運用管理

AWS Config で実現する継続的コンプライアンス監視 - ルール評価と自動修復

AWS Config によるリソース構成の記録、Config ルールによるコンプライアンス評価、自動修復アクションの設定を解説します。

約 1 分で読めます

Config の概要

AWS Config は AWS リソースの構成変更を継続的に記録し、コンプライアンスを自動評価するサービスです。EC2 インスタンスのセキュリティグループ変更、S3 バケットのパブリックアクセス設定変更、IAM ポリシーの変更など、あらゆるリソースの構成変更が記録されます。200 以上のマネージド Config ルールで「S3 バケットのパブリックアクセスがブロックされていること」などの条件を定義し、非準拠リソースを自動検出します。

ルールと自動修復

マネージドルールは AWS が提供する事前定義ルールで、s3-bucket-public-read-prohibited、ec2-instance-no-public-ip、iam-password-policy など 200 以上が利用可能です。カスタムルールは Lambda 関数で独自の評価ロジックを実装します。自動修復では非準拠リソースの検出時に SSM Automation ドキュメントを実行し、例えば S3 バケットのパブリックアクセスを自動的にブロックします。コンフォーマンスパックは CIS AWS Foundations Benchmark や PCI DSS などの業界標準に対応するルールセットをまとめてデプロイします。

コンフォーマンスパックと集約

コンフォーマンスパックは複数の Config ルールと修復アクションをパッケージ化したテンプレートで、 CIS Benchmark 、 PCI DSS 、 NIST 800-53 などのコンプライアンスフレームワークに対応した事前定義パックが提供されています。カスタムコンフォーマンスパックで組織固有のルールセットを定義し、 Organizations 全体に一括デプロイできます。 Config アグリゲーターは複数アカウント・複数リージョンのコンプライアンス状況を 1 つのアカウントに集約し、組織全体の準拠状況をダッシュボードで可視化します。高度なクエリで「暗号化されていない EBS ボリュームを持つ全アカウントのリソース」のような横断的な検索を実行できます。 Config に関する詳しい解説はAmazon の関連書籍でも確認できます。

Config の料金最適化

Config の料金は記録された構成アイテム数 (1 つあたり約 0.003 ドル)、ルール評価数 (1 評価あたり約 0.001 ドル)、コンフォーマンスパック評価数で構成されます。全リソースタイプの記録を有効にすると構成アイテム数が膨大になるため、コンプライアンスに必要なリソースタイプのみを記録対象にすることでコストを管理します。ルールの評価頻度を定期的 (24 時間ごと) と変更トリガーで使い分け、変更が少ないリソースには定期評価を適用します。Config の高度なクエリは追加料金なしで利用でき、コンプライアンスレポートの作成に活用できます。

まとめ

AWS Config はリソースの構成変更を記録し、コンプライアンスを継続的に評価するサービスです。コンフォーマンスパックで CIS Benchmark や PCI DSS のルールセットを一括デプロイし、アグリゲーターで組織全体の準拠状況を可視化します。自動修復で非準拠リソースの検出から修正までを自動化し、継続的なコンプライアンスを維持します。

関連するサービス

AWS ConfigAWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービスAWS Organizations複数の AWS アカウントを一元管理するサービスAWS Systems ManagerAWS リソースとオンプレミスサーバーを一元管理できる運用管理サービス

関連する記事

AWS Control Tower で構築するマルチアカウント環境 - ランディングゾーンとガードレールランディングゾーンの自動構築とガードレールによるポリシー適用で、マルチアカウント環境のガバナンスを確立する。Account Factory によるアカウント自動作成も紹介します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS ConfigAWS リソースの設定変更を継続的に記録・評価するサービスで、コンプライアンスルールに基づく自動監査と設定履歴の追跡を実現する監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS Resource ExplorerAWS アカウント内の全リソースをリージョン横断で検索・可視化するサービスで、マルチリージョン環境のリソース管理を効率化するAWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。