ログ記録とイベント - AWS セキュリティインシデント対応ガイド

ログ記録とイベント

AWS CloudTrail - AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするサービスです。CloudTrail を使用すると、AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングして、保持できます。CloudTrail は、AWS アカウントアクティビティのイベント履歴を提供します。これには、AWS Management Console、AWS SDK、コマンドラインツール、その他の AWS のサービスを通じて実行したアクションが含まれます。このイベント履歴を活用して、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡素化できます。

ログファイルの検証は、セキュリティおよびフォレンジック調査で非常に重要です。CloudTrail が配信したログファイルが後で変更、削除、または変更されていないかどうかを判断するには、CloudTrail ログファイルの整合性の検証を使用できます。この機能は、業界標準のアルゴリズム (ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256) を使用して組み込まれています。これにより、検出されずに CloudTrail ログファイルを変更、削除、または偽造することはコンピューティング的に不可能になります。

デフォルトでは、CloudTrail からバケットに配信されるログファイルは、Amazon サーバー側の暗号化で暗号化されます。オプションとして、AWS Key Management Service (AWS KMS) マネージドキー (SSE-KMS) を CloudTrail ログファイルに使用できます。

Amazon CloudWatch Events - Amazon CloudWatch Events は、AWS リソースの変更や、AWS CloudTrail が API コールをいつ発行したかを記述するシステムイベントのストリームをほぼリアルタイムで配信します。すぐに設定できる簡単なルールを使用して、ルールに一致したイベントを 1 つ以上のターゲット関数またはストリームに振り分けることができます。CloudWatch Events は、運用上の変更が発生すると、これを認識します。CloudWatch Events は、これらの運用上の変更に応答し、是正措置として、必要に応じて環境への応答メッセージの送信、機能のアクティブ化、変更の実施、状態情報のキャプチャを行います。Amazon GuardDuty などの一部のセキュリティサービスは、CloudWatch Events の形式で出力を生成します。

AWS Config - AWS Config は、AWS リソースの設定を評価、監査、審査するためのサービスです。Config は、AWS リソースの設定を継続的にモニタリングおよび記録し、記録した設定を望ましい設定と照らし合わせて評価する作業を自動化できます。Config を使用すると、設定や AWS リソース間の関係の変更を、手動または自動で確認できます。リソース設定の詳細な履歴を確認し、社内ガイドラインで指定している設定に対する全体的なコンプライアンスを判断できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用のトラブルシューティングを簡素化できます。

Amazon S3 アクセスログ - Amazon S3 バケットに機密情報を保存する場合、S3 アクセスログを有効にして、データのすべてのアップロード、ダウンロード、変更を記録できます。このログは、バケット自体に変更 (アクセスポリシーやライフサイクルポリシーの変更など) を記録する CloudTrail ログとは別個に追加されます。

Amazon CloudWatch Logs - Amazon CloudWatch Logs を使用すると、CloudWatch Logs エージェントを使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからのログファイル (オペレーティングシステム、アプリケーション、カスタムのログファイルなど) をモニタリング、保存、アクセスできます。さらに、Amazon CloudWatch Logs は、AWS CloudTrail、Amazon Route 53 の DNS クエリ、VPC フローログ、Lambda 関数、その他のソースからのログをキャプチャできます。その後に、関連するログデータを CloudWatch Logs から取得できます。

Amazon VPC フローログ - VPC フローログを使用すると、VPC 内のネットワークインターフェイスとの間で行き来する IP トラフィックの情報をキャプチャできます。フローログを作成すると、そのデータを Amazon CloudWatch Logs で表示および取得できます。VPC フローログは、いくつかのタスクで役立つ場合があります。例えば、フローログを使用してインスタンスに到達していない特定のトラフィックのトラブルシューティングを行うことができます。これは、制限が過度に厳しいセキュリティグループルールの診断に役立ちます。また、フローログをセキュリティツールとして使用し、インスタンスへのトラフィックをモニタリングすることもできます。

AWS WAF ログ - AWS WAF は、サービスで検査したすべてのウェブリクエストの完全なログ記録をサポートするようになりました。これらのログは、コンプライアンスと監査のニーズに合わせて Amazon S3 に保存したり、デバッグや追加のフォレンジックに役立てたりすることができます。これらのログを参照して、特定のルールがトリガーされた理由や、特定のウェブリクエストがブロックされた理由を理解できます。また、ログを SIEM ツールやログ分析ツールと統合することもできます。

その他の AWS ログ - イノベーションのペースに合わせて、AWS はほぼ毎日お客様向けの新しい機能をデプロイし続けています。したがって、ログ記録およびモニタリング機能を提供する AWS のサービスは何十種類もあります。AWS のサービスごとに利用できる機能については、そのサービスに関する AWS ドキュメントを参照してください。