結論:cost alertとsecurity findingを同じ初動tableへ集約する
AWSは2026年7月14日、Amazon GuardDuty AI Protectionを発表しました。Amazon BedrockとAmazon SageMakerを対象に、異常なmodel invocation pattern、攻撃者が過剰なGPU時間・tokenを消費させるcost harvesting、Amazon Bedrock Guardrailsとの統合によるprompt injectionの試みを検出するとしています。
GuardDuty AI ProtectionはAWS AI serviceのCloudTrail management eventとdata eventを分析し、findingをAWS Security Hubへ連携します。AWS Organizationsを使った組織横断の有効化にも対応し、GuardDuty顧客には30日間のfree trialがあると発表されています。
重要なのは、AI費用急増をFinOpsだけで処理しないことです。原因は正常なcampaign、model変更、retry loop、公開APIの乱用、credential窃取、agent暴走、cost harvestingなど複数あります。請求を止めても侵害credentialやdata流出は残り、security調査だけでも業務復旧と費用抑制は終わりません。
この記事は、Bedrock・SageMakerを本番利用する経営者、CFO、CISO、cloud責任者向けです。AI incident初動から権限是正、監視、月次運用へ接続します。
INSTANT ESTIMATE
計算式より、60秒で概算を出しませんか?
システム種別・規模・連携先を選ぶだけで、開発費用・期間・月額運用費の概算をその場で表示します。
公式発表で確認できる範囲
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年7月14日 |
| 主な対象 | Amazon Bedrock、Amazon SageMaker |
| 検出例 | 異常なmodel invocation、cost harvesting、prompt injection attempt |
| telemetry | CloudTrail management event・data event、Bedrock Guardrailsとの統合 |
| 連携 | findingをAWS Security Hubへ送信 |
| 組織管理 | AWS Organizationsで全accountへ中央有効化可能 |
| trial | GuardDuty顧客に30日間 |
検出は侵害の確定判定ではありません。正常利用との切り分け、影響範囲、証拠保全、復旧は利用企業が設計します。
AI費用急増で起きる5つの初動失敗
- budget超過としてAPIを止めるだけ。 盗まれたcredential、外部侵入、data accessを調べません。
- findingを侵害確定とする。 正常なcampaign・batch・model切替を誤って停止します。
- keyをrotationして証拠を消す。 誰が、どこから、何を呼び、何へaccessしたか追えません。
- prompt injectionを入力文だけで見る。 外部文書、RAG、web、tool responseからの間接injectionを見落とします。
- 復旧後に同じ権限へ戻す。 agentのtool、model quota、network、secret、承認が変わりません。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXO式「AI cost/security incident 5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| 資産・baseline | 20 | account、model、endpoint、owner、正常量、cost、時間帯を記録 | 正常値が分からない |
| 検知・triage | 20 | GuardDuty、CloudTrail、application、billing、Guardrailsを時系列化 | finding単体で判断 |
| 封じ込め | 25 | key・role・network・quota・toolを影響に応じて段階制限 | account全停止か放置の二択 |
| 証拠・影響 | 20 | actor、source、prompt/data、output、tool action、費用、顧客影響を保全 | log保持が短い |
| 復旧・再発防止 | 15 | clean credential、最小権限、rate limit、approval、再試験、監視を実装 | 元の設定へ戻す |
合計点に関係なく重大incidentとして扱う条件
- 未知のprincipal・IP・regionから高額なmodel invocation
- agentがpayment、顧客data、code、cloud管理toolへ異常access
- prompt injection findingと外部通信・権限操作・data取得が同時発生
- credential窃取、secret露出、管理roleの不審利用が疑われる
- logが消える前に証拠保全できない、または顧客影響を否定できない
仮想記入例:顧客support agentのtoken費が8時間で平常の12倍
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| 資産・baseline | 15/20 | model別costはあるがuser・session別がない |
| 検知・triage | 11/20 | billingとGuardDutyを別teamが確認 |
| 封じ込め | 13/25 | API key停止のみ、agent roleは継続 |
| 証拠・影響 | 9/20 | prompt・tool実行logの保持不足 |
| 復旧・再発防止 | 7/15 | rate limitと高risk操作承認なし |
| 合計 | 55/100 | agentをread-onlyへ隔離し、incident対応へ移行 |
applicationを全面停止する前に、異常session、role、sourceを絞り、agentの更新・送信toolを無効化します。CloudTrail、GuardDuty finding、application log、Guardrails、billingを共通時刻で保全し、clean credentialと最小権限で段階復旧します。
最初に集める証拠10点
- GuardDuty findingのJSONとfirst/last seen
- 対象account、region、model、endpoint、resource
- CloudTrail management・data event
- application user、session、request ID
- prompt、参照data、tool call、output(機密取扱いに注意)
- IAM role、access key、temporary credential、secret利用
- source IP、user agent、network flow、DNS
- token、GPU時間、request数、costの時系列
- deploy、設定、model、campaignの変更履歴
- 顧客data・外部system・transactionへの影響
24時間の対応順
- 0〜1時間:incident commander、asset owner、費用・security teamを招集
- 1〜4時間:証拠保全、異常principal・session・toolを制限、顧客影響を仮判定
- 4〜12時間:正常campaign・bug・侵害・prompt injectionを切り分け、credentialをclean化
- 12〜24時間:最小権限・rate limit・approval付きで段階復旧し、経営報告を作成
GXOのインシデント対応では、cloud証拠保全、封じ込め、影響調査、復旧を支援します。AI特有のprompt・tool・data統制は生成AIセキュリティ、平時の設定改善は脆弱性診断へ接続します。
FAQ
GuardDuty findingが出たら侵害確定ですか
いいえ。検知signalとして、正常な業務変更、bug、乱用、侵害を他logと突合します。ただし重大権限・外部送信を伴う場合は先に隔離します。
budget alertがあれば十分ですか
費用抑制には有効ですが、actor、credential、data、tool actionの調査は別です。security telemetryと同じ時系列へ統合します。
prompt injectionはBedrock Guardrailsだけで防げますか
Guardrailsとの統合は検出に役立ちますが、tool最小権限、外部dataの不信扱い、人承認、rate limit、監査logも必要です。
出典・確認日
- AWS「Introducing Amazon GuardDuty AI Protection for AWS AI workloads」(2026年7月14日発表、2026年7月15日確認)
対象service、region、pricing、検出仕様は変更される可能性があります。最新のAWS公式文書と自社consoleを確認してください。検出は侵害・安全性の確定を保証しません。本記事の配点と仮想例はGXO独自です。







