運用管理

AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析

全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。

約 1 分で読めます

CloudTrail の概要

CloudTrail は AWS アカウントの API アクティビティを記録するサービスです。EC2 インスタンスの起動、S3 バケットの作成、IAM ポリシーの変更など、あらゆる API コールが記録されます。デフォルトで過去 90 日間のマネジメントイベントが無料で閲覧でき、証跡を作成すると S3 バケットに無期限で保存されます。

証跡設計と CloudTrail Lake

証跡は全リージョンに適用する組織証跡が推奨です。S3 バケットに JSON 形式でイベントが保存され、SSE-KMS で暗号化します。CloudTrail Lake はイベントデータストアに最大 7 年間イベントを保持し、SQL クエリで検索・分析できます。「過去 30 日間に IAM ユーザーを作成したイベント」「特定の IP アドレスからの API コール」などのクエリを即座に実行できます。Insights は ML で API コールのベースラインを学習し、異常なパターン (通常の 10 倍の API コール) を検出します。

データイベントとインサイト

データイベントは S3 オブジェクトレベルの操作 (GetObject 、 PutObject)、 Lambda 関数の呼び出し、 DynamoDB のテーブル操作を記録します。管理イベントと比較してイベント量が大幅に多いため、対象リソースを絞り込んで有効化します。 CloudTrail Insights は管理イベントの異常パターン (API コール数の急増、エラー率の上昇) を自動検出し、通常とは異なるアクティビティをハイライトします。例えば、通常 1 日 10 回程度の RunInstances が突然 1,000 回呼び出された場合にインサイトイベントが生成されます。 EventBridge との統合で、特定の API コール (DeleteBucket 、 StopLogging) をリアルタイムに検出して Lambda でアラートを発行できます。 CloudTrail の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

CloudTrail の料金最適化

管理イベントの最初の証跡は無料で、追加の証跡は 100,000 イベントあたり約 2 ドルです。データイベントは 100,000 イベントあたり約 0.10 ドルで、S3 の読み取り操作が多い環境ではコストが急増します。CloudTrail Lake のクエリは スキャンしたデータ量で課金され、1 GB あたり約 0.005 ドルです。データイベントの対象を機密性の高いバケットや重要な Lambda 関数に限定し、全リソースへの一律適用を避けることでコストを管理します。S3 に保存されたログの保持期間をライフサイクルルールで管理し、古いログを Glacier に移行してストレージコストを削減します。

まとめ

CloudTrail は AWS アカウントの全 API アクティビティを記録する監査ログサービスです。CloudTrail Lake で SQL クエリによる高度な分析を実行し、Insights で異常な API コールパターンを自動検出します。組織証跡で全アカウントのログを一元管理し、EventBridge 連携でセキュリティイベントのリアルタイム検出を実現します。

関連するサービス

AWS CloudTrailAWS アカウントの API アクティビティを記録・監視するサービスAmazon S3スケーラブルなオブジェクトストレージサービスAmazon GuardDuty機械学習を活用した脅威検出サービス

関連する記事

AWS Config で実現する継続的コンプライアンス監視 - ルール評価と自動修復AWS Config によるリソース構成の記録、Config ルールによるコンプライアンス評価、自動修復アクションの設定を解説します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS CloudTrailAWS アカウント内の API 呼び出しを自動記録し、誰がいつ何をしたかを追跡できる監査・セキュリティサービスCloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。イベント駆動アーキテクチャ - Amazon EventBridge で実現する疎結合システム設計Amazon EventBridge を活用したイベント駆動アーキテクチャの構築方法を解説します。