ログ記録とモニタリングに関するセキュリティコントロールの推奨事項

ログ記録とモニタリングは、脅威検出の重要な側面です。脅威検出は、 AWS クラウド導入フレームワーク (AWS CAF) のセキュリティパースペクティブ機能の 1 つです。ログデータを使用することで、組織は環境をモニタリングして、潜在的なセキュリティ設定ミス、脅威、予期しない動作を理解して特定できます。潜在的な脅威を理解することは、組織がセキュリティコントロールに優先順位を付けるのに役立ち、効果的な脅威検出は、脅威により迅速に対応するために役立ちます。

CloudTrail で少なくとも 1 つのマルチリージョン証跡を設定する

AWS CloudTrail は、 のガバナンス、コンプライアンス、運用リスクを監査するのに役立ちます AWS アカウント。ユーザー、ロール、または によって実行されたアクション AWS のサービス は、イベントとして CloudTrail に記録されます。イベントには、、 AWS Command Line Interface （AWS CLI） AWS Management Console、 AWS SDKs および APIs。このイベント履歴は、セキュリティ体制の分析、リソースの変更の追跡、コンプライアンスの監査に役立ちます。

のイベントを継続的に記録するには AWS アカウント、証跡を作成する必要があります。各証跡は、すべての でイベントを記録するように設定する必要があります AWS リージョン。すべての でイベントをログに記録することで AWS リージョン、 AWS リージョン 発生したイベントに関係なく、 で発生したすべてのイベント AWS アカウント がログに記録されます。マルチリージョン証跡により、グローバルサービスイベントが確実にログに記録されます。

詳細については、以下のリソースを参照してください。

• CloudTrail ドキュメントの CloudTrail 検出セキュリティのベストプラクティス CloudTrail

• CloudTrail ドキュメントのすべてのリージョンに適用されるように、1 つのリージョンに適用される証跡を変換する

• CloudTrail ドキュメントのグローバルサービスイベントログ記録の有効化と無効化

サービスとアプリケーションレベルでログ記録を設定する

AWS Well-Architected フレームワークでは、 サービスおよびアプリケーションからセキュリティイベントログを保持することをお勧めします。これは、監査、調査、運用のユースケースにおけるセキュリティの基本原則です。サービスログとアプリケーションログの保持は、ガバナンス、リスク、コンプライアンス (GRC) の基準、ポリシー、手順によって推進される一般的なセキュリティ要件です。

セキュリティ運用チームは、ログと検索ツールを使用して、不正なアクティビティや意図しない変更を示す可能性のある潜在的な関心のあるイベントを検出します。ユースケースに応じて、さまざまなサービスのログ記録を有効にできます。例えば、Amazon S3 バケットアクセス、 AWS WAF ウェブ ACL トラフィック、ネットワークレイヤーの Amazon API Gateway トラフィック、または Amazon CloudFront ディストリビューションをログに記録できます。

詳細については、以下のリソースを参照してください。

• AWS アーキテクチャブログの「監査と分析のために Amazon CloudWatch Logs を一元化されたアカウントにストリーミングする」

• AWS Well-Architected フレームワークでサービスとアプリケーションのログ記録を設定する

ログを分析し、セキュリティイベントに対応するための一元的な場所を確立する

ログの手動分析と情報の処理は、複雑なアーキテクチャに関連する情報の量に追いつくには不十分です。分析とレポートだけでは、適切なリソースへのイベント割り当てがタイムリーに容易になるわけではありません。 AWS Well-Architected フレームワークでは、 AWS セキュリティイベントと検出結果を、チケット発行、バグ、セキュリティ情報とイベント管理 (SIEM) システムなどの通知とワークフローシステムに統合することをお勧めします。これらのシステムは、セキュリティイベントの割り当て、ルーティング、管理に役立ちます。

詳細については、以下のリソースを参照してください。

• AWS Well-Architected フレームワークでログ、検出結果、メトリクスを一元的に分析する

• 「 セキュリティブログ」のCloudTrail と Amazon Athena を使用してセキュリティ、コンプライアンス、運用アクティビティを分析する AWS 」

• AWS パートナーポートフォリオで脅威の検出および対応サービスを提供する AWS パートナー

CloudTrail ログファイルを含む S3 バケットへの不正アクセスを防止する

デフォルトでは、CloudTrail ログファイルは Amazon S3 バケットに保存されます。CloudTrail ログファイルを含む Amazon S3 バケットへの不正アクセスを防ぐことは、セキュリティのベストプラクティスです。これにより、これらのログの整合性、完全性、可用性を維持できます。これはフォレンジックおよび監査の目的に不可欠です。CloudTrail ログファイルを含む S3 バケットのデータイベントをログに記録する場合は、この目的のために CloudTrail 証跡を作成できます。

詳細については、以下のリソースを参照してください。

• Amazon S3 ドキュメントの S3 バケットのブロックパブリックアクセス設定の構成 Amazon S3

• CloudTrail ドキュメントの CloudTrail 予防的セキュリティのベストプラクティス

• CloudTrail ドキュメントの証跡の作成

セキュリティグループまたはネットワーク ACLs の変更に関するアラートを設定する

Amazon Virtual Private Cloud (Amazon VPC) のセキュリティグループは、関連付けられているリソースに到達および送信できるトラフィックを制御します。ネットワークアクセスコントロールリスト (ACL) は、VPC のサブネットレベルで特定のインバウンドトラフィックまたはアウトバウンドトラフィックを許可または拒否します。これらのリソースは、 AWS 環境でアクセスを管理するために重要です。

セキュリティグループまたはネットワーク ACL 設定が変更された場合に通知する Amazon CloudWatch アラームを作成して設定します。このアラームを設定して、 AWS セキュリティグループを更新するために API コールが実行されるたびに警告します。Amazon EventBridge や などのサービスを使用してAWS Config、これらのタイプのセキュリティイベントに自動的に応答することもできます。

詳細については、以下のリソースを参照してください。

• AWS セキュリティブログの「Amazon VPC セキュリティグループの変更に関する通知を自動的に元に戻して受信する」

• Amazon CloudWatch ドキュメントの「Amazon CloudWatch アラームの使用 CloudWatch 」

• AWS Well-Architected フレームワークで実用的なセキュリティイベントを実装する

• AWS Well-Architected フレームワークのイベントへの応答を自動化する

ALARM 状態に入る CloudWatch アラームのアラートを設定する

CloudWatch では、アラームが 、OK、ALARMおよび 状態の間でINSUFFICIENT_DATA状態を変更したときに実行するアクションを指定できます。アラームアクションの最も一般的なタイプは、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信して 1 人以上のユーザーに通知することです。アラームを設定して、 で OpsItems またはインシデントを作成することもできます AWS Systems Manager。

アラームアクションをアクティブ化して、モニタリング対象のメトリクスが定義されたしきい値を下回った場合に自動的にアラートを送信することをお勧めします。アラームをモニタリングすることで、異常なアクティビティを特定し、セキュリティや運用上の問題に迅速に対応できます。

詳細については、以下のリソースを参照してください。

• AWS Well-Architected フレームワークで実用的なセキュリティイベントを実装する

• CloudWatch ドキュメントのアラームアクション