AWS のセキュリティ系サービスを「何をしたいか」で整理してみた
はじめに
こんにちは。クラスメソッドオペレーションズの目取眞です。
AWS のセキュリティ系サービスはたくさんあり、勉強していてかなり混乱してきたのでまとめてみました。セキュリティ系は複数の役割を持つサービスが多く、サービス種別で分けようとすると境目が曖昧になりがちです。そこで今回は「何をしたいか」というユースケース軸で、なるべく直感的に整理してみます。
なお、CloudWatch・CloudTrail など監視・ログ系のサービスや、セキュリティ以外の用途でも幅広く使われる汎用サービスは本記事では取り上げていません。
よければ前回の記事 AWS Certified CloudOps Engineer(SOA-C03)の混乱しがちなサービスを整理してみた もあわせてご覧ください。
1. 侵入・攻撃を防ぐ
外からの攻撃やアクセスをブロックしたいときに使うサービスです。
| サービス | 一言説明 |
|---|---|
| WAF | SQL インジェクション・ XSS などの L7 攻撃から Web アプリを守る |
| Shield | 大量トラフィックによる DDoS 攻撃を防ぐ |
| Network Firewall | 特定の IP アドレスやポートのブロックや侵入検知など、 VPC レベルでトラフィックをフィルタリングする |
| Route 53 Resolver DNS Firewall | 悪意のあるドメインへの DNS クエリをブロックする |
| Firewall Manager | 複数アカウントにまたがるセキュリティポリシーを一元管理・自動適用する |
Shield の Standard と Advanced
| プラン | 概要 |
|---|---|
| Shield Standard | 無料。すべての AWS ユーザーに自動適用 |
| Shield Advanced | 有料。高度な DDoS 防御+コスト保護+サポートチームへのアクセス |
2. データ・通信を守る
保存データや通信を暗号化・保護したいときに使うサービスです。
| サービス | 一言説明 | 扱うもの |
|---|---|---|
| KMS | 暗号化キーの作成・管理 | 暗号化キー |
| Secrets Manager | シークレットの安全な保存・自動ローテーション | DB パスワード・ API キーなど |
| ACM | SSL/TLS 証明書の発行・管理 | HTTPS 用の証明書 |
| CloudHSM | 厳格なコンプライアンス要件がある場合に使う、専用ハードウェアで暗号化キーを管理する | 暗号化キー |
3. 異常・脅威を検知・スキャンする
システムの異常や脅威をリアルタイムで検知したいときに使うサービスです。
| サービス | 一言説明 | 何を見るか |
|---|---|---|
| GuardDuty | 脅威を自動検知する | VPC フローログ・ CloudTrail・DNS ログなど |
| Inspector | 脆弱性を自動スキャンする | EC2 インスタンス・ ECR のコンテナイメージ・ Lambda 関数など |
| Macie | S3 バケット内をスキャンし、個人情報などの機密データを自動検出する | S3 バケット内のデータ |
4. 脅威を調査・把握する
検知した脅威の原因を深掘りしたり、セキュリティ状況を全体的に把握したいときに使うサービスです。
| サービス | 一言説明 |
|---|---|
| Detective | GuardDuty が検知した脅威を深掘り調査する |
| Security Hub | 各サービスの検出結果を集約して一元管理する |
5. 権限・設定を見直す
権限やセキュリティ設定が適切かどうか確認・見直したいときに使うサービスです。
| サービス | 一言説明 |
|---|---|
| IAM Access Analyzer( IAM のアクセス分析機能) | IAM ポリシーやリソースのアクセス設定を分析し、意図しない外部公開や未使用の権限などを検出する |
| IAM Access Advisor( IAM のアクセス履歴確認機能) | IAM ユーザーやロールが最後にどの AWS サービスへアクセスしたかを確認し、使っていない権限を減らすために活用する |
| AWS Config | リソースの設定変更を追跡し、コンプライアンスルールへの準拠を確認 |
| Artifact | AWS のコンプライアンスレポートをダウンロード |
まとめ
| やりたいこと | サービス |
|---|---|
| 侵入・攻撃を防ぐ | WAF / Shield / Network Firewall / Route 53 Resolver DNS Firewall / Firewall Manager |
| データ・通信を守る | KMS / Secrets Manager / ACM / CloudHSM |
| 異常・脅威を検知・スキャンする | GuardDuty / Inspector / Macie |
| 脅威を調査・把握する | Detective / Security Hub |
| 権限・設定を見直す | IAM Access Analyzer / IAM Access Advisor / AWS Config / Artifact |
「なんとなく違いがわかった」状態になっていただけたでしょうか?
引き続き混乱しがちな AWS サービスをざっくり整理する記事を書いていきたいと思っています。これからもよろしくお願いします!
参考リンク
- AWS WAF ドキュメント
- AWS Shield ドキュメント
- AWS Network Firewall ドキュメント
- Route 53 Resolver DNS Firewall ドキュメント
- AWS Firewall Manager ドキュメント
- AWS KMS ドキュメント
- AWS Secrets Manager ドキュメント
- AWS Certificate Manager ドキュメント
- AWS CloudHSM ドキュメント
- Amazon GuardDuty ドキュメント
- Amazon Inspector ドキュメント
- Amazon Macie ドキュメント
- Amazon Detective ドキュメント
- AWS Security Hub ドキュメント
- IAM Access Analyzer ドキュメント
- IAM Access Advisor ドキュメント
- AWS Config ドキュメント
- AWS Artifact ドキュメント
クラスメソッドオペレーションズ株式会社について
クラスメソッドグループのオペレーション企業です。
運用・保守開発・サポート・情シス・バックオフィスの専門チームが、 IT・AI をフル活用した「しくみ」を通じて、お客様の業務代行から課題解決や高付加価値サービスまでを提供するエキスパート集団です。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、クラスメソッドオペレーションズ株式会社 コーポレートサイトをぜひご覧ください。
※2026 年 1 月 アノテーション㈱から社名変更しました。
