AWS CloudTrail
ユーザーガイド (Version 1.0)

CloudTrail ログファイルの整合性の検証

CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断するには、CloudTrail ログファイルの整合性の検証を使用することができます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。AWS CLI を使用して CloudTrail が配信した場所のファイルを検証することができます。

使用する理由

検証されたログファイルは、セキュリティおよびフォレンシック調査で非常に重要です。たとえば、検証されたログファイルを使用すると、ログファイル自体が変更されていないこと、または特定のユーザーの認証情報が特定の API アクティビティを実行したことを確実にアサートできます。CloudTrail ログファイルの整合性の検証プロセスでは、ログファイルが削除または変更されたかどうかを知ることもできます。また、指定された期間内にログファイルがアカウントに配信されていないことを確実にアサートします。

仕組み

ログファイルの整合性の検証を有効にすると、CloudTrail は、配信するすべてのログファイルに対してハッシュを作成します。また、1 時間ごとに、CloudTrail は、過去 1 時間のログファイルを参照し、それぞれのハッシュを含むファイルを作成して配信します。このファイルはダイジェストファイルと呼ばれます。CloudTrail は、パブリックキーとプライベートキーペアのプライベートキーを使用して、各ダイジェストファイルに署名します。配信後、パブリックキーを使用してダイジェストファイルを検証できます。CloudTrail は、AWS リージョンごとに異なるキーペアを使用します。

ダイジェストファイルは、 ログファイルと同じ証跡に関連付けられた バケットに配信されます。ログファイルがすべてのリージョンまたは複数のアカウントから単一の Amazon S3 バケットに配信された場合、CloudTrail は、ダイジェストファイルをそれらのリージョンとアカウントから同じバケットに配信します。

ダイジェストファイルは、ログファイルとは別のフォルダに格納されます。このようにダイジェストファイルとログファイルを分離することで、細かいセキュリティポリシーを適用することができ、既存のログ処理ソリューションを変更せずに引き続き運用することができます。各ダイジェストファイルには、存在する場合、前のダイジェストファイルのデジタル署名も含まれます。現在のダイジェストファイルの署名は、ダイジェストファイル Amazon S3 オブジェクトのメタデータプロパティにあります。ダイジェストファイルの内容の詳細については、「CloudTrail ダイジェストファイルの構造」を参照してください。

ログおよびダイジェストファイルの保存

CloudTrail のログファイルとダイジェストファイルは、Amazon S3 または Glacier に、無期限に安全、永続的、安価に保存できます。Amazon S3 に保存されているダイジェストファイルのセキュリティを強化するために、Amazon S3 MFA Delete を使用することができます。

検証の有効化とファイルの検証

ログファイルの整合性の検証を有効にするには、AWS マネジメントコンソール、AWS CLI、CloudTrail API を使用することができます。詳細については、「CloudTrail のログファイルの整合性検証を有効にする」を参照してください。

CloudTrail ログファイルの整合性を検証するには、AWS CLI を使用するか、独自のソリューションを作成することができます。AWS CLI は、CloudTrail が配信した場所のファイルを検証します。Amazon S3 または他の場所のいずれかで、別の場所に移動したログを検証する場合、独自の検証ツールを作成することができます。

AWS CLI を使用したログの検証についての詳細は、「 による ログファイルの整合性の検証」を参照してください。CloudTrail ログファイル検証のカスタム実装の開発についての詳細は、「CloudTrail ログファイルの整合性検証のカスタム実装 」を参照してください。

このページの内容: