AWS Config
AWS リソースの設定変更を継続的に記録・評価するサービスで、コンプライアンスルールに基づく自動監査と設定履歴の追跡を実現する
概要
AWS Config は、AWS リソースの設定 (Configuration) を継続的に記録し、定義したルールに基づいて設定の準拠性を自動評価するサービスです。EC2 インスタンス、セキュリティグループ、S3 バケット、IAM ポリシーなど、300 以上のリソースタイプの設定変更を追跡します。設定変更が発生するたびに設定スナップショットが記録され、任意の時点のリソース設定を確認できます。AWS が提供するマネージドルール (350 以上) と、Lambda で実装するカスタムルールを使用して、組織のセキュリティポリシーやコンプライアンス要件への準拠を自動的に評価します。
設定の記録と変更履歴
Config を有効にすると、対象リソースの設定変更が発生するたびに Configuration Item (CI) が記録されます。CI には、リソースの種類、ID、設定内容、関連リソース、変更日時が含まれます。この履歴により、「このセキュリティグループのルールはいつ、誰が変更したのか」「この S3 バケットの暗号化設定はいつ有効になったのか」といった質問に即座に回答できます。Config の高度なクエリ機能を使えば、SQL ライクな構文でリソースの現在の設定を横断的に検索できます。たとえば、暗号化が無効な S3 バケットの一覧、パブリックアクセスが許可されたセキュリティグループの一覧などを即座に取得できます。設定履歴は S3 バケットに配信され、長期保存と Athena による分析が可能です。
コンプライアンスルールと自動修復
Config ルールは、リソースの設定が定義した条件に準拠しているかを自動評価します。マネージドルールの例として、s3-bucket-server-side-encryption-enabled (S3 バケットの暗号化が有効か)、ec2-instance-no-public-ip (EC2 インスタンスにパブリック IP が付与されていないか)、iam-password-policy (IAM パスワードポリシーが要件を満たしているか) などがあります。非準拠のリソースが検出された場合、自動修復アクション (Remediation Action) を設定できます。修復アクションは Systems Manager Automation のランブックとして定義し、非準拠リソースを自動的に準拠状態に修正します。たとえば、暗号化が無効な S3 バケットが検出されたら、自動的に暗号化を有効にする修復アクションを実行できます。Azure の対応サービスは Azure Policy で、同様にリソースの設定準拠性を評価し、自動修復を実行できます。
実務での活用パターン
Config は、セキュリティ監査とコンプライアンス証跡の基盤として使用されます。PCI DSS、HIPAA、SOC 2 などの規制要件では、リソースの設定変更の追跡と、セキュリティポリシーへの継続的な準拠が求められます。Config の適合パック (Conformance Pack) は、特定の規制フレームワークに対応するルールセットをまとめたテンプレートです。Organizations と統合すれば、組織内のすべてのアカウントに統一された Config ルールを適用し、集約ビューでコンプライアンス状況を一元管理できます。Config の料金は、記録される Configuration Item の数に基づきます。リソース数が多い環境ではコストが増加するため、記録対象のリソースタイプを必要なものに絞ることが推奨されます。Config の基礎から応用まで、書籍 (Amazon)で体系的に学べます。