はじめに
AWS Certified Cloud Practitioner では、AWS の代表的なセキュリティサービスの役割を大づかみで理解しているかが問われます。その中でも混同しやすいのが Amazon GuardDuty と Amazon Inspector です。
この2つはどちらもセキュリティに関する「検出結果(findings)」を出すサービスですが、役割は同じではありません。結論から言うと、GuardDuty は脅威検出、Inspector は脆弱性管理 です。まずはこの違いを押さえることが、試験対策でも実務理解でも重要です。
最初に結論:何が違うのか
| 項目 | Amazon GuardDuty | Amazon Inspector |
|---|---|---|
| 中心となる役割 | 脅威検出 | 脆弱性管理 |
| 何を見るか | 不審な挙動、悪意のある可能性があるアクティビティ | ソフトウェア脆弱性、意図しないネットワーク露出 |
| 主な対象 | AWS アカウント、ワークロード、S3、EKS、EC2、ECS、Lambda、RDS などの保護対象 | EC2、ECR、Lambda など |
| 典型例 | 不審な API コール、認証情報の不正利用、異常な通信、データ引き出しの兆候 | CVE、OS やライブラリの脆弱性、コンテナイメージの脆弱性、ネットワーク到達可能性 |
| 試験での覚え方 | 「攻撃や侵害の兆候を見つける」 | 「攻撃されやすい弱点を見つける」 |
GuardDutyとは何か
Amazon GuardDuty は、AWS 環境内のデータソースとログを継続的にモニタリングし、脅威インテリジェンスや機械学習を用いて、疑わしいアクティビティや悪意のある可能性がある挙動を検出するサービスです。
GuardDuty の理解で重要なのは、「何かおかしなことが起きていないか」を見つけるサービスだという点です。つまり、設定ミスや未修正の脆弱性そのものを洗い出すというより、実際の攻撃兆候や不審な行動の検知に強いサービスです。
GuardDuty が見る代表的なもの
- 不審な API 呼び出し
- 盗難・漏えいした可能性がある認証情報の利用
- 悪意のある IP やドメインとの通信
- S3 に対する異常なデータ引き出しや破壊の兆候
- EC2 やコンテナワークロードでの不正な挙動
- RDS ログインアクティビティの異常パターン
GuardDuty のイメージ
たとえば、ある IAM ユーザーやロールの認証情報が漏えいし、普段と違うリージョンや不自然なパターンで API が実行された場合、GuardDuty はそれを脅威の兆候として検出できます。
また、S3 保護機能では Amazon S3 の CloudTrail データイベントを監視し、データの引き出しや破壊につながる異常な操作を見つけられます。さらに Malware Protection for S3 を使うと、選択したバケットに新しくアップロードされたオブジェクトを自動でスキャンできます。
Inspectorとは何か
Amazon Inspector は、AWS リソースを自動検出し、継続的にスキャンして、ソフトウェア脆弱性や意図しないネットワーク露出を見つける脆弱性管理サービスです。
Inspector の理解で重要なのは、「今すぐ怪しい挙動があるか」ではなく、「攻撃される原因になりそうな弱点があるか」を見るサービスだという点です。
Inspector が見る代表的なもの
- EC2 上の OS やプログラミング言語パッケージの脆弱性
- ECR に保存されたコンテナイメージの脆弱性
- Lambda 関数やレイヤーの脆弱性
- ネットワーク到達可能性の問題
- コード脆弱性(対応機能を有効化した場合)
Inspector のイメージ
たとえば EC2 インスタンスに、既知の CVE を持つパッケージがインストールされていた場合、Inspector はそれを検出結果として出します。ECR のコンテナイメージや Lambda 関数についても、自動検出と継続スキャンによって脆弱性を見つけられます。
GuardDuty と Inspector の違いを具体例で理解する
例1:EC2 に古いライブラリが残っている
この場合に中心になるのは Inspector です。理由は、問題の本質が「脆弱性の存在」にあるからです。攻撃が起きたかどうかではなく、攻撃される可能性を高める弱点を見つける場面です。
例2:EC2 から不審な外部通信が発生している
この場合に中心になるのは GuardDuty です。理由は、問題の本質が「不審な挙動の検知」にあるからです。たとえば悪意ある IP との通信や異常な振る舞いは、GuardDuty が得意とする領域です。
例3:ECR のコンテナイメージに既知の CVE が含まれている
これは Inspector です。ECR イメージの継続的な脆弱性スキャンは、Inspector の代表的な用途です。
例4:S3 で異常なデータ引き出しが起きている
これは GuardDuty です。S3 Protection により、Amazon S3 の CloudTrail データイベントを監視し、データ引き出しや破壊などのリスクを検知できます。
例5:S3 にアップロードされたファイル自体にマルウェアが含まれている可能性を調べたい
これは GuardDuty の Malware Protection for S3 に関係する機能です。GuardDuty は「脅威検出サービス」という大枠の中で、S3 に新しくアップロードされたオブジェクトのマルウェアスキャンも提供しています。
試験で間違えやすいポイント
1. 両方とも findings を出すので同じに見えやすい
両方ともセキュリティ上の問題を findings として通知しますが、意味は異なります。GuardDuty の findings は「脅威の兆候」に近く、Inspector の findings は「脆弱性や露出」に近いものです。
2. GuardDuty を脆弱性スキャナだと思ってしまう
GuardDuty は脆弱性の一覧を作るサービスではありません。ログやイベント、各種保護データをもとに、脅威と思われる活動を検知するサービスです。
3. Inspector を侵入検知サービスだと思ってしまう
Inspector は侵入そのものを検知するサービスではなく、侵入につながる弱点や露出を継続的にスキャンするサービスです。
Cloud Practitioner 試験向けの覚え方
- GuardDuty:脅威検出。怪しい行動、異常なアクティビティ、不正利用の兆候を見つける。
- Inspector:脆弱性管理。CVE やネットワーク露出など、攻撃されやすい弱点を見つける。
問題文に「不審な API コール」「悪意のある通信」「認証情報の不正利用」などが出てきたら GuardDuty を疑いやすく、「脆弱性」「継続スキャン」「CVE」「コンテナイメージ」「ネットワーク到達可能性」などが出てきたら Inspector を考えると整理しやすくなります。
実務での関係
この2つは競合するサービスというより、役割が異なる補完関係にあります。Inspector で弱点を減らし、GuardDuty で不審な挙動を検知する、という考え方が自然です。さらに、両方の findings を AWS Security Hub に集約して一元的に確認する構成もよく使われます。
まとめ
GuardDuty と Inspector の違いは、次の一文で整理できます。
- Amazon GuardDuty:攻撃や侵害の兆候を検知するサービス
- Amazon Inspector:脆弱性や意図しない露出を見つけるサービス
Cloud Practitioner 試験では、細かな設定手順よりも「何を目的に使うサービスか」を見分けられることが重要です。まずは GuardDuty = 脅威検出、Inspector = 脆弱性管理 を確実に覚えておくと、関連問題に強くなります。