【CLF-C02】Inspector・GuardDuty・Macieの違いを図解|検知と監査サービスの使い分け

セキュリティとコンプライアンス Inspector GuardDuty Macie CLF-C02 AWS資格の森 クラウドプラクティショナー(CLF)
無料CLF-C02 ドメイン2:セキュリティとコンプライアンス|Inspector・GuardDuty・Macie・Detectiveの違い、CloudTrail・CloudWatch・Configの使い分けを、図と4択クイズでやさしく整理します。

AWS認定 クラウドプラクティショナー(CLF-C02)で配点最大級のドメイン2(30%)責任共有モデルIAMに続く3つ目のテーマが、このセキュリティ・ガバナンス・コンプライアンスです。ここは似た名前のサービスが大量に登場し、「Inspector・GuardDuty・Macie・Detectiveの違い」や「CloudTrail・CloudWatch・Configの違い」が試験の最頻出ポイント。名前で丸暗記せず、「何を見張る道具か」で整理すれば一気に解けるようになります。全体像は CLF対策トップ へ。

AWSセキュリティの4本柱:コンプライアンス情報(Artifact)・暗号化・脅威の検知・記録と監査でデータを守ることを示す図
図:AWSのセキュリティは「コンプライアンス情報」「暗号化」「脅威の検知」「記録と監査」の4本柱でデータを守ります。

ガバナンスとコンプライアンス:AWS Artifactで“証明書”を入手

まず用語から。ガバナンスは「組織のルールを決めて守らせる仕組み」、コンプライアンスは「法律や業界基準(ルール)を守れている状態」を指します。AWSは世界中のコンプライアンス認証(ISO・SOC・PCI DSSなど)を取得しており、その監査レポートや証明書をダウンロードできる窓口が AWS Artifact です。

AWS Artifact=コンプライアンス書類の窓口
「監査で第三者機関にAWSの認証書を提出したい」——そんなとき、公式レポートをセルフサービスで入手できる無料サービスがArtifactです。コンプラ情報がほしい=Artifact、と覚えれば試験は十分。

なお、どのコンプライアンス要件が関係するかはサービスや業界ごとに異なります(医療・金融など)。AWS全体の準拠状況は「AWS Compliance(コンプライアンスプログラム)」として公開されています。

暗号化:転送中と保存時、両方を守る

クラウドセキュリティの強力な武器が暗号化。データを「読めない形」に変換し、盗まれても中身を守ります。試験では2つの状態の区別が問われます。

  • 転送中の暗号化(in transit):ネットワークを流れるデータを守る(例:HTTPS/TLS)。証明書は AWS Certificate Manager(ACM) で管理
  • 保存時の暗号化(at rest):ディスクに保存されたデータを守る(例:S3やEBSの暗号化)。暗号鍵は AWS KMS(Key Management Service) で管理

ポイント:「動いているデータ=転送中」「止まっているデータ=保存時」。鍵の管理はKMS、通信の証明書はACM、とセットで押さえましょう。より強固な専用ハードウェアが必要なら AWS CloudHSM もあります。

脅威を“検知”するサービス群:Inspector・GuardDuty・Macie・Detective

ここが本記事の山場。4つの検知サービスは「何を見張るか」がそれぞれ違います。役割で覚えるのがコツです。

4つの検知サービスの役割:Inspectorは脆弱性の検査、GuardDutyは脅威の検知、Macieは個人情報の発見、Detectiveは原因の調査を担当することを示す図
図:Inspector=脆弱性の検査、GuardDuty=脅威の検知、Macie=個人情報の発見、Detective=原因の調査。「何を見張るか」で区別します。
サービス 何をする? ひとことで
Inspector EC2やコンテナの脆弱性(弱点)を自動スキャンする 弱点の健康診断
GuardDuty ログを分析し不審な動き(脅威)を検知する見張り番 脅威の監視カメラ
Macie S3の中の個人情報(名前・カード番号など)を発見する 個人情報の探知機
Detective 検知後、原因を深掘り調査する(探偵役) 事件の原因調査
Security Hub 上の検知結果を1画面に集約する司令塔 まとめダッシュボード
Shield DDoS攻撃(大量アクセスでダウンさせる攻撃)を防御 DDoSの盾

覚え方:Inspector=内側の弱点さがしGuardDuty=外からの脅威さがしMacie=S3の個人情報さがしDetective=起きた後の原因さがしSecurity Hubはそれらを束ねる画面、Shieldだけは検知ではなくDDoS防御と役割が違います。

記録して“監査”するサービス群:CloudTrail・CloudWatch・Config

もう1つの頻出混同ペアがこれ。「誰が何をしたか」「元気に動いているか」「設定はどう変わったか」——見ている対象が違います。

記録と監査の3サービス:CloudTrailは誰が何をしたかの操作記録、CloudWatchは稼働状況の監視、Configは設定変更の追跡を担当することを示す図
図:CloudTrail=誰が何をしたかの「操作記録」、CloudWatch=稼働状況の「監視」、Config=設定変更の「追跡」。
サービス 見ているもの 答える質問
CloudTrail 操作の記録(API・誰がいつ何をしたか) 「誰がこれを消した?」
CloudWatch 稼働状況の監視(CPU・メトリクス・アラーム・ログ) 「今ちゃんと動いてる?」
Config 設定・構成の変化(いつどう変わったか・ルール準拠) 「設定が勝手に変わった?」
Audit Manager 監査レポートの作成を自動化(証拠集めを効率化) 「監査の証拠をまとめて」

覚え方:CloudTrail=「誰が」の操作ログCloudWatch=「元気か」の監視(Watch=見張る)、Config=「設定の変化」の追跡。監査の証拠づくりをまとめて自動化したいときは Audit Manager です。ちなみにログの多くはS3やCloudWatch Logsに保存され、後から検索・分析できます。

確認クイズ

Q1. AWSのコンプライアンス監査レポートや認証書を、セルフサービスでダウンロードできるサービスはどれですか?

A. Amazon GuardDuty
B. AWS Artifact
C. Amazon CloudWatch
D. AWS Shield

Q2. S3バケットに保存されたデータの中に、クレジットカード番号などの個人情報が含まれていないかを自動で発見したい。最適なサービスは?

A. Amazon Inspector
B. Amazon GuardDuty
C. Amazon Macie
D. Amazon Detective

Q3. 「先週、誰がこのリソースを削除したのか」を後から調べたい。操作の記録を残しているサービスは?

A. AWS CloudTrail
B. Amazon CloudWatch
C. AWS Config
D. AWS Artifact

Q4. データベースに保存する「保存時(at rest)の暗号化」で、暗号鍵の作成・管理に使う中心的なサービスは?

A. AWS WAF
B. AWS KMS(Key Management Service)
C. Amazon GuardDuty
D. AWS Config

よくある質問(FAQ)

Q. GuardDutyとInspectorはどう違いますか?

A. GuardDutyは「外からの不審な動き(脅威)」をログから検知する見張り番、Inspectorは「サーバー内部の弱点(脆弱性)」をスキャンする健康診断です。脅威=GuardDuty/弱点=Inspectorと覚えると混同しません。

Q. CloudTrailとCloudWatchの違いは?

A. CloudTrailは「誰が何をしたか」の操作記録(監査証跡)、CloudWatchは「ちゃんと動いているか」の稼働監視(CPUなどのメトリクスやアラーム)です。名前の通りCloudWatchは“見張る”=監視、と結びつけましょう。

Q. 転送中と保存時の暗号化、両方必要ですか?

A. はい、両方が基本です。通信経路を守る「転送中(HTTPS/TLS・ACM)」と、保存データを守る「保存時(S3/EBSの暗号化・KMSの鍵)」は守る場所が違うため、セットで対策します。

まとめ

  • コンプライアンス書類=AWS Artifact(監査レポート・認証書の窓口)
  • 暗号化は転送中(ACM)+保存時(KMS)の両方で守る
  • 検知は役割で区別:Inspector=弱点/GuardDuty=脅威/Macie=S3の個人情報/Detective=原因調査、ShieldはDDoS防御
  • 監査は対象で区別:CloudTrail=操作記録/CloudWatch=稼働監視/Config=設定変更
🎯 次のステップ

※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。

コメント

タイトルとURLをコピーしました