な通信を始めたケース
- GuardDuty:不審な通信や操作の兆候を検知
- Detective:関連リソースやアクティビティをつないで調査を支援
- Inspector:侵入口になり得る脆弱性(未パッチなど)を発見
- Trusted Advisor:公開範囲やMFA等、運用・設定の改善点を指摘
- Security Hub:各サービスのFindingsを集約し、優先順位付けして全体管理
(必須要件)不確かな点の扱い
(1) 確実に言えること
- GuardDutyは脅威検知、Detectiveは調査支援、Inspectorは脆弱性発見、Trusted Advisorはベストプラクティスチェック、Security Hubは検出結果の集約・可視化という役割分担で整理できる。
- 上記の役割はAWS公式ドキュメント上のサービス説明と整合している(各セクションの公式URL参照)。
(2) 推測(確度と根拠)
- Inspectorの「対象リソースの範囲」は、機能追加や世代(サービスの進化)により拡張されることがあるため、試験では「脆弱性を発見するサービス」として押さえつつ、対象の詳細は最新ドキュメントで確認するのが安全(確度:高、根拠:サービスは継続的にアップデートされるため)。
(3) 不明点(追加で確認すべき点)
- 受験時点の試験範囲として、Inspectorが具体的にどのワークロード(例:特定の実行環境)までを対象に含むと問われるかは、試験バージョンや出題意図で揺れる可能性があるため、公式ドキュメントと試験ガイドの最新情報を確認する。
公式一次情報(学習の起点)
- AWS Certified Cloud Practitioner:https://aws.amazon.com/certification/certified-cloud-practitioner/
- Amazon GuardDuty:https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html
- Amazon Detective:https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html
- Amazon Inspector:https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html
- AWS Trusted Advisor:https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html
- AWS Security Hub:https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html