Amazon Q Developer を活用した Amazon GuardDuty の脅威のログ分析

Transcript

1. 1 Amazon Q Developer を活用した Amazon GuardDuty の脅威のログ分析 KINTO テクノロジーズ株式会社

   セキュリティ・プライバシー部 クラウドセキュリティグループ 大高 一輝

2. 2 自己紹介 KINTO テクノロジーズ株式会社 セキュリティ・プライバシー部 クラウドセキュリティ グループ 大高 一輝 （Otaka

   Kazuki） 2025年6月入社。 前職ではオンプレミス中心のITインフラ構築に従事。 現在は、マルチクラウド環境におけるガードレールの 整備と運用、カイゼン活動に携わりながら、クラウド セキュリティのイロハを勉強中。

3. Index 3 Amazon GuardDuty の脅威検知と運用 1 2 3 4 5

   Amazon Q Developer とは？ Amazon Q Developer によるログ分析の課題 ログ分析に Amazon Q Developer を活用するためのポイント まとめ & 今後の展望

4. 4 Amazon GuardDuty の 脅威検知と運用 1

5. 5 Amazon GuardDuty とは Amazon GuardDuty AWS 環境のログを継続的にモニタリング、分析 を行い、機械学習（ML）を利用して、疑わしい アクティビティや潜在的な脅威を検出する。

   AWS CloudTrail Amazon VPC Flow logs Amazon Route 53 Resolver query logging Amazon GuardDuty Region 基本データソース Amazon EventBridge Amazon SNS Amazon SNS Email Slack Administrator AWS 環境における脅威検知サービス 脅威の判定は、 1. AWS CloudTrail の管理イベント 2. Amazon VPC Flow logs 3. Amazon Route 53 Resolver クエリログ を自動で収集して使用している。

6. 6 現在のAmazon GuradDuty の脅威検知後の対応フロー Amazon EventBridge Amazon SNS Amazon S3

   ログ保存アカウント IAM 管理アカウント 各アカウント Amazon GuardDuty AWS CloudTrail Security AWS IAM Identity Center Microsoft Entra ID Splunk Cloud (SIEM) Slack Slack Jira 1 2 3 4 5 ID フェデレーション ログ保存 ログ取込 ログ取込 1 Amazon GuardDuty で検知されたア ラートを Slack のチャンネルに通知。 2 セキュリティ担当者が Slack の通知 を確認して、アラートの概要を把握。 3 AWS CloudTrail やSplunk Cloud (SIEM)でログの詳細な調査を行い、 リスクのある操作か判断。 4 必要に応じて、操作を実施したユー ザーにヒアリングを実施。 5 Jira チケットを起票し、対応内容を管 理。

7. 7 今回 Amazon Q Developer で実装したい範囲 Amazon EventBridge Amazon SNS

   Amazon S3 ログ保存アカウント IAM 管理アカウント 各アカウント Amazon GuardDuty AWS CloudTrail Security AWS IAM Identity Center Microsoft Entra ID Splunk Cloud (SIEM) Slack Slack Jira Amazon Q 1 2 3 4 5 1 2 3 4 5 6 6 Amazon GuardDuty で検知されたア ラートを Slack のチャンネルに通知 セキュリティ担当者が Slack の通知 を確認して、アラートの概要を把握 Amazon Q Developer にログ分析を 依頼 レポート内容から必要に応じて、操作を 実施したユーザーにヒアリングを実施 Jira チケットを起票し、対応内容を管理 Amazon Q Developer がログの分析・ リスク判断を行いレポートを生成 ID フェデレーション ログ保存 ログ取込 ログ取込

8. 8 Amazon Q Developer とは 2

9. 9 Amazon Q Developer とは？ Amazon Q AWS が提供する生成 AI

   アシスタント 1 2 Amazon Q Business Amazon Q Developer ビジネスにおける生成 AI 活用のためのサービス システム開発における生成 AI 活用のためのサービス Amazon Quick Suite (旧 Amazon QuickSight) や Amazon Connect などの AWS サービスに も組み込まれている生成 AI アシスタント Amazon Q シリーズには • Amazon Q Bussiness • Amazon Q Developer ２つの製品ラインナップがある。 【ユースケース】 • 社内ナレッジの検索 • 生成 AI アプリケーションの作成 など 【ユースケース】 • プログラミングコード生成 • AWSのトラブルシューティング など

10. • サポートへの問い合わせ • AWS 環境のコスト分析 • 各種 AWS リソースのエラー診断・トラブルシューティング •

    各種 AWS リソースの一覧取得・状態確認 • 各種 AWS リソースの操作 • ファイル作成・編集・削除など • プログラムコードの生成・提案 • ユニットテストの生成 • セキュリティスキャンと修正 10 Amazon Q Developer の機能 AWS Web マネージメント コンソール Amazon Q Developer for CLI IDE Plugin 利用方法 言語 機能 自然言語 チャット形式 (日本語対応) Amazon Q Developer では、システムの開発や AWS 環境の運用をサポートする様々な機能を利用することができる。 Amazon GuardDuty で検知した脅威のログ分析には、 Amazon Q Developer for CLI を採用している。

11. 11 Amazon GuardDuty の脅威分析における Amazon Q Developer の使い方 Amazon Q

    Security Client Security Slack Amazon GuardDuty AWS CloudTrail Amazon S3 Amazon GuardDuty AWS Cloud 1 2 3 1 Amazon GuardDuty で検知された アラートを Slack のチャンネルに通知 4 5 2 Amazon GuardDuty で該当する アラートの Finding IDを確認 3 Amazon Q Developer に Finding ID を渡してログ分析を依頼。 4 Amazon Q Developer がログの調査・ 分析を行い、分析レポートを生成 （コンソール表示、ファイル出力） 5 分析レポートを確認して、次の対応へ Amazon Q Developer は、デフォルトの状態でも Amazon GuardDuty で検知した脅威について、 ログの詳細分析をすることは可能だが……。

12. 12 デフォルト状態での Amazon Q Developer のログ分析 Amazon Q Developer で、実務に利用できるレベルの

    ログの詳細分析を行うにはデフォルトの状態では不十分。 さらに、チャットを通して追加の調査を実施したり、 複数回の検証を進めるうちにいくつかの課題に直面する。 IAM ロールを出力しているが、 実際に AssumeRole でこのロールを 引き受けたユーザーを特定してほしい。 Amazon GuardDuty 検知した Severity を そのまま出力しているが、 実際のユーザーの状態を確認して、 リスクを判断してほしい。

13. 13 Amazon Q Developer による ログ分析の課題 3

14. 14 Amazon Q Developer を用いたログ分析の課題 AWS API のスロットリングの制限 収集しているログの制約 コンテキストウィンドウの制約

    出力の一貫性の課題 1 2 3 4 Amazon Q Developer を用いて、Amazon GuardDuty で検知した脅威について、 実務レベルのログ詳細分析を行うためには、以下のようなハードルを乗り越える必要がある。

15. 15 AWS API のスロットリング制限 Amazon Q Developer は、AWS CloudTrail のログを調査するために、API

    リクエストを送信する。 短期間に複数回のリクエストを送信すると、スロットリングエラーが発生し、ログの調査が進まなくなる。 スロットリングエラーにより実行エラーが発生している。 スロットリングエラーが発生しているのにも関わらず、 検索条件を変えて同じ API リクエストを実行するため、 何度 API リクエストを送信しても、実行エラーになる。

16. 16 収集しているログの制約 Amazon Q Developer は、AWS CloudTrail 上のデータイベントのログを検索しようとする。 AWS CloudTrail

    でデータイベントの取得を有効化していない場合、不要な API コールが発生してしまう。 AWS CloudTrail では、コストの観点から データイベントを意図的に取得していないが、 Amazon Q Developer はデータイベントの検索を行う。 当然、データイベントが見つからないので、 別の手段でログの確認を試みる。 S3 のアクセスログについても同様。

17. 17 コンテキストウィンドウの制限 Amazon Q Developer は、コンテキストウィンドウの制約があり、200K トークンとなっている。 コンテキストウィンドウを超えてしまうと、過去の文脈を考慮できなくなってしまう。 ※コンテキストウィンドウとは、生成 AI

    が一度に処理することができるトークン数（≒単語数）のこと。 コンテキストウィンドウを超過すると、Amazon Q Developer は 自動的に過去の会話を要約する（history） このとき、過去に与えた重要な前提条件や指示内容を忘れて、 期待はずれの回答を生成してしまう可能性が高くなる。

18. 18 出力の一貫性の課題 Amazon Q Developer は、同じプロンプトを与えても、同じ回答を生成するとは限らない。 生成内容に再現性が低く、一貫性のあるログ分析をすることが難しい。 レポートに含まれる情報が 生成ごとに異なる場合がある。 レポートの章立てが生成ごとに

    異なる場合がある。 生成ごとに出力される情報が 矛盾することがある。

19. 19 ログ分析に Amazon Q Developerを 活用するためのポイント 4

20. 20 Amazon Q Developer でのログ分析を実務レベルに近づけるためのポイント 1 2 Amazon Q Developer

    がログの詳細分析に必要となる情報を 効率的に収集できるようにする Amazon Q Developer にログの詳細分析の手順や 必要な操作に関する詳細かつ具体的な指示を与える Amazon Q Developer が Amazon GuardDuty で検知した脅威について、課題を克服して、 実務レベルのログ詳細分析を行うためには、以下のようなポイントで改善を図る必要がある。 MCP 連携によるツールの提供 プロンプトエンジニアリングによる調整

21. 21 MCP 連携 Amazon Q Developer は、MCP 連携によりツールを使用することができる。 MCP（Model Context

    Protocol）とは？ 生成 AI と外部のデータソースを接続するために定められた共通プロトコルのこと。 生成 AI は MCP によって接続された外部のデータソースに対して、検索や操作を行うことができるようになる。 Amazon Q AWS が提供する MCP サーバー GitHub が提供する MCP サーバー Microsoft が提供する MCP サーバー S3 を操作するツール CloudTrail を操作するツール レポジトリを作成するツール ブランチを作成するツール 公式ドキュメントの検索ツール … … … JSON 設定ファイル AWS Cloud Amazon S3 1 2 3 連携する MCP サーバーを 設定ファイルで指定 タスクに応じて利用できる ツールを呼び出し 操作の実行

22. 22 MCP 連携 Amazon Q Developer に、以下の MCP 連携を設定している。Splunk MCP

    Server を活用して、 AWS CloudTrail だけでなく、Entra ID のログなどにもアクセスすることができる。 MCP サーバー 内容 Built-In Amazon Q Developer にデフォルトで連携されており、ローカル環境 のファイル操作や API による AWS リソースの操作ができる AWS Knowledge MCP Server AWS に関する最新のニュースやブログ情報を含む、AWS のナレッジ を検索することができる AWS Documentation MCP Server AWS に関するドキュメントにアクセスすることができる CloudTrail MCP Server AWS CloudTrail のログの検索や分析を行うことができる Splunk MCP Server Splunk に保存されているログの検索や分析を行うことができる

23. 23 プロンプトエンジニアリング プロンプトエンジニアリングとは？ 生成 AI に入力する情報（プロンプト）を工夫して、回答精度の向上を図ったり、期待どおりの 回答が得られるように調整したりする方法。 例 1 ）役割設定：生成

    AI に役割を与えて、タスクの処理を行わせる 例 2 ）Chain of Thought：生成 AI に思考の過程をたどらせて、誤回答を防止する > あなたは、企業でセキュリティ担当を務めています。◯◯について、△△をしてください。 ……… > あなたの手元には、1,000円札が1枚あります。あなたは、お店で 170 円のジュースを2本と、180 円のおむすびを 3個買いました。手元には何円残っていますか？ ステップ・バイ・ステップで考えてください。 プロンプトエンジニアリングにはさまざまな手法が提唱されているが、 ポイントは、生成 AI に詳細かつ具体的に必要な情報を伝えたり、明確な指示を与えること。

24. 24 プロンプトエンジニアリング プロンプトで以下のような情報を入力することで、Amazon Q Developer の出力を調整 プロンプトの文章の作成は、生成 AI を活用して効率化。 項目

    内容 具体例 システムの構成 ・どこにログが保存されているか ・どんなログが保存されているか CloudTrail のログは Splunk に保存されています。 ログの調査手順 ・どのツールを使用するか ・何を調査するのか Splunk MCP Server を使用して、該当ユーザーの脅 威検出時のログイン状況を調査してください。 出力形式 ・どの形式で出力するのか ・どんな情報を含めるのか レポートは、Markdown 形式で出力してください。 レポートは、次の章立てで作成してください コマンドの具体例 ・Splunk の検索クエリなど 認証状況の確認では、以下のコマンドを実行してください。 ‘index=example userPrincipalName=“<メールアドレス>” | stats count by status.errorCode, status.failureReason |sort -count' 禁止事項の明記 ・実行してはいけない操作は何か ・出力に含めない内容は何か ・推測や仮定に基づく関連付けはしないでください。 ・自分で日付から曜日を計算しないでください。

25. 25 チューニングによる改善 Entra ID のログ分析などを考慮して リスクの判断を実施することができている。 デフォルト状態では、Amazon GuardDuty の Severity

    をそのまま出力していたが、 多面的に評価をした上で、リスクの判断を実施することができるようになっている。

26. 26 チューニングによる改善 MCP 連携により、SPL（Splunk Search Processing Language）を実行してデータを取得し、 この情報を元に分析を実施している。ただし、完璧ではないので注意が必要。 Splunk 上の

    CloudTrail のログを検索しているが、 間違ったクエリ文を生成しているために、ログの発見ができていない。 疑わしい結論を出す場合は、内容の検討が必要。 MCP 連携により、SPL を実行して必要なデータを取得し、 ログ分析に活用できている

27. 27 チューニングによる改善 出力内容についても、フォーマットを指定することで一貫性を持った文章構成を取れている。 プロンプトの指示に沿って、 レポートの章立て生成しており、 別の Findings のログ分析を行なっても、 同じ章立てのレポートを生成できる。

28. 28 まとめ & 今後の展望 5

29. 29 まとめ • Amazon Q Developer は、MCP 連携とプロンプトエンジニアリングにより、期待どおりに タスクを実行するように調整することが可能。 •

    Amazon GuardDuty で検知した脅威のログ分析においても、必要なツールと具体的な分析 手順と出力内容を指定することで、スロットリングエラーなどの課題を克服し、期待どおり の出力が得られるように調整できる。 • ハルシネーションや意図しない操作については、完全に排除することは難しい。 • 引き続き、出力内容の検証と生成 AI の行った操作の監査を行いながら、Amazon Q Developer を継続的に調整していくことが必要。 Good ポイント More ポイント

30. 30 今後の展望 Amazon Q Developer から Slack に届 く通知を自動で確認。または、 Amazon

    GuardDuty の脅威検知をトリ ガーに Amazon Q Developer を起動 Amazon EventBridge Amazon SNS Amazon S3 ログ保存アカウント IAM 管理アカウント 各アカウント Amazon GuardDuty AWS CloudTrail AWS IAM Identity Center Microsoft Entra ID Splunk Cloud (SIEM) Slack Slack Jira Amazon Q Security ID フェデレーション ログ保存 ログ取込 ログ取込 ログの分析結果を踏まえて、適宜、 Slackを経由してヒアリング、Jiraにタス クの作成。 Amazon Q Developer がログを分析・ リスクを判定する。 各種ツールとMCP 連携を行い、 自動化する範囲を拡大したい 1 2 3 1 2 3

31. 31 今後の展望 生成 AI をセキュアに活用するという観点で、改善したい課題もある。 1 2 生成 AI の最小権限の運用の課題

    認証トークンの扱い方の課題 生成 AI ツールによるリスクのある操作は、人間による承認が必要となる。（Human in the loop） しかし、頻繁に承認が発生すると、生成 AI で自動化を図る意味がない。 最小権限となるように、ツールごとに使用権限を細かく制御して自動化したい。 カスタムエージェント機能で、利用可能なツールと権限をどこまで細かく制御できるか 一部の MCP 連携には、ローカル環境の設定ファイルにアクセストークンを保存する必要がある。 万が一、漏洩してしまうと不正アクセスなどのインシデント発生の危険がある。 MCP サーバーへの接続に一時的な認証情報を用いる実装への移行（ベンダー依存）

32. 32 CCoE活動とGoogle Cloudセキュリ ティプリセット環境の提供 KTC クラウドセキュリティ エンジニアのとある一日 Azure サブスクリプション の初期セキュリティベスト

    プラクティスを考える LLM アプリケーションの セキュリティを保護する AI-SPM の取組み Cloud Security グループの取り組み Tech Blog
33. None