CloudTrail ログファイルの整合性の検証 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail ログファイルの整合性の検証

CloudTrail ログファイルが配信後に変更されたか、削除されたか、変更されていないかを判断するには、 CloudTrail ログファイルの整合性検証を使用できます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出されずにログファイルを変更、削除、または偽造することは計算上不可能になります。 CloudTrail を使用して、 AWS CLI 配信された場所にあるファイルを検証できます。 CloudTrail

使用する理由

検証されたログファイルは、セキュリティおよびフォレンシック調査で非常に重要です。たとえば、検証されたログファイルを使用すると、ログファイル自体が変更されていないこと、または特定のユーザーの認証情報が特定の API アクティビティを実行したことを確実にアサートできます。 CloudTrail ログファイルの整合性検証プロセスでは、ログファイルが削除または変更されたかどうかを確認したり、特定の期間にログファイルがアカウントに配信されなかったことを確認したりすることもできます。

仕組み

ログファイルの整合性検証を有効にすると、 CloudTrail 配信されるすべてのログファイルのハッシュが作成されます。 CloudTrail また、過去 1 時間のログファイルを参照し、それぞれのハッシュを含むファイルを 1 時間ごとに作成して配信します。このファイルはダイジェストファイルと呼ばれます。 CloudTrail 公開鍵と秘密鍵のkey pair 秘密鍵を使用して各ダイジェストファイルに署名します。配信後、公開鍵を使用してダイジェストファイルを検証できます。 CloudTrail AWS リージョンそれぞれに異なるキーペアを使用します。

ダイジェストファイルは、 CloudTrail ログファイルと同じトレイルに関連付けられた Amazon S3 バケットに配信されます。ログファイルがすべてのリージョンまたは複数のアカウントから 1 つの Amazon S3 バケットに配信される場合、 CloudTrail それらのリージョンとアカウントのダイジェストファイルを同じバケットに配信します。

ダイジェストファイルは、ログファイルとは別のフォルダに格納されます。このようにダイジェストファイルとログファイルを分離することで、細かいセキュリティポリシーを適用することができ、既存のログ処理ソリューションを変更せずに引き続き運用することができます。各ダイジェストファイルには、存在する場合、前のダイジェストファイルのデジタル署名も含まれます。現在のダイジェストファイルの署名は、ダイジェストファイル Amazon S3 オブジェクトのメタデータプロパティにあります。ダイジェストファイルの内容の詳細については、「CloudTrail ダイジェストファイル構造」を参照してください。

ログおよびダイジェストファイルの保存

CloudTrail ログファイルとダイジェストファイルは、Amazon S3 または S3 Glacier に安全かつ耐久性があり、かつ低コストで無期限に保存できます。Amazon S3 に保存されているダイジェストファイルのセキュリティを強化するために、Amazon S3 MFA Delete を使用することができます。

検証の有効化とファイルの検証

ログファイルの整合性検証を有効にするには、、、または API を使用できます。 AWS Management Console AWS CLI CloudTrail ログファイルの整合性検証を有効にすると、Amazon S3 バケットにダイジェストログファイルを配信できますが、ファイルの整合性は検証されません。 CloudTrail 詳細については、「のログファイルの整合性検証を有効にする CloudTrail」を参照してください。

CloudTrail ログファイルの整合性を検証するには、 AWS CLI を使用するか、独自のソリューションを作成できます。 AWS CLI は、 CloudTrail 配信された場所にあるファイルを検証します。Amazon S3 または他の場所のいずれかで、別の場所に移動したログを検証する場合、独自の検証ツールを作成することができます。

を使用してログを検証する方法については AWS CLI、を参照してください。 CloudTrail とのログファイルの整合性の検証 AWS CLI CloudTrail ログファイル検証のカスタム実装の開発については、を参照してください。 CloudTrail ログファイルの整合性検証のカスタム実装