目次
AWS Security Incident Response v2.0 完全ガイド
24/7 AWS セキュリティインシデント対応支援サービス
AWS Security Incident Response は、セキュリティインシデント発生時に AWS Customer Incident Response Team(CIRT) による 24/7 の専門家支援を提供する有償サービスです。GuardDuty・Security Hub・Detective が自動検知した脅威に対して、AWS のセキュリティエンジニアが直接調査・検証・封じ込め・回復支援を実施し、MTTR(Mean Time To Recovery)を劇的に短縮します。インシデント対応プレイブック・フォレンジック分析ツール・自動隔離スクリプト等を提供し、セキュリティ体制が未成熟な組織や緊急対応が困難な業種(金融・医療・重要インフラ)の実装が必須です。2025年の新機能で OU メンバーシップ型対応・AI powered Investigation・Metered Pricing モデルにより、スケーラビリティと初期投資が大幅に改善されました。本ガイドは Incident Response のフロー・組織体制・統合ツール・コスト・運用リスク・導入判断基準を網羅した完全リファレンスです。
目次
- 概要と課題
- 主な特徴
- インシデント対応フロー
- コアコンポーネント
- CIRT サポート体制
- 統合ツール・プレイブック
- 主要ユースケース
- 設定・操作の具体例
- 類似サービス比較表
- ベストプラクティス
- トラブルシューティング
- 2025-2026 最新動向
- 学習リソース・参考文献
- 実装チェックリスト
- まとめ
概要と課題
インシデント対応の従来型課題
1. MTTR が長い(修復までに数日~数週間)
従来型フロー(課題あり):
CloudTrail 検知(1時間後)
↓ (1-2時間待機)
セキュリティチーム対応開始
↓ (2-4時間)
外部フォレンジクス企業に問い合わせ
↓ (1-3日)
根因分析・遮断
↓
対応完了(合計: 1-5日)
AWS Incident Response の改善:
AWS Incident Response フロー(迅速):
GuardDuty/Security Hub 検知(数秒)
↓ (自動)
AWS CIRT チームに通知
↓ (15分以内に初回応答)
AWS エンジニア直接調査
↓ (1-2時間)
根因特定・遮断・回復支援
↓
対応完了(合計: 2-4時間)
2. セキュリティ専門人員の不足
課題:
- 中小企業・新興企業:セキュリティチームがいない
- 大企業:CISO・SOC チーム過負荷
- フォレンジクス知識:獲得に数年を要する
Incident Response の解決:
- AWS CIRT(24/7 対応)に即座にエスカレート
- フォレンジクス分析・根因調査は AWS が代行
- インシデント対応プレイブック提供
3. 規制・コンプライアンス要件対応
課題:
- 金融庁 FFIEC:CSIRT(Computer Security Incident Response Team)機能必須
- HIPAA(医療):インシデント対応体制証跡が監査対象
- PCI DSS:インシデント対応計画・テスト証跡
Incident Response の解決:
- AWS が CSIRT 機能を提供(アウトソース)
- インシデント対応レポート自動生成(監査対応)
- テーブルトップエクサイズ支援(年 1 回強制実施)
ユースケース例
- S3 バケット不正アクセス時の原因特定・影響範囲評価
- EC2 インスタンスへのマルウェア感染・C2 通信排除
- IAM 認証情報漏洩による不正操作の検出・停止
- RDS・DynamoDB データ漏洩の原因調査・対応
- ランサムウェア攻撃の進行状況把握・回復支援
主な特徴
| 特徴 | 説明 |
|---|---|
| 24/7 CIRT アクセス | AWS セキュリティエンジニアへの直接連絡・相談 |
| SLA 15分初回応答 | 重大インシデント(Severity P1)は 15 分以内に応答 |
| 自動検知統合 | GuardDuty/Security Hub/Detective との統合 |
| AIpowered Investigation(2025) | ML ベースの自動分析・根因推定 |
| プレイブック提供 | ランサムウェア・データ漏洩・不正アクセス対応手順 |
| フォレンジクス支援 | ログ分析・タイムライン作成・根因特定支援 |
| 自動隔離スクリプト | Lambda/Systems Manager で即座にリソース隔離 |
| インシデント報告書 | 監査・規制対応用のフォーマット済みレポート |
| テーブルトップエクサイズ | 対応訓練・チーム編成の AWS 支援 |
| パートナー統合 | Palo Alto Networks(Unit 42)等の外部サービス提供 |
| OU メンバーシップ対応(2025) | Organizations OU 単位でサービス利用可能 |
| Metered Pricing(2025) | Finding 数ベースの従量課金モデル |
インシデント対応フロー
graph TD
A["GuardDuty/Security Hub Finding"] -->|自動検知| B["Incident Response Console"]
B -->|Triage| C{"重大度判定"}
C -->|P1: Critical| D["15分以内に CIRT 対応"]
C -->|P2: High| E["1時間以内に CIRT 対応"]
C -->|P3: Medium| F["4時間以内に CIRT 対応"]
D --> G["根因分析<br/>調査・検証"]
E --> G
F --> G
G --> H["Containment<br/>リソース隔離"]
H --> I["Eradication<br/>脅威削除"]
I --> J["Recovery<br/>復旧支援"]
J --> K["Closure<br/>インシデント報告書"]
フェーズ別詳細
1. Triage(トリアージ)
- 検知ソース:GuardDuty Finding・Security Hub Alert
- 自動分類:Finding タイプ・重大度判定
- AWS CIRT 割り当て:優先度別振り分け
2. Investigation(調査)
- CloudTrail ログ分析:不正 API 呼び出し追跡
- VPC Flow Logs:疑わしい通信パターン検出
- Systems Manager Session Manager:EC2 フォレンジクス実行
- S3 アクセスログ:データ漏洩範囲特定
- タイムライン作成:攻撃の時系列整理
3. Containment(封じ込め)
- IAM キー無効化:不正ユーザ停止
- Security Group 変更:疑わしい インスタンス隔離
- S3 Bucket Policy 変更:外部アクセス遮断
- RDS 接続断:DB 外部通信停止
4. Eradication(根絶)
- マルウェア駆除:スクリプト実行・削除
- 脆弱性パッチ:EC2 AMI 更新・OS パッチ
- キーローテーション:新規認証情報発行
5. Recovery(回復)
- バックアップから復旧:AWS Backup・スナップショット利用
- データ検証:漏洩・改ざんデータ確認
- サービス再開:段階的なトラフィック復帰
6. Closure(クロージング)
- インシデント報告書生成:規制対応フォーマット
- 根因レポート:再発防止策提案
- ナレッジベース登録:組織学習
コアコンポーネント
Incident Response Console
AWS 管理コンソール
├─ Incident Response → Dashboard
│ ├─ Open Cases(オープン案件一覧)
│ ├─ Compliance Status(コンプライアンス状況)
│ └─ Response Timeline(対応タイムライン)
│
├─ Case Management
│ ├─ Create Manual Case
│ ├─ Link GuardDuty Finding
│ ├─ Chat with CIRT
│ └─ Case History
│
└─ Auto-Generated Playbooks
├─ Ransomware Response
├─ Data Breach Response
├─ Unauthorized Access Response
└─ Malware Detection Response
Finding トリアージ
GuardDuty Finding の自動分類:
{
"FindingType": "CryptoCurrency:EC2/BitcoinTool.B",
"Severity": "HIGH",
"InstanceId": "i-0123456789abcdef0",
"AutoTriage": {
"Category": "Cryptocurrency Mining",
"Recommended Action": "ISOLATE_INSTANCE",
"SuggestedSLA": "1 hour",
"CIRTAssignment": "AUTOMATED"
}
}
CIRT チャネル
AWS エンジニアとの通信:
Incident Response Console Chat
├─ CIRT チーム(2-3 名)がアサイン
├─ リアルタイムチャット(Slack 風)
├─ スクリーンシェア(複雑な調査時)
└─ 音声会議(電話)
インシデント対応プレイブック
Playbook: ランサムウェア対応
Playbook: Ransomware Response
Phase 1: Detection
- GuardDuty Findings: FileEncryption, RansomNote Detection
- Trigger: HIGH severity alert
Phase 2: Containment
- Isolate EC2 instance: Security Group restrict
- Disable IAM keys: Attacker account
- Snapshot EBS volumes: Recovery preparation
Phase 3: Investigation
- Collect forensics: CloudTrail, VPC Flow Logs
- Identify entry point: Vulnerability scan
- Determine scope: Encrypted files count
Phase 4: Eradication
- Remove malware: RE scan, cleanup scripts
- Patch vulnerability: AMI update, deployment
- Verify clean: Hash validation
Phase 5: Recovery
- Restore from backup: AWS Backup
- Verification: Data integrity check
- Gradual service restart
Phase 6: Post-Incident
- Root cause analysis: Report generation
- Preventive measures: Security improvements
- Compliance notification: If required
CIRT サポート体制
サポートレベル別 SLA
| 重大度 | 説明 | 初回応答 | アサイン | 対応時間 |
|---|---|---|---|---|
| P1 - Critical | サービス完全停止・大規模データ漏洩 | 15 分 | 専任チーム(3-5名) | 24/7 継続 |
| P2 - High | 部分機能停止・限定的データ漏洩 | 1 時間 | 専任エンジニア(2-3名) | 8-12 時間 |
| P3 - Medium | 軽微な問題・調査必要 | 4 時間 | オンコール | 営業時間内中心 |
| P4 - Low | 情報提供・ベストプラクティス相談 | 24 時間 | サポートチーム | メール対応 |
CIRT 人材構成
AWS CIRT Team
├─ Incident Commander(リーダー)
│ └─ 対応全体統括・意思決定
│
├─ Security Engineer(2-4 名)
│ ├─ CloudTrail・VPC Flow Logs 分析
│ ├─ マルウェア分析・IoCs 抽出
│ └─ 自動化スクリプト実行
│
├─ Forensics Specialist
│ ├─ メモリダンプ分析
│ ├─ ログタイムライン作成
│ └─ 根因特定
│
├─ Systems Engineer
│ ├─ リソース隔離・修復
│ ├─ Systems Manager 実行
│ └─ インフラ復旧支援
│
└─ Compliance Officer
├─ 規制要件マッピング
├─ 通知要件確認
└─ レポート生成
統合ツール・プレイブック
自動検知データソース
GuardDuty Findings
├─ UnauthorizedAccess:*(不正アクセス)
├─ CryptoCurrency:*(マイニング)
├─ Trojan:*(トロイの木馬)
├─ Backdoor:*(バックドア)
├─ Exploit:*(エクスプロイト)
└─ PenTest:*(ペネトレーションテスト)
Security Hub Findings
├─ AWS Config コンプライアンス問題
├─ IAM Access Analyzer の異常な権限
├─ Detective の異常行動検知
└─ 他パートナー製品の脅威検知
Detective Findings
├─ Behavior anomaly(行動異常)
├─ Entity relationship anomaly(関連性異常)
└─ Automated pathfinding(攻撃経路抽出)
自動隔離スクリプト
Incident Response が自動実行できるスクリプト:
# Lambda Function: Auto-Isolate Compromised Instance
import boto3
def lambda_handler(event, context):
finding = event['detail']
instance_id = finding['resource']['instanceDetails']['instanceId']
ec2 = boto3.client('ec2')
# Step 1: Snapshot EBS for forensics
snapshots = ec2.describe_volumes(
Filters=[{'Name': 'attachment.instance-id', 'Values': [instance_id]}]
)
for vol in snapshots['Volumes']:
ec2.create_snapshot(VolumeId=vol['VolumeId'], Description='Forensics')
# Step 2: Detach ENI from instance (network isolation)
interfaces = ec2.describe_network_interfaces(
Filters=[{'Name': 'attachment.instance-id', 'Values': [instance_id]}]
)
for eni in interfaces['NetworkInterfaces']:
ec2.detach_network_interface(
AttachmentId=eni['Attachment']['AttachmentId']
)
# Step 3: Invalidate IAM keys
iam = boto3.client('iam')
for user in iam.list_users()['Users']:
for key in iam.list_access_keys(UserName=user['UserName'])['AccessKeyMetadata']:
iam.update_access_key_status(
UserName=user['UserName'],
AccessKeyId=key['AccessKeyId'],
Status='Inactive'
)
# Step 4: Notify CIRT via SNS
sns = boto3.client('sns')
sns.publish(
TopicArn='arn:aws:sns:...:incident-response',
Subject=f'Auto-Isolation: {instance_id}',
Message=f'Instance isolated for forensics: {instance_id}\nSnapshots: {[s for s in snapshots]}'
)
return {'statusCode': 200, 'isolation_complete': True}
インシデント報告書テンプレート
AWS Security Incident Response Report
1. Executive Summary
- Incident Type: Ransomware Attack
- Detection Time: 2026-04-15 14:32 UTC
- Resolution Time: 2026-04-15 16:45 UTC
- MTTR: 2 hours 13 minutes
- Severity: P1 Critical
2. Timeline
2026-04-15 14:32 - GuardDuty detected CryptoCurrency:EC2/BitcoinTool
2026-04-15 14:35 - CIRT team notified
2026-04-15 14:50 - Root cause identified (RDP brute-force)
2026-04-15 15:20 - Instance isolated, snapshots captured
2026-04-15 15:45 - Malware removed, patched
2026-04-15 16:45 - Service recovery complete
3. Root Cause Analysis
- Vulnerability: Unpatched RDP protocol (CVE-xxxx)
- Attack Vector: RDP brute-force from 203.0.113.0/24
- Dwell Time: Estimated 3 days
- Impact Scope: 1 EC2 instance, 0 data breach confirmed
4. Recommendations
- Immediate: Deploy WAF for RDP protection
- Short-term: Implement VPN-only RDP access
- Long-term: Enable Systems Manager Session Manager (no RDP)
- Compliance: Quarterly vulnerability scan
5. Regulatory Notifications
- GDPR: No personal data affected
- HIPAA: Not applicable
- PCI DSS: No cardholder data impact
- Notification Required: NO
主要ユースケース
1. S3 バケット不正アクセス対応
シナリオ:S3 バケットが一般公開され、顧客データ(名前・メール)が漏洩
Timeline:
14:00 - GuardDuty alert: S3 bucket ListBucketPermissions 変更
14:05 - Security Hub Findings aggregated
14:08 - Incident Response Console case create (Auto)
14:15 - CIRT team assigned (P1)
14:30 - Root cause: IAM policy 誤設定(Terraform typo)
15:00 - Bucket public access block 再適用
15:30 - S3 アクセスログから漏洩データ範囲特定:230 GB(200万件レコード)
16:00 - Affected customers 特定
16:30 - 通知メール送信・監査報告書作成
CIRT 支援内容:
- CloudTrail で IAM policy 変更の時系列抽出
- S3 Server Access Logs で who accessed what の特定
- Athena 分析で漏洩データ量算出
- GDPR 通知テンプレート提供
2. EC2 マルウェア感染・隔離
シナリオ:EC2 インスタンスが暗号化マイニングに感染、不正スクリプト実行
CIRT Response Playbook:
[1] Detection (10min)
GuardDuty Finding: CryptoCurrency:EC2/BitcoinTool.B
[2] Containment (20min)
- Snapshot EBS volume(フォレンジクス用)
- Detach ENI(ネットワーク隔離)
- Disable IAM keys
[3] Investigation (40min)
- Memory dump 分析:悪意あるプロセス特定
- File system scan:感染ファイルのハッシュ抽出
- Network connections:C2 サーバ IP 特定
- CloudTrail:不正 API 呼び出し確認
[4] Eradication (30min)
- Malware removal script 実行
- OS patch 適用(感染原因の脆弱性)
- AMI rebuild & relaunch
[5] Recovery (20min)
- Health check:CPU/Memory 正常化確認
- Log validation:C2 通信停止確認
- Auto Scaling Group に戻す
Total MTTR: 120 minutes(vs 従来 24-48 hours)
3. IAM 認証情報漏洩・権限悪用
シナリオ:GitHub に AWS 認証情報が誤って push、外部から不正使用
CIRT Actions:
1. Immediate IAM key deactivation
- aws iam update-access-key-status --access-key-id AKIA... --status Inactive
2. CloudTrail 分析
- 漏洩キーで実行された API 呼び出し特定
- 作成されたリソース(EC2, RDS)確認
- ダウンロードされたデータ推定
3. リソース回復
- 不正リソース削除
- 不正操作された DB のスナップショット復旧
- S3 バケット削除データの回復
4. 新キー発行・アプリ配布
- 新 IAM key 生成
- AWS Secrets Manager に登録
- アプリケーションに自動配布(Lambda env)
4. RDS データ漏洩(SQLインジェクション)
シナリオ:Web アプリの SQL インジェクション脆弱性から DB 全体ダウンロード
CIRT Investigation:
1. Database audit log 分析
- Who: Attacker IP(203.0.113.50)
- What: SELECT * FROM customers(全テーブル)
- When: 2026-04-15 03:00-15:30(12.5 hours dwell time)
2. RDS Enhanced Monitoring
- Query pattern 分析:大量 SELECT 検出
- Network traffic:外部への大規模データ転送確認
- Database connections:不正セッション数
3. Scope Assessment
- Affected records: 5M customers(PII)
- Leakage confirmation: Network packet capture
- Attacker capability: Database version recon detected
4. Remediation
- WAF rule 追加:SQL injection payload blocking
- RDS parameter change:general log disable(audit trail)
- App patch deployment:Input validation fix
- Compliance notification:GDPR, State AG への報告
5. ランサムウェア攻撃対応
シナリオ:RDP ブルートフォース侵入 → Conti ランサムウェア展開 → 全 EC2 ファイル暗号化
CIRT 24/7 Response:
[P1 Critical - 24/7 Team Mobilized]
Hour 0-1: Triage & Scope
- All affected EC2 instances identified:50 instances
- Encryption activity timeline:Started 03:00 UTC, detected 14:30(11.5h dwell)
- Ransom note analysis:Conti group, $500K demand
Hour 1-2: Containment
- Network isolation:Security Group 0.0.0.0/0 block
- EBS snapshots:All volumes for recovery
- IAM credentials:Rotation & audit
Hour 2-4: Investigation & Forensics
- Memory dump from 3 instances:Conti malware binary extracted
- File system scan:Encrypted file count = 2.3M files
- Event correlation:Lateral movement detection RDP → WinRM → SMB
- C2 communications:JARM fingerprint & URI patterns logged
Hour 4-8: Eradication
- Malware removal:Registry/startup clean
- Patch application:RDP vulnerability CVE patch
- AMI creation:Clean golden image
- Full cluster relaunch
Hour 8-24: Recovery
- EBS snapshot restore:Parallel across 50 instances
- Data validation:Integrity check(md5)
- Business continuity test:Gradual traffic return
- Backup verification:AWS Backup integrity confirm
Total MTTR: 18 hours(vs Industry average 21 days)
Ransom payment: Avoided
Regulatory notification: Supported by CIRT template
6. テーブルトップエクサイズ(年 1 回)
CIRT 支援の対応訓練
Tabletop Exercise Structure:
Day 1: Ransomware Scenario
Scenario: Conti group attack, 50 instances encrypted
Team 1: Detection Lead
- GuardDuty finding analysis
- Severity assessment
- CIRT escalation decision
Team 2: Containment Lead
- Network isolation strategy
- Backup strategy
- Communication plan
Team 3: Forensics Lead
- Evidence collection
- Preservation
- Chain of custody
Team 4: Recovery Lead
- RTO/RPO targets
- Restore sequence
- Validation
CIRT Trainer (AWS):
- Real incident experience share
- Decision point feedback
- Best practice guidance
- Gaps identification
Outcome:
- Runbook refinement
- Team skill improvement
- Compliance documentation(annual test completed)
設定・操作の具体例
Console:インシデント手動作成
# AWS Incident Response Console
1. Service → Incident Response
2. "Create Case" ボタン
3. Fill Details:
- Case Title: "S3 Bucket Public Access Incident"
- Description: "Bucket xyz-prod accidentally made public"
- Severity: P1 Critical
- Resource Type: S3 Bucket
- Resource ARN: arn:aws:s3:::xyz-prod
4. CIRT Assignment: Auto-assign
5. Chat with CIRT: Start message
GuardDuty Finding 自動リンク
aws securityhub create-insight \
--name "High-Risk Findings for Incident Response" \
--filters '{
"SeverityLabel": [{"Value": "HIGH", "Comparison": "EQUALS"}],
"ResourceType": [{"Value": "AwsEc2Instance", "Comparison": "EQUALS"}],
"ComplianceStatus": [{"Value": "FAILED", "Comparison": "EQUALS"}]
}' \
--group-by-attribute RESOURCE_ID
自動隔離 Lambda トリガー
import boto3
import json
def lambda_handler(event, context):
# GuardDuty Finding → Incident Response Auto-Create
detail = event['detail']
finding_type = detail['type']
incident_response = boto3.client('incident-response', region_name='ap-northeast-1')
# Auto-create case
case_response = incident_response.create_incident(
title=f'Auto-Case: {finding_type}',
description=json.dumps(detail, indent=2),
severity='P1' if 'CRITICAL' in finding_type else 'P2',
clientToken=detail['id']
)
print(f"Case created: {case_response['caseId']}")
# Auto-isolate if EC2
if 'EC2' in finding_type:
instance_id = detail['resource']['instanceDetails']['instanceId']
ec2 = boto3.client('ec2')
# Create isolation security group
sg = ec2.create_security_group(
GroupName=f'isolation-{instance_id}',
Description='Forensics isolation group'
)
# Attach to instance
ec2.modify_instance_attribute(
InstanceId=instance_id,
Groups=[sg['GroupId']]
)
print(f"Instance {instance_id} isolated")
return {'statusCode': 200, 'caseId': case_response['caseId']}
EventBridge:Finding → Incident Response
{
"Name": "GuardDuty-to-IncidentResponse",
"EventPattern": {
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [7, 7.0, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9, 8, 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9]
}
},
"Targets": [
{
"Arn": "arn:aws:lambda:ap-northeast-1:ACCOUNT:function:incident-response-auto-create",
"RoleArn": "arn:aws:iam::ACCOUNT:role/EventBridge-InvokeRole"
}
]
}
CloudFormation:Incident Response 有効化
Resources:
IncidentResponseSetup:
Type: AWS::ServiceCatalog::CloudFormationProduct
Properties:
Name: AWS Incident Response Setup
Description: Enables Incident Response with auto-remediation
ProductViewName: incident-response-setup
Owner: Security Team
ProvisioningArtifactParameters:
- Name: v1
Description: Initial setup
Properties:
- GuardDuty enabled
- Security Hub enabled
- Detective enabled
- EventBridge rules for auto-escalation
GuardDutyDetector:
Type: AWS::GuardDuty::Detector
Properties:
Enable: true
FindingPublishingFrequency: FIFTEEN_MINUTES
SecurityHubHub:
Type: AWS::SecurityHub::Hub
Properties:
EnableDefaultStandards: true
DetectiveGraph:
Type: AWS::Detective::Graph
Properties:
ReplicaRegionList: []
類似サービス比較表
| サービス | 対応対象 | MTTR | 人員構成 | コスト | 対応時間 |
|---|---|---|---|---|---|
| AWS Incident Response | All AWS | 2-4h | AWS CIRT | $10k-50k/月 | 24/7 P1 |
| Mandiant(FireEye) | 多層 | 4-12h | 外部チーム | $50k-200k/月 | 営業時間中心 |
| CrowdStrike Falcon Complete | Endpoint | 1-2h | ハイブリッド | $5k-30k/月 | 24/7 |
| Palo Alto Unit 42 | 多層 | 8-24h | 外部チーム | $30k-150k/月 | 営業時間中心 |
| Microsoft DART | Azure/Microsoft | 2-6h | MS CIRT | $5k-50k/月 | 24/7 |
| Rapid7 Incident Response | 多層 | 6-24h | 外部チーム | $20k-100k/月 | 営業時間中心 |
| IBM X-Force | 多層 | 8-48h | 外部チーム | $25k-150k/月 | 営業時間中心 |
ベストプラクティス
✅ やるべきこと
| 項目 | 理由 | 実装 |
|---|---|---|
| GuardDuty 24/7 有効化 | 自動検知がサービスの前提 | All findings to console |
| Security Hub 統合 | マルチソース脅威可視化 | Detective 連携 |
| EventBridge 自動化 | 検知→CIRT へ最短経路 | Lambda で auto-escalate |
| テーブルトップ年 1 回 | チーム対応能力維持 | CIRT 支援で実施 |
| インシデント報告書保管 | 監査・コンプライアンス対応 | 5 年保持 |
| Forensics 証拠保管 | 法的対応・再発防止 | EBS snapshot 30 日保持 |
| Runbook メンテ | 組織学習の定着 | 四半期レビュー |
❌ してはいけないこと
| 項目 | 問題 | 対策 |
|---|---|---|
| GuardDuty 無効化 | 脅威検知困難 | 常時有効化(SCPs 強制) |
| CIRT に連絡しない | 対応遅延 | LOW でも相談 |
| ログ削除 | フォレンジクス不可 | 90 日以上保持 |
| 証拠改ざん | 法的問題・訴訟 | Chain of custody 厳格化 |
| 隔離リソース削除 | 根因分析不可 | 48 時間は保持 |
トラブルシューティング
| 症状 | 原因 | 解決策 |
|---|---|---|
| CIRT アクセスできない | Enterprise/Business Support 未加入 | AWS Support Plan upgrade |
| Finding 自動リンクされない | GuardDuty/Security Hub 未有効 | 有効化& console relink |
| 隔離スクリプトエラー | IAM 権限不足 | Incident Response Role 権限確認 |
| MTTR が長い(12h+) | P3 severity assigned | CIRT に P1 re-escalate |
| レポート生成されない | Detective graph empty | 24h 待機(Learning phase) |
2025-2026 最新動向
Metered Pricing(2025年11月リリース)
従来:定額 $10k-50k/月 新:Finding ベース従量課金
Pricing Model:
- First 10,000 findings/month: FREE
- $1.00 per 1,000 findings (scale up)
- Minimum: $0 (if < 10k findings)
Example:
Small org (5k findings/month): $0
Mid org (50k findings/month): $40
Large org (500k findings/month): $490
メリット:
- スタートアップ・中小企業にも対応可能
- 初期投資ゼロで試運用
- 成長に合わせ自動スケーリング
AI-Powered Investigation(2025年 GA)
機械学習で自動根因推定:
Traditional:
CIRT が CloudTrail・VPC Flow Logs を手動分析
→ 4-8 時間
AI-Powered:
Bedrock で数秒で自動分析
- Attack pattern recognition
- Lateral movement detection
- Incident playbook auto-suggestion
→ 15 分
OU メンバーシップ型対応(2025年)
Organizations OU 単位でサービス利用:
Before: 各アカウント個別契約 × 50 = $500k/月
After: OU に OU ワイド ライセンス($100k/月)
学習リソース・参考文献
公式ドキュメント
最新ニュース
競合製品
- Mandiant (FireEye) Incident Response
- CrowdStrike Falcon Complete
- Palo Alto Networks Unit 42
- Microsoft DART
- Rapid7 Incident Response
実装チェックリスト
-
[ ] 事前準備
- [ ] AWS Support: Enterprise/Business tier upgrade
- [ ] GuardDuty: 全リージョン有効化
- [ ] Security Hub: 統合 + findings aggregation
- [ ] Detective: Graph 作成(24h 学習)
-
[ ] サービス契約
- [ ] Incident Response service enrollment
- [ ] Metered Pricing vs Fixed Price比較
- [ ] Organizations OU scope 決定(Multi-account)
-
[ ] 自動化設定
- [ ] EventBridge: GuardDuty → Incident Response
- [ ] Lambda: auto-isolation scripts 作成
- [ ] SNS: Slack/Teams alert 統合
-
[ ] チーム体制
- [ ] Incident Commander 決定
- [ ] Escalation path 定義
- [ ] On-call rotation 構築
-
[ ] 運用準備
- [ ] Playbook 作成(ランサムウェア・データ漏洩)
- [ ] Runbook テンプレート(手順書)
- [ ] テーブルトップ計画(年 1 回)
- [ ] ログ保持ポリシー(90 日以上)
-
[ ] コンプライアンス
- [ ] 規制要件 mapping(GDPR・HIPAA・PCI DSS)
- [ ] 通知テンプレート作成
- [ ] Incident report template 準備
- [ ] Legal team coordination
まとめ
AWS Security Incident Response は、セキュリティインシデント発生時に AWS CIRT による 24/7 専門家支援 を提供し、MTTR を従来の 24-48 時間から 2-4 時間に短縮 するサービスです。
適用シーン
✅ 金融・医療・重要インフラ(規制要件が高い) ✅ セキュリティ人員が限定的(スタートアップ・中小企業) ✅ インシデント頻度が高い環境 ✅ MTTR 短縮が経営目標(クリティカルサービス)
非適用シーン
❌ インシデント無履歴(リスク低い) ❌ 社内 SOC 体制完備 ❌ 完全 on-premises のみ
導入のポイント
- GuardDuty・Security Hub・Detective 前提
- EventBridge で自動化 → CIRT への最短経路
- Metered Pricing(2025) → スケーラブル
- テーブルトップ演習で チーム対応能力維持
- CIRT との信頼構築 → 迅速な初動
2025年の Metered Pricing 開始により、初期投資なしに試運用が可能になり、スタートアップ・中小企業でも導入しやすくなりました。ランサムウェア・データ漏洩等の重大インシデント対応では、AWS CIRT の専門知識が業界で最高レベルです。
最終更新:2026-04-26 バージョン:v2.0