SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

EnterpriseZine Press

AWSのログソリューション「AWS CloudTrail」を有効活用するには


 クラウドサービスを使う上でセキュリティやコンプライアンスをどう保全していくか。クラウド導入が本格化したいま、重要かつ切実な課題だ。なかでもログ管理はその中心にある。AWS(Amazon Web Service)にはWeb APIのログを記録するAWS CloudTrailというサービスがあり、7月1日から東京リージョンでも利用可能となった。これを有効活用するコツとは?7月17日から開催されたAWS Summit Tokyoで行われた「Security Deep Dive」のもようをお届けする。

梅谷晃宏氏
梅谷晃宏氏

 7月17日から開催されたAWS Summit Tokyoでは「Security Deep Dive」と題して、AWSからセキュリティについて解説するセッションがあった。講師はアマゾン データ サービス ジャパン株式会社梅谷晃宏氏と高田智己氏。

 セッション冒頭はAWSのセキュリティで重要な概念「責任共有モデル」について。セキュリティはAWSと利用者の双方で確保するという考え方だ。AWSは設備、インフラ(物理、仮想、ネットワーク)などに責任を持ち、利用者はOS、OSファイアウォール、アプリケーション、セキュリティグループ、ネットワーク設定、アカウント管理などに責任を持つという形で分担する。AWSを使うならユーザーは責任共有モデルを理解し、AWSで提供されるサービスをうまく活用し、必要なところに注力するといいだろう。

 セキュリティは高度な知識を必要とする分野ではあるものの、AWSには資料が多く提供されている。AWSセキュリティセンターAWSコンプライアンスは必ず目を通しておこう。セキュリティセンターのセキュリティリソースとして公開されている資料には「セキュリティ監査チェックリスト(PDF)」がある。英文ではあるものの、参考になるだろう。

 セキュリティやコンプライアンスを確保していくなかで、特に重要なのがログである。技術的な詳細をつめる前に、まずはログについての要件をいろいろと定義する必要がある。組織固有のポリシー、コンプライアンス要件、業務上の処理手順などを整理していく。次にAWS資産を見渡し、どのサービスにどの要件を適用するか、優先度なども踏まえつつ整理していくといった流れとなる。

高田智己氏
高田智己氏

 参考として挙げられたのがPCI DSS(Payment Card Industry Data Security Standard)。もとはカード業界のためのグローバルセキュリティ基準ではあるものの、参考にできる部分が多い。PCI DSSでは情報セキュリティに関して12の要件を定めており、そのうち「要件10」はログ監視についてだ。監視対象は7つの項目で構成され、どうするべきか詳細が具体的に記されている。例えばシステム・コンポーネントに対するすべてのアクセス手段を確立することや監査証跡は改変できないように保護することなどだ。

 AWSにはログのためのサービス「AWS CloudTrail」がある。冒頭でも述べた通り、7月から東京リージョンでも利用可能となった。これまでは東京リージョン以外、つまり国外しか選べなかったが、東京リージョンが使えることとなりログは物理的には国内に保存されることとなった。安心して使えるのではないだろうか。

 AWS CloudTrailはアカウントのAWS APIコールを記録する。Amazon EC2やAmazon EBSなど多くのサービスが対象となっている。取得したログはAmazon S3に格納する。Amazon SNSのトピックに通知することもできる。

 ベストプラクティスを高田氏がいくつか案内した。ログの安全性を高めるためにS3のログは読み込み専用にしておくほか、バゲットポリシーを設定して不正アクセスから防御する。加えて暗号化を施す。またIAM(AWS Identity and Access Management)で権限管理を設定し、さらにMFA(AWS Multi-Factor Authentication)も有効化しておくと効果的だ。なおS3はログの保存期間に応じてデータのライフサイクル管理のための機能も合わせて活用すると管理作業が効率化できる。

 注視すべき重要なシステムイベントは以下の通り。

  • システムコンポーネントの生成と削除

  • ネットワークアクセスコントロールの変更

  • アカウント・パーミッションの変更

  • 認証の成功と失敗

  • 重要情報へのアクセスや変更に関するイベント

 例えば未承認のEC2インスタンスが作成されたとき、意図しないセキュリティグループが設定されたり設定が変更されたとき、重要な機能について不正アクセスが行われたときなど。なおCloudTrailそのものも監視対象とすることを忘れずに。

 ログで注視すべきキーワードは「run」や「create」。ほかにも「AuthorizeSecurityGroup」や「CreateNetworksAclEntry」などは検知できるようにしておこう。加えてセキュリティ担当者は1日に1回程度はログを自分の目で確認する習慣を持つといい。やはり人間だとシステムが検知できないものを検知できる可能性もあるし、生のログを見ることである程度の経験や勘が養えるだろう。

 どの「ログ」にも言えることだが、どれもテキストでずらずらと並ぶので残念ながら読みやすいものではない。いかに重要なキーワードで検索をかけていても文字だけでは効率的に監視をするのは難しい。そこで可視化のためのツールを併用するとなおよい。CloudTrailにはパートナー製品もいくつか出ているため、こちらも必要に応じて有効活用すると良さそうだ。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6040 2014/07/24 17:01

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点 NEW
  3. 3
    1日あたり約6億件を捌く「Y-SOC」立役者の塩﨑哲夫氏が語る、横河電機のIT×OTセキュリティ
  4. 4
    藤沢市に訊く、三方よしの「デジタル市役所」への道筋 職員に“馴染む”デジタルプラットフォーム構築法
  5. 5
    リクルートの「データ組織」を統括する阿部直之氏:多様性進化のためのデータマネジメントの方法論とは
  6. 6
    「CISOは役員が務めるべき」AWSからマネーフォワードCISOに転身した松久氏が訴える真意とは
  7. 7
    量子コンピュータ時代のセキュリティリスクに備えよ──耐量子コンピュータ暗号(PQC)への移行ステップ
  8. 8
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  9. 9
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  10. 10
    住友商事、中期経営計画でグループ約900社のDX推進中──SAPベースのSIGMAシステムのインフラにAWSを選択した理由とは?
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    【特別鼎談】“開発と運用の壁”を越えた「DevOps」はなぜ実現できないのか ツール導入の先を考える
  8. 8
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  9. 9
    【NIST SP800-171 解説】サプライチェーンセキュリティが重要視される理由
  10. 10
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点 NEW
  3. 3
    1日あたり約6億件を捌く「Y-SOC」立役者の塩﨑哲夫氏が語る、横河電機のIT×OTセキュリティ
  4. 4
    藤沢市に訊く、三方よしの「デジタル市役所」への道筋 職員に“馴染む”デジタルプラットフォーム構築法
  5. 5
    リクルートの「データ組織」を統括する阿部直之氏:多様性進化のためのデータマネジメントの方法論とは
  6. 6
    「CISOは役員が務めるべき」AWSからマネーフォワードCISOに転身した松久氏が訴える真意とは
  7. 7
    量子コンピュータ時代のセキュリティリスクに備えよ──耐量子コンピュータ暗号(PQC)への移行ステップ
  8. 8
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  9. 9
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  10. 10
    住友商事、中期経営計画でグループ約900社のDX推進中──SAPベースのSIGMAシステムのインフラにAWSを選択した理由とは?
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    【特別鼎談】“開発と運用の壁”を越えた「DevOps」はなぜ実現できないのか ツール導入の先を考える
  8. 8
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  9. 9
    【NIST SP800-171 解説】サプライチェーンセキュリティが重要視される理由
  10. 10
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果