EnterpriseZine Press

AWSのログソリューション「AWS CloudTrail」を有効活用するには

更新日: 2014/07/24
公開日: 2014/07/24

通知

　クラウドサービスを使う上でセキュリティやコンプライアンスをどう保全していくか。クラウド導入が本格化したいま、重要かつ切実な課題だ。なかでもログ管理はその中心にある。AWS（Amazon Web Service）にはWeb APIのログを記録するAWS CloudTrailというサービスがあり、7月1日から東京リージョンでも利用可能となった。これを有効活用するコツとは？7月17日から開催されたAWS Summit Tokyoで行われた「Security Deep Dive」のもようをお届けする。

通知

Page 1

梅谷晃宏氏

　7月17日から開催されたAWS Summit Tokyoでは「Security Deep Dive」と題して、AWSからセキュリティについて解説するセッションがあった。講師はアマゾンデータサービスジャパン株式会社梅谷晃宏氏と高田智己氏。

　セッション冒頭はAWSのセキュリティで重要な概念「責任共有モデル」について。セキュリティはAWSと利用者の双方で確保するという考え方だ。AWSは設備、インフラ（物理、仮想、ネットワーク）などに責任を持ち、利用者はOS、OSファイアウォール、アプリケーション、セキュリティグループ、ネットワーク設定、アカウント管理などに責任を持つという形で分担する。AWSを使うならユーザーは責任共有モデルを理解し、AWSで提供されるサービスをうまく活用し、必要なところに注力するといいだろう。

　セキュリティは高度な知識を必要とする分野ではあるものの、AWSには資料が多く提供されている。AWSセキュリティセンターやAWSコンプライアンスは必ず目を通しておこう。セキュリティセンターのセキュリティリソースとして公開されている資料には「セキュリティ監査チェックリスト(PDF)」がある。英文ではあるものの、参考になるだろう。

　セキュリティやコンプライアンスを確保していくなかで、特に重要なのがログである。技術的な詳細をつめる前に、まずはログについての要件をいろいろと定義する必要がある。組織固有のポリシー、コンプライアンス要件、業務上の処理手順などを整理していく。次にAWS資産を見渡し、どのサービスにどの要件を適用するか、優先度なども踏まえつつ整理していくといった流れとなる。

高田智己氏

　参考として挙げられたのがPCI DSS(Payment Card Industry Data Security Standard)。もとはカード業界のためのグローバルセキュリティ基準ではあるものの、参考にできる部分が多い。PCI DSSでは情報セキュリティに関して12の要件を定めており、そのうち「要件10」はログ監視についてだ。監視対象は7つの項目で構成され、どうするべきか詳細が具体的に記されている。例えばシステム・コンポーネントに対するすべてのアクセス手段を確立することや監査証跡は改変できないように保護することなどだ。

　AWSにはログのためのサービス「AWS CloudTrail」がある。冒頭でも述べた通り、7月から東京リージョンでも利用可能となった。これまでは東京リージョン以外、つまり国外しか選べなかったが、東京リージョンが使えることとなりログは物理的には国内に保存されることとなった。安心して使えるのではないだろうか。

　AWS CloudTrailはアカウントのAWS APIコールを記録する。Amazon EC2やAmazon EBSなど多くのサービスが対象となっている。取得したログはAmazon S3に格納する。Amazon SNSのトピックに通知することもできる。

　ベストプラクティスを高田氏がいくつか案内した。ログの安全性を高めるためにS3のログは読み込み専用にしておくほか、バゲットポリシーを設定して不正アクセスから防御する。加えて暗号化を施す。またIAM（AWS Identity and Access Management）で権限管理を設定し、さらにMFA（AWS Multi-Factor Authentication）も有効化しておくと効果的だ。なおS3はログの保存期間に応じてデータのライフサイクル管理のための機能も合わせて活用すると管理作業が効率化できる。

　注視すべき重要なシステムイベントは以下の通り。

システムコンポーネントの生成と削除
ネットワークアクセスコントロールの変更
アカウント・パーミッションの変更
認証の成功と失敗
重要情報へのアクセスや変更に関するイベント

　例えば未承認のEC2インスタンスが作成されたとき、意図しないセキュリティグループが設定されたり設定が変更されたとき、重要な機能について不正アクセスが行われたときなど。なおCloudTrailそのものも監視対象とすることを忘れずに。

　ログで注視すべきキーワードは「run」や「create」。ほかにも「AuthorizeSecurityGroup」や「CreateNetworksAclEntry」などは検知できるようにしておこう。加えてセキュリティ担当者は1日に1回程度はログを自分の目で確認する習慣を持つといい。やはり人間だとシステムが検知できないものを検知できる可能性もあるし、生のログを見ることである程度の経験や勘が養えるだろう。

　どの「ログ」にも言えることだが、どれもテキストでずらずらと並ぶので残念ながら読みやすいものではない。いかに重要なキーワードで検索をかけていても文字だけでは効率的に監視をするのは難しい。そこで可視化のためのツールを併用するとなおよい。CloudTrailにはパートナー製品もいくつか出ているため、こちらも必要に応じて有効活用すると良さそうだ。

この記事は参考になりましたか？

印刷用を表示

EnterpriseZine Press連載記事一覧: 「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望

「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立...

アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか？ Oktaに...

もっと読む

この記事の著者: 加山恵美（カヤマエミ）

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト：https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事