COLUMN

AWSサービスのイベント履歴を記録する「AWS CloudTrail」とは？実際に利用してみた

「いつ」、「だれが」、「何を」したのかを記録してくれるサービスがAWS CloudTrailです。
AWSアカウントのガバナンス、コンプライアンス順守、運用とリスクの監査に利用できます。
当コラムではAWS CloudTrailの簡単な説明と、実際の利用例を紹介します。

こちらのコラム「AWS CloudTrailを活用したイベント管理」では概要、メリット、使い方を紹介しています。
是非ご確認ください。

AWS CloudTrailとは？

AWSサービスで使用したAPIコールを記録し、「いつ」、「だれが」、「何を」したのかを確認できます。
記録可能なイベントは、「セキュリティグループの設定やデバイスの登録などのアクティビティ（管理イベント）」と「S3バケットのデータ操作やLambda関数の実行などアクティビティ（データイベント）」の2種類あります。

AWS CloudTrailはデフォルトで管理イベントを90日間、無料で記録しています。しかし、データイベントはデフォルトの状態では「OFF」になっており、記録するためには、設定が必要で、記録したイベント数に応じた利用料金が発生します。
また、データの保存期間は90日間のため、長期的に保存したい場合には、Amazon S3などのストレージサービスを利用してください (ストレージサービスの利用料金は別途発生します)

特長

特長を項目に分けて説明します。

コンプライアンス順守の指針

ユーザーアクティビティ履歴を確認できるため、社内ポリシーおよび規制基準への準拠がより簡単になります。
トラブルが生じた場合に問題のある行動を特定できることに加え、従業員の不正な行動に対する抑止力になります。

データ不正引き出しの検出

ユーザーアクティビティ履歴を確認できることにより、データの不正引き出しを検出できます。

セキュリティ分析

イベントをログで管理しているため、ログデータを分析ソリューションに取り込むことにより、ユーザーの行動パターンを検出し、セキュリティ分析に役立てることができます。

トラブルシューティング

AWS CloudTrailで作成、変更、削除の操作履歴をチェックすることで、どのユーザーがどのような操作をしたのかが一目でチェックすることができます。これによって上述したコンプライアンスの順守やセキュリティポリシーに反した操作を行われていないか確認できるので、業務上の事故を発見することが可能です。

画面を用いた解説

それでは、具体的な例を元に解説していきます。今回、「AWS CloudTrailのイベント履歴から削除されたインスタンス」を、「いつ」「誰が」削除したのか確認します。
左側のイベント履歴をクリックします。

イベント履歴ではユーザー、グループ、または AWS のサービスによって行われたアクティビティを記録しており、過去のアクティビティを確認できます。
イベントデータをCSVやJSONの形式でダウンロードも可能です。
各イベントに対応するイベント時間、ユーザー名、イベント名、リソースタイプ、リソース名が記載されています。

今回は削除されたインスタンスのIDをフィルターにかけ検索します。
フィルターで「リソース名」を指定し、削除されたインスタンスIDを入力しEnterキーを押下します。

以下のようにイベント履歴が確認できます。
最後のイベントであるTerminateInstancesの詳細を確認します。

イベント時間で「いつ」を確認し、ユーザー名で「誰が」を確認できました。
イベント名に「TerminateInstances」と記載されているため当イベントで削除されたことが確認できます。

※AWS Configを利用している方は「Configのタイムライン」の欄にあるアイコンをクリックすることでAWS Configのタイムラインに画面遷移します。

データイベントの記録方法

S3 オブジェクトレベルの API アクティビティやLambda 関数の実行アクティビティを記録したい場合はデータイベントの記録が必要となります。
データイベントを記録するには、記録を収集したいリソースまたはリソースタイプを設定する必要があります。ここでは、データイベントの記録方法を紹介します。

データイベントを記録するために「証跡の作成」が必要になります。
左側の「証跡情報」をクリックします。

「証跡の作成」をクリックします。

以下は「証跡の作成」項目の説明です。
証跡名：任意の名前を記載

読み込み/書き込みイベント：任意のイベントを選択
AWS KMSのイベントを記録する：任意で選択

Insightsイベント：Insightsイベントを記録するかを選択

※追加料金が発生します。

データイベント：S3、Lambdaのデータイベントを記録するか選択

※追加料金が発生します。
「アカウントのすべてのS3バケットの選択」をチェックすることでS3のデータイベントではAmazon S3 オブジェクトレベルの API アクティビティ(例:GetObject、DeleteObject、PutObject API オペレーション)を記録できます。

AWS Lambda では関数の実行アクティビティ (Invoke API)の個別の関数、または現在および将来のすべての関数について選択し記録できます。

ストレージの場所：新規で作成または既存のS3バケット先を指定

※S3の利用料が発生します。

タグ：キーと値を入力
証跡と証跡のログファイルを保存するために使用する Amazon S3 バケットに同じタグを追加することで、AWS リソースグループ でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。

右下の「作成」をクリックします。

以下のように証跡が作成されます。

おわりに

今回は、セキュリティ強化、コンプライアンス順守に向けたAWS CloudTrailについて解説いたしました。設定は非常に簡単にできますので、不測の事態に備えて、設定しておいてはいかがでしょうか。