AWS CloudTrail
AWS アカウント内のすべての API 操作を記録・監査できるログサービス
何ができるか
AWS CloudTrail は、AWS アカウント内で行われたすべての API コール (操作) を記録するサービスです。誰が、いつ、どの IP アドレスから、どのリソースに対して、何の操作を行ったかを詳細に記録します。コンソールからの操作、CLI からのコマンド、SDK からの API 呼び出しなど、あらゆる操作が対象です。セキュリティ監査、コンプライアンス対応、トラブルシューティングに不可欠なサービスです。
どのような場面で使うか
セキュリティインシデントの調査、コンプライアンス監査の証跡確保、不正アクセスの検知、リソース変更の追跡、運用トラブルの原因調査、AWS アカウントのガバナンス強化など、AWS 環境の監査と統制に利用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
防犯カメラの録画システムに例えるとわかりやすいでしょう。建物内のすべての出入り (API 操作) を防犯カメラ (CloudTrail) が 24 時間記録しています。何か問題が起きたとき、録画映像を確認すれば、誰がいつ何をしたかを正確に把握できます。録画データは安全な場所 (S3) に保管され、改ざんされないよう保護されています。
CloudTrail とは
AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を支援するサービスです。AWS アカウントを作成すると、CloudTrail は自動的に有効になり、過去 90 日間のイベント履歴を無料で確認できます。より長期間の保存や高度な分析が必要な場合は、証跡 (Trail) を作成して S3 バケットにログを保存します。
記録される情報
CloudTrail が記録するイベントには、管理イベントとデータイベントの 2 種類があります。管理イベントは、リソースの作成・変更・削除などの操作 (EC2 インスタンスの起動、IAM ポリシーの変更など) を記録します。データイベントは、リソース内のデータ操作 (S3 オブジェクトの読み書き、Lambda 関数の実行など) を記録します。各イベントには、操作者、時刻、ソース IP、リクエスト内容、レスポンスなどの詳細情報が含まれます。
セキュリティ活用
CloudTrail はセキュリティ対策の要です。CloudTrail Insights を有効にすると、通常とは異なる API 呼び出しパターン (急激な API コール数の増加など) を自動的に検知できます。CloudWatch Logs と連携すれば、特定の操作 (ルートユーザーのログイン、セキュリティグループの変更など) が行われた際にリアルタイムでアラートを送信できます。
はじめかた
CloudTrail は AWS アカウント作成時に自動的に有効になっています。CloudTrail コンソールの「イベント履歴」で過去 90 日間の操作を確認できます。長期保存が必要な場合は、「証跡の作成」をクリックし、ログの保存先 S3 バケットを指定します。マルチリージョンの証跡を作成すれば、すべてのリージョンの操作を 1 つの証跡で記録できます。
Azure・オンプレミスとの比較
AWS の優位点
- AWS アカウント作成時に自動有効化され、過去 90 日間のイベント履歴を無料で確認でき、追加設定なしで監査を開始できる
- ログファイルの整合性検証機能により、ログが改ざんされていないことを暗号学的に証明でき、コンプライアンス要件を満たしやすい
- CloudTrail Insights による異常な API 呼び出しパターンの自動検知で、セキュリティインシデントの早期発見が可能
注意点
- イベント履歴 (過去 90 日間) は無料だが、S3 への証跡ログ保存やデータイベントの記録には追加料金が発生する
- ログファイルの整合性検証を有効にすると、ログが改ざんされていないことを暗号学的に証明できる
- CloudTrail ログは機密情報を含む可能性があるため、S3 バケットのアクセス権限を適切に設定すること
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。