セキュリティ

CloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践

CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。

約 3 分で読めます

CloudTrail は何を記録しているのか

CloudTrail は、AWS アカウント内で実行されたほぼすべての API 呼び出しを記録するサービスです。EC2 インスタンスの起動、S3 バケットの作成、IAM ポリシーの変更、Lambda 関数のデプロイなど、AWS マネジメントコンソール、CLI、SDK、他の AWS サービスからの API 呼び出しがすべて記録されます。各イベントには、誰が (userIdentity)、いつ (eventTime)、どこから (sourceIPAddress)、何を (eventName)、どのリソースに対して (resources)、結果はどうだったか (errorCode) が記録されます。CloudTrail のイベントは 2 種類に分かれます。管理イベント (Management Events) は、リソースの作成・変更・削除などのコントロールプレーン操作です。デフォルトで記録され、過去 90 日分がコンソールから無料で閲覧できます。データイベント (Data Events) は、S3 オブジェクトの読み書き、Lambda 関数の呼び出し、DynamoDB のアイテム操作などのデータプレーン操作です。データイベントは大量に発生するため、デフォルトでは記録されず、明示的に有効化する必要があります。

CloudTrail のイベント配信の仕組み

CloudTrail のイベントは、API 呼び出しが実行されてから通常 5〜15 分以内に配信されます。リアルタイムではない点に注意が必要です。イベントの配信先は 3 つあります。第 1 に、CloudTrail コンソール (イベント履歴) です。過去 90 日分の管理イベントが無料で閲覧でき、フィルタリングや検索が可能です。第 2 に、S3 バケットです。証跡 (Trail) を作成すると、イベントが JSON 形式で S3 バケットに配信されます。S3 に保存されたログは、Athena で SQL クエリを実行して分析できます。第 3 に、CloudTrail Lake です。2022 年に導入された CloudTrail Lake は、イベントを専用のデータストアに保存し、SQL で直接クエリできるマネージドサービスです。S3 + Athena の組み合わせと比較して、セットアップが簡単で、クエリのパフォーマンスも高速です。CloudTrail のログは改ざん検知機能を備えています。ログファイルの整合性検証 (Log File Integrity Validation) を有効にすると、各ログファイルのハッシュ値がダイジェストファイルに記録され、ログが改ざんされていないことを暗号学的に検証できます。

フォレンジック調査の実践 - 不正アクセスの追跡

セキュリティインシデントが発生した際、CloudTrail は最も重要な証拠源です。たとえば、「未知の EC2 インスタンスが起動されている」というアラートを受けた場合の調査手順を示します。まず、CloudTrail で RunInstances イベントを検索し、誰がいつインスタンスを起動したかを特定します。userIdentity フィールドから、IAM ユーザー名、ロール名、アクセスキー ID が判明します。次に、そのアクセスキー ID で CloudTrail を検索し、同じ認証情報で実行された他の API 呼び出しを洗い出します。S3 バケットへのアクセス、IAM ポリシーの変更、セキュリティグループの変更など、攻撃者の行動の全体像が浮かび上がります。sourceIPAddress フィールドから、攻撃者の IP アドレスも特定できます。ただし、VPN や Tor を経由している場合は、IP アドレスだけでは攻撃者を特定できません。userAgent フィールドには、使用されたツール (AWS CLI、SDK、コンソールなど) の情報が含まれており、攻撃の手法を推定する手がかりになります。

CloudTrail で記録されないもの

CloudTrail は強力ですが、すべてを記録しているわけではありません。記録されないものを知っておくことは、セキュリティ設計上重要です。第 1 に、OS レベルの操作です。EC2 インスタンスに SSH でログインしてファイルを操作しても、CloudTrail には記録されません。OS レベルの監査には、CloudWatch Agent や AWS Systems Manager Session Manager のセッションログが必要です。第 2 に、データイベントを有効化していない場合の S3 オブジェクト操作です。S3 バケットからファイルがダウンロードされても、データイベントが無効なら記録されません。機密データを含むバケットには、必ずデータイベントを有効化してください。第 3 に、一部の読み取り専用 API です。DescribeInstances のような読み取り API は管理イベントとして記録されますが、大量に呼び出されるため、CloudTrail のコンソールでは表示が省略されることがあります。S3 に配信されたログには完全に記録されています。第 4 に、AWS 内部のサービス間通信です。AWS のサービスが内部的に他のサービスを呼び出す場合、その一部は CloudTrail に記録されません。

CloudTrail のコスト最適化

CloudTrail の管理イベントは、最初の証跡が無料です。2 つ目以降の証跡は、10 万イベントあたり 2.00 USD が課金されます。データイベントは、10 万イベントあたり 0.10 USD です。大規模な環境では、S3 のデータイベントが膨大な量になり、月額数千ドルのコストが発生することがあります。コスト最適化の方法はいくつかあります。第 1 に、データイベントの対象を絞ることです。すべての S3 バケットのデータイベントを記録するのではなく、機密データを含むバケットだけに限定します。第 2 に、CloudTrail Lake の保持期間を適切に設定することです。デフォルトの 7 年は多くのケースで過剰です。コンプライアンス要件に応じて 1 年や 3 年に短縮すれば、ストレージコストを削減できます。第 3 に、S3 に配信されたログの保持期間を S3 ライフサイクルルールで管理することです。90 日後に Glacier に移行し、1 年後に削除するルールを設定すれば、ストレージコストを大幅に削減できます。監査ログの設計と運用を体系的に学ぶには、専門書籍 (Amazon)が参考になります。

関連するサービス

AWS CloudTrailAWS アカウントの API アクティビティを記録・監視するサービスAmazon Detectiveセキュリティの検出結果を自動分析し、根本原因を調査するサービスAWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス

関連する記事

AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS CloudTrailAWS アカウント内の API 呼び出しを自動記録し、誰がいつ何をしたかを追跡できる監査・セキュリティサービスAWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS インシデント対応ツールチェーン - CloudTrail から Security Hub まで統合された調査基盤CloudTrail、Config、Detective、Security Hub を組み合わせた AWS のインシデント対応ツールチェーンを解説し、Azure Sentinel との調査アプローチの違いを比較します。