はじめに
AWS のセキュリティサービスは GuardDuty・WAF・Inspector・Config など多岐にわたり、
「どのサービスが何を担当しているのか?」が非常に分かりづらいと感じることがありました。
この記事では、AWS の主要なセキュリティサービスを次の観点で横断的に比較します。
- 各サービスの目的
- 検知 / 防御できること・できないこと
- 適用範囲(どの層を守るか)
- 費用が発生するポイント
- サービス同士の補完関係
- 多層防御の中での位置づけ
AWSセキュリティをこれから学び始める方や、
GuardDuty・Config・Inspector の違いを整理したい方の参考になれば幸いです。
セキュリティサービスの一覧
AWS には非常に多くのセキュリティ関連サービスがありますが、
この記事では特に実務で利用されることが多い以下の 8 サービスを対象に整理します。
- GuardDuty
- AWS WAF
- Amazon Inspector
- AWS Config
- AWS Security Hub
- AWS CloudTrail
- Shield
- Macie
※ IAM / セキュリティグループなどもセキュリティの一部ですが、本記事では対象外としています。
サービス比較表
上記サービスについて各項目でまとめてみました。
| 項目 | GuardDuty | AWS WAF | Amazon Inspector | AWS Config | AWS Security Hub | AWS CloudTrail | AWS Shield | Amazon Macie |
|---|---|---|---|---|---|---|---|---|
| 主な目的 | 脅威検知(侵入・不正通信) | Webアプリ層の攻撃防御(L7) | 脆弱性スキャン | 設定準拠性監査 | セキュリティ状態の集約管理 | API操作の完全記録 | DDoS防御(L3/L4) | S3の機密データ検出・分類 |
| 適用範囲 | AWSアカウント全体 | CloudFront / ALB / API Gateway | EC2 / ECR / Lambda | 全リソース(設定・ポリシー) | 各サービスの集約結果 | すべてのAWS APIコール | CloudFront / Route53 / ALB | S3 バケットのみ |
| 検知内容(できること) | 不審通信(C2等)/ IAM悪用 | SQLi / XSS / Bot対策 | OS/パッケージ脆弱性 | 設定変更検出(準拠性) | GuardDuty/Inspector などの結果集約 | 誰が何をしたか完全記録 | DDoS攻撃の自動検知 | 個人情報・機密データの自動検出 |
| 防御機能(できること) | ×(検知のみ) | 攻撃遮断 | 修正案提示のみ | ×(防御機能なし) | ×(防御機能なし) | × | 自動緩和(Advancedのみ) | ×(防御なし、検出のみ) |
| リアルタイム性 | ○(継続的にログ監視) | ◎(即時ブロック) | △(スキャン間隔依存) | △(変更検出時) | ○(連携元依存) | ○ | ◎(自動緩和は即時) | △(スキャン+分類処理) |
| 検知データのソース | Flow Logs / CloudTrail / DNS / EKS | HTTP/Sトラフィック | OS/パッケージ | リソース設定メタデータ | GuardDuty/Config/Inspector等 | すべてのAPIイベント | ネットワークトラフィック | S3オブジェクト内容 |
| アカウント単位の運用 | Organizations対応 | ルール単位 | Organizations対応 | Organizations対応 | 集約可 | 集約可 | Organizations対応 | Organizations対応 |
| 費用体系 | GB単位 | ルール数 | 対象リソース数 | ルール数 | 無料(連携結果のみ) | 無料(S3保管料別) | Standardは無料 / Advancedは月額+攻撃量課金 | スキャンデータ量課金 |
| できないこと(補完が必要) | Web防御・脆弱性診断 | IAM監査・脆弱性検知 | ネットワークレベル攻撃 | 不正アクセス検知 | 防御行為 | 防御行為 | アプリ層の攻撃防御(WAFで補完) | 脅威検知(GuardDutyで補完) |
| 代表的な利用例 | 不正操作・不審通信検知 | Webアプリ防御 | EC2/ECR脆弱性確認 | 構成の準拠性監査 | セキュリティの統合ビュー | 操作履歴管理 | 大規模DDoS対策 | S3の個人情報監査(PII検出) |
| 推奨運用 | SNS/Hub通知 → 自動化 | WAFルール最適化 | 定期スキャン | 定期レビュー | 各検出の可視化 | Athena分析 | WAFと併用 | S3バケットの定期スキャン |
補足:よくある誤解ポイント
AWS セキュリティを学び始めた際に、特に誤解しやすいポイントをまとめました。
❌ GuardDutyが攻撃をブロックしてくれる
→ GuardDuty は “検知専用”。遮断は Lambda / WAF 連携が必要。
❌ Inspectorが自動でパッチを当てる
→ SSM + Automation の組み合わせが必要。
❌ Config が自動修復してくれる
→ 自動修復は Lambda / SSM Automation を組み合わせた場合のみ。
❌ Security Hub が脅威を検知してくれる
→ Hub は「結果の集約ツール」。検知は GuardDuty / Inspector / Config などが実施
どの順番で AWS のセキュリティを有効化すべきか
多くのサービスがある中で「結局どれから有効化すべきか?」と悩んだため、
自分の理解整理も兼ねて最低限の優先度モデルを記載します。
AWS セキュリティを始める場合の推奨順序(参考モデル)
- CloudTrail(全アカウントで有効化 / S3 + Athena 分析)
- GuardDuty(Organizations 全体で統合管理)
- IAM Access Analyzer
- AWS Config + CIS Benchmark
- Amazon Inspector(EC2 / ECR / Lambda)
- AWS WAF(Web アプリがある場合)
- AWS Security Hub(全体統合ビュー)
※ 本モデルはあくまで参考です。環境規模・コスト・要件に応じて調整が必要です。
まとめ:セキュリティ層別の役割図
AWS セキュリティは単一サービスで完結するものではなく、
複数のサービスを組み合わせた “多層防御(Defense in depth)” が基本となります。
【外部トラフィック層】──▶ AWS WAF / Shield(L3/L4 DDoS防御)
│
【ネットワーク層】──▶ GuardDuty(VPC Flow Logs / DNS Logs)
│
【ホスト層(OS・アプリ)】──▶ Inspector(脆弱性診断)
│
【データ保護層】──▶ Macie(S3機密情報の検出)
│
【設定・構成層】──▶ AWS Config(構成監査)
│
【統合・監視層】──▶ Security Hub(全体リスク統合)
│
【操作監査層】──▶ CloudTrail(操作ログ)
今後、各サービスの具体的な設定方法や活用例も調べてまとめられそうでしたら、
別記事として整理していきたいと思います。