運用管理

AWS CloudTrail

AWS アカウント内の API 呼び出しを自動記録し、誰がいつ何をしたかを追跡できる監査・セキュリティサービス

約 1 分で読めます

概要

AWS CloudTrail は、AWS アカウント内で発生するすべての API アクティビティをイベントとして記録するサービスです。マネジメントコンソールの操作、CLI コマンド、SDK 経由の呼び出し、他の AWS サービスからの内部呼び出しまで、あらゆる操作が記録対象になります。デフォルトで過去 90 日間の管理イベントを無料で閲覧でき、S3 バケットへの長期保存や CloudTrail Lake によるクエリ分析も可能です。セキュリティインシデントの調査、コンプライアンス監査、運用トラブルシューティングの基盤として、ほぼすべての AWS 環境で有効化されています。

3 種類のイベントと記録コストの設計

CloudTrail が記録するイベントは管理イベント、データイベント、Insights イベントの 3 種類に分類されます。管理イベントは IAM ポリシーの変更、EC2 インスタンスの起動・停止、S3 バケットの作成など、リソースの管理操作を記録し、無料枠で 90 日間閲覧できます。データイベントは S3 オブジェクトの GetObject/PutObject や Lambda 関数の Invoke など、リソース内のデータ操作を記録しますが有料です。アクセス頻度の高い S3 バケットでは読み取り操作だけで大量のイベントが発生し、月額数百ドル規模のコストになるため、監査対象を機密データのバケットに絞り込む設計が重要です。Insights イベントは API 呼び出しパターンの異常 (通常の 10 倍の API コールなど) を自動検出し、不正アクセスの早期発見に役立ちます。

CloudTrail Lake による SQL ベースの調査

CloudTrail Lake は、イベントログを SQL で直接クエリできる分析機能です。従来は S3 に保存したログを Athena で分析する構成が一般的でしたが、CloudTrail Lake ではイベントデータストアに最大 7 年間のイベントを保持し、専用の SQL エンジンで即座に検索できます。Azure の Activity Log が Log Analytics ワークスペースへの転送と KQL (Kusto Query Language) による分析を必要とするのに対し、CloudTrail Lake は追加のインフラ構築なしで監査クエリを実行できる点が手軽です。AWS セキュリティの関連書籍 (Amazon) で監査設計のベストプラクティスを学べます。

EventBridge 連携によるリアルタイム検知

CloudTrail の実務活用で特に効果が高いのが、EventBridge との連携によるリアルタイム通知です。セキュリティグループのルール変更、IAM ポリシーの変更、ルートアカウントのログインなど、セキュリティ上重要な API 呼び出しをトリガーに SNS 通知や Lambda による自動修復を実行できます。たとえば、S3 バケットのパブリックアクセスが有効化された瞬間に Lambda で自動的にブロックする構成は、多くの組織で採用されています。インシデント調査では、CloudTrail Lake で該当時間帯の API 呼び出しを SQL クエリし、どの IAM エンティティがどの IP アドレスからどのリソースにアクセスしたかを特定する流れが標準的です。

共有するXB!

関連する用語

AWS IAMAmazon GuardDutyAWS ConfigAmazon CloudWatch

関連するサービス

Amazon GuardDutyAWS ConfigAmazon EventBridge

関連する記事

AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。Amazon AppFlow で実現する SaaS データ連携 - Salesforce ・ Slack ・ Google Analytics との統合Salesforce や Slack のデータを S3・Redshift にノーコードで同期する。イベント駆動トリガー、PII マスキング、PrivateLink によるセキュアな転送を紹介します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。

内容が近い用語・記事

AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。CloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。AWS CloudTrailAWS アカウントの API アクティビティを記録・監視するサービス監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS インシデント対応ツールチェーン - CloudTrail から Security Hub まで統合された調査基盤CloudTrail、Config、Detective、Security Hub を組み合わせた AWS のインシデント対応ツールチェーンを解説し、Azure Sentinel との調査アプローチの違いを比較します。