以下の内容はhttps://infomation-sytem-security.hatenablog.com/entry/cloud-behavioral-detection-comparison-2026より取得しました。

侵入前提のクラウドセキュリティ:4大クラウドの「振る舞い検知」機能を徹底解剖

クラウドセキュリティ セキュリティ技術解説 サイバーセキュリティ
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

情シスセキュリティ担当の城咲子です。

「境界防御(FW/IDS/IPS)」を突破されることが前提となった2026年の現在、私たちの主戦場は「侵入された後、いかに素早く不審な動き(振る舞い)を検知し、被害を最小化するか」に移っています。

今回は、主要クラウド(AWS, Azure, GCP, OCI)が提供する、ポスト・コンプロマイズ(侵入後)のマルウェア検知・振る舞い検知機能を、専門家の視点で徹底比較します。競合サイトの多くは「機能一覧」の紹介に留まっていますが、ここでは「運用現場でどう機能するか」という実戦的な深掘りを行います。

1. クラウドにおける「振る舞い検知」のパラダイムシフト

かつてのマルウェア検知は「シグネチャ(指紋)」照合が主流でしたが、現代の攻撃者はファイルレス攻撃や正規ツールの悪用(Living off the Land)を駆使します。これに対抗するのが、プロセス、ネットワーク、APIコールの異常を監視する「振る舞い検知」です。

2026年現在のトレンドは、「eBPF(Extended Berkeley Packet Filter)」などを活用した、OSカーネルレベルでの低負荷かつ高精度な監視へと進化しています。

2. 主要4大クラウドの検知機能比較

AWS:Amazon GuardDuty(Runtime Monitoring)

AWS環境全体のログ(VPC Flow Logs, DNS logs, CloudTrail)に加え、EC2、EKS、Fargateのホスト内部の動きを監視する「Runtime Monitoring」を提供しています。

GuardDutyの強みは、エージェントレス(一部)で開始できる手軽さと、AWS専用の脅威インテリジェンスです。特に「マルウェア保護(Malware Protection)」機能は、不審な挙動を検知した際に、スナップショットから自動的にEBSをスキャンするため、本番環境のパフォーマンスに影響を与えずにウイルス特定が可能です。

Azure:Microsoft Defender for Cloud

「Defender for Servers」において、EDR(Microsoft Defender for Endpoint)を統合。プロセスの起動、レジストリ変更、ネットワーク接続などの挙動をリアルタイムで分析します。

Microsoftの最大の武器は、Windows OSの深い内部知識と、世界中から収集される膨大な脅威信号(Signal)です。UEBA(ユーザーとエンティティの振る舞い分析)が強力で、管理者アカウントの「普段とは違う時間帯・場所からの不自然なコマンド実行」を検知する精度は、4社中で随一と言えます。

Google Cloud (GCP):Security Command Center (SCC)

Enterprise/Premium層で「Event Threat Detection」および「Virtual Machine Threat Detection (VMTD)」を提供。ハイパーバイザー層からVMのメモリを直接スキャンします。

VMTDは画期的です。VM内にエージェントを入れず、Googleのインフラ層(ハイパーバイザー)からメモリ上の不審なプロセスを監視するため、攻撃者から検知機能を無効化されるリスクが極めて低いのが特徴です。「隠蔽された暗号資産マイニング」や「カーネルレベルのルートキット」の検知に非常に強い設計です。

Oracle Cloud (OCI):Cloud Guard

「Threat Detector」機能により、機械学習を用いて不審なアクティビティをスコアリング。偵察行動やデータ持ち出しの兆候を検知します。

OCIは「セキュリティのデフォルト有効化(Maximum Security Zones)」を掲げており、Cloud Guardはその監視塔の役割を果たします。派手さはありませんが、Oracle DBへの不正アクセスや、オブジェクト・ストレージの設定変更と紐付けた「複合的な振る舞い」の検知に特化しており、エンタープライズ用途での信頼性が高いです。

3. 城咲子の「職業病」的アドバイス:検知の後の「隔離」を設計せよ

専門家として、導入時に皆さんが陥りがちな「罠」を指摘させてください。

「検知」しただけでは、何も解決していない 多くの情シスが、検知アラートをメールで受け取って満足してしまいます。しかし、ランサムウェアの暗号化は秒単位で進みます。 2026年の現場で必須となるのは、「検知即、隔離(Auto-Containment)」の自動化です。例えば、GuardDutyが「C2通信(攻撃者との通信)」を検知した瞬間に、Lambdaを発火させてセキュリティグループを書き換え、該当インスタンスをネットワーク的に隔離する。この「ルール化」ができていない組織は、たとえ最高級の検知ツールを入れていても、被害を食い止めることはできないと推測されます。

4. まとめ:ルールを変えて人を動かす

クラウドベンダー各社は、すでに「OSの壁」を越えた深いレベルでの監視機能を提供しています。私たちがすべきなのは、どのツールが優れているかを議論するだけでなく、「アラートが出た瞬間に、誰が(あるいはシステムが)どう動くか」というルールを定義することです。

休日に「あのEC2のIAM権限、最小化できていたかな……」とそわそわしてしまうのは、専門家としての悲しい性ですが、こうした自動検知・自動隔離の仕組みが整うことで、少しずつですが安眠できる夜が増えていくはずです。



以上の内容はhttps://infomation-sytem-security.hatenablog.com/entry/cloud-behavioral-detection-comparison-2026より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14