COLUMN

AWS CloudTrailを活用したイベント管理

ネットワークやシステムが複雑化する一方で、セキュリティやコンプライアンスの重要性もかつてとは比較にならないほどに大きくなっています。情報漏洩やコンプライアンス違反があった場合、企業は存続問題に関わるほど重いペナルティーが課せられることもあります。

そのような事態に陥ってしまわないよう、ユーザーやロールの動きを監視してくれるのが「AWS CloudTrail」です。今回は、AWS CloudTrailの概要やメリット、使用法などとともにAmazon CloudWatchとの違いや連携のさせ方について解説します。

AWS CloudTrailとは？

まずは、AWS CloudTrailの概要について紹介します。

AWS CloudTrailの概要

AWS CloudTrailとは、AWSにおけるイベント記録用のサービスです。いつ、誰（IAMユーザーやロール、AWSのサービスなど）が、どのような作業を行ったのかを記録することで、AWS利用の運用監査やコンプライアンス、セキュリティなどのリスク管理業務を支援します。

AWS CloudTrailはデフォルトの状態で「ON」になっており、90日間記録が保存されます。また、利用料は特にかかりません。

AWS CloudTrailのイベントとして記録されるアクティビティ

AWS CloudTrailでは、主に以下によって操作される、セキュリティグループの設定やデバイスの登録などのアクティビティ（管理イベント）がイベントとして記録されます。

• AWSマネジメントコンソール
• AWS コマンドラインインターフェイス（CLI）
• AWS SDK

APIなお、AWS CloudTrail では、データイベントと呼ばれるS3上での細かなアクティビティやLambda関数の実行なども記録も可能です。（デフォルトでは「OFF」になっており、CloudTrailの利用料金が発生します。）

90日間を超えて保存したいときの対処法

AWS CloudTrailの保存期間は90日間なので、90日よりも長くイベントを保存したいときには別のサービスを利用する必要があります。Amazon S3のストレージサービスを利用して保存するケースが最も一般的です。Amazon S3の利用料金は必要です。

AWS CloudTrailの使い方とユースケース

次に、AWS CloudTrailの使い方とユースケースについて解説します。

AWS CloudTrailの使い方

過去90日間のイベント情報を表示、検索するなど、AWS CloudTrailを使う場合、AWSマネジメントコンソールまたはAWS CLIで利用します。

例えば、AWS CLIで、イベント件数や時間範囲、属性などによりフィルタリングをかけて、イベントを検出できます。AWSマネジメントコンソールでも、検索する情報の表示をカスタマイズして管理することができます。

イベント情報の証跡の作成

イベント情報の証跡の作成とは、操作の履歴の証拠（イベントのログ記録）をログファイルとしてAWS CloudTrailに残すことです。

イベントの証跡を作成することにより、自動的にS3バケットに配信されます。証跡の作成も、イベントの検出と同様に、AWSマネジメントコンソールとAWS CLIを使っておこなうことができます。

複数の証跡の作成

ユーザーの種類ごとに複数の証跡を作成すれば、それぞれのユーザーが独自の証跡を管理できるようになります。複数の証跡を作成するメリットは、ネットワークのセキュリティ管理者（＝セキュリティ監視用のログの管理）、ソフトウェア開発者（＝トラブルシューティングのためのオペレーション管理）など社内の立場や役割に応じて独自の証跡を管理することができる点です。

注意点として、複数の証跡を作成する場合には追加料金が発生します。

AWS CloudTrailのユースケース

AWS CloudTrailのユースケースについて解説します。

コンプライアンス順守の指針

アクティビティ履歴を把握できるため、社内ポリシーおよび規制基準への準拠がより簡単になります。トラブルが生じた際に問題のある行動を特定できることに加え、従業員の不正な行動に対する抑止力にもつながります。

データ不正引き出しの検出

アクティビティデータによって、データの不正引き出しを検出できます。

セキュリティ分析

イベントをログ管理し、分析ソリューションに取り込むことにより、ユーザーの行動パターンを検出し、セキュリティ分析に役立てることができます。

トラブルシューティング

Amazon EC2のリソース変更やAmazon VPCセキュリティグループの作成・変更・削除などの操作履歴をチェックすることにより、どのユーザーがどのような操作をしたのかを一目でチェックすることができます。これにより、セキュリティグループ設定において、自社のセキュリティポリシーに反した操作が行われていないかの確認ができます。

Amazon CloudWatchとの違いや連携について

AWS CloudTrailとAmazon CloudWatchとの違いや連携させることのメリットは、以下のとおりです。

モニター監視サービスAmazon CloudWatchとは

Amazon CloudWatchには3種類のサービスAmazon CloudWatch、Amazon CloudWatch Logs、Amazon CloudWatch Eventsがあります。以下の3つのサービスによりAWSのリソースやアプリケーションをモニタリングするサービスです。

Amazon CloudWatch

リアルタイムでリソースのCPUやメモリなどをグラフ化してくれます。

Amazon CloudWatch Logs

アプリケーションやOSのログを集めて管理します。エラーログを見つけたらアラートを通知してくれる機能もあります。

Amazon CloudWatch Events

APIのイベントをトリガーにして何らかのアクションを実行させるサービスです。

AWS CloudTrailとAmazon CloudWatch Eventsの違いとは

AWS CloudTrailでは上述のとおり、対象サービスについて過去90日間の操作全般をログ履歴として自動的に記録し、誰が管理コンソールで何の操作の操作を行ったかなどを確認できます。Amazon Cloud Watch Eventsは、特定のイベント（EC2が起動した、サーチコンソールへのログインがあった、APIの呼び出しがあった、など）が実行された際に自動的に起動し、情報を記録します。AWS CloudTrailを使ってAmazon CloudWatch Eventsの起動やログファイルをモニタリングできるので、特定のイベントが発生してAmazon CloudWatch Eventsが起動した際に、AWS CloudTrailによるアラート通知をおこなうことが可能になります。これにより、特に重要なAWSサービスに不審なアクセスがあった際には、ほぼタイムラグを生じさせることなくチェックすることができます。

AWS CloudTrailとAmazon CloudWatch Logsとの連携とは

AWS CloudTrailを利用すると、誰がいつどのような作業を行ったのかを確認することができますが、通知機能が備わっていません。AWS CloudTrail単独だと、例えば思わしくない操作が行われたときに即時に知ることができるような機能はないということです。

Amazon CloudWatch Logsと連携すれば、ログ情報が保存された際にアラート通知やフィルターをかけることができます。それによって、あとからではなく即時にログの情報を確認できるようになります。

まとめ

AWS CloudTrailを利用すれば、企業のセキュリティやコンプライアンスなどを効率よく監査することができます。AWSに標準搭載されているサービスで、90日間分のデータが無料で蓄積されます。

Amazon CloudWatchと連携させることにより、管理の自動化も容易になります。AWSの他のサービスと連携して利用できるので、使い方や特徴を理解してぜひセキュリティやコンプライアンス対策の効率化に努めましょう。