コンプライアンス監査とセキュリティ分析

AWS CloudTrail を使って、AWS アカウントアクティビティを継続的にモニタリングできます。AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルな AWS のサービスによる API コールを含む、アカウントの AWS API コールの履歴がキャプチャされます。CloudTrail をサポートするサービスの AWS API を呼び出したユーザーやアカウント、呼び出し元の IP アドレス、呼び出しの時間を特定できます。API を使用したアプリケーションへの CloudTrail の統合や、組織の証跡作成の自動化、証跡のステータスのチェック、管理者が CloudTrail ロギングを有効または無効にする方法の制御を行うことができます。

CloudTrail ログは、複数のリージョンと複数の AWS アカウントから 1 つの Amazon S3 バケットに集約できます。AWS では、ロギング用に指定された AWS アカウント (ログアーカイブ) で、アクセスが制限された Amazon S3 バケットにログ、特に AWS CloudTrail ログを書き込むことを推奨しています。バケットに対するアクセス許可は、ログの削除を防止する必要があります。また、Amazon S3 で管理された暗号化キー (SSE-S3)、または AWS KMS で管理されたキー (SSE-KMS) でサーバー側での暗号化を使って、保管中のログを暗号化する必要があります。CloudTrail ログファイルの整合性の検証は、CloudTrail がログファイルを配信した後に変更や削除、変更がなかったかどうかを判断するために使うことができます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュには SHA-256 、デジタル署名には RSA を使用した SHA-256 が使われています。これにより、検出されることなく、CloudTrail ログファイルをコンピュータで変更や削除、偽造することは困難になります。CloudTrail のファイル配信先にあるファイルの検証には、AWS Command Line Interface (AWS CLI) を使用できます。

Amazon S3 バケットに集められた CloudTrail ログは、監査目的で、またはトラブルシューティングのために分析できます。ログが一元化されたら、セキュリティ情報およびイベント管理 (SIEM) ソリューションと統合することや、ログを分析して Amazon QuickSight ダッシュボードで視覚化するために、Amazon Athena や CloudTrail Insights などの AWS のサービスを使用することができます。CloudTrail ログを一元化したら、同じ Log Archive アカウントを使用して、CloudWatch Logs や AWS ロードバランサーなどの他のソースからのログを一元化することもできます。

図 2 — AWS CloudTrail を使用したコンプライアンス監査とセキュリティ分析のアーキテクチャの例

AWS CloudTrail ログは、事前設定された Amazon CloudWatch Events を開始することもできます。イベントの発生をユーザーやシステムに通知したり、修復アクションのためにこれらのイベントを使うこともできます。例えば、Amazon EC2 インスタンスのアクティビティをモニタリングする場合、CloudWatch イベントルールを作成できます。Amazon EC2 インスタンスで特定のアクティビティが発生し、イベントがログにキャプチャされると、ルールによって AWS Lambda 関数が実行され、イベントに関する通知メールが管理者に送信されます。(図 3 を参照)。 メールには、イベントの発生日時、アクションを実行したユーザー、Amazon EC2 の詳細などの情報が含まれます。次の図は、イベント通知のアーキテクチャを示しています。

図 3 — AWS CloudTrail イベント通知の例