SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

EnterpriseZine Press

AWSのログソリューション「AWS CloudTrail」を有効活用するには


 クラウドサービスを使う上でセキュリティやコンプライアンスをどう保全していくか。クラウド導入が本格化したいま、重要かつ切実な課題だ。なかでもログ管理はその中心にある。AWS(Amazon Web Service)にはWeb APIのログを記録するAWS CloudTrailというサービスがあり、7月1日から東京リージョンでも利用可能となった。これを有効活用するコツとは?7月17日から開催されたAWS Summit Tokyoで行われた「Security Deep Dive」のもようをお届けする。

梅谷晃宏氏
梅谷晃宏氏

 7月17日から開催されたAWS Summit Tokyoでは「Security Deep Dive」と題して、AWSからセキュリティについて解説するセッションがあった。講師はアマゾン データ サービス ジャパン株式会社梅谷晃宏氏と高田智己氏。

 セッション冒頭はAWSのセキュリティで重要な概念「責任共有モデル」について。セキュリティはAWSと利用者の双方で確保するという考え方だ。AWSは設備、インフラ(物理、仮想、ネットワーク)などに責任を持ち、利用者はOS、OSファイアウォール、アプリケーション、セキュリティグループ、ネットワーク設定、アカウント管理などに責任を持つという形で分担する。AWSを使うならユーザーは責任共有モデルを理解し、AWSで提供されるサービスをうまく活用し、必要なところに注力するといいだろう。

 セキュリティは高度な知識を必要とする分野ではあるものの、AWSには資料が多く提供されている。AWSセキュリティセンターAWSコンプライアンスは必ず目を通しておこう。セキュリティセンターのセキュリティリソースとして公開されている資料には「セキュリティ監査チェックリスト(PDF)」がある。英文ではあるものの、参考になるだろう。

 セキュリティやコンプライアンスを確保していくなかで、特に重要なのがログである。技術的な詳細をつめる前に、まずはログについての要件をいろいろと定義する必要がある。組織固有のポリシー、コンプライアンス要件、業務上の処理手順などを整理していく。次にAWS資産を見渡し、どのサービスにどの要件を適用するか、優先度なども踏まえつつ整理していくといった流れとなる。

高田智己氏
高田智己氏

 参考として挙げられたのがPCI DSS(Payment Card Industry Data Security Standard)。もとはカード業界のためのグローバルセキュリティ基準ではあるものの、参考にできる部分が多い。PCI DSSでは情報セキュリティに関して12の要件を定めており、そのうち「要件10」はログ監視についてだ。監視対象は7つの項目で構成され、どうするべきか詳細が具体的に記されている。例えばシステム・コンポーネントに対するすべてのアクセス手段を確立することや監査証跡は改変できないように保護することなどだ。

 AWSにはログのためのサービス「AWS CloudTrail」がある。冒頭でも述べた通り、7月から東京リージョンでも利用可能となった。これまでは東京リージョン以外、つまり国外しか選べなかったが、東京リージョンが使えることとなりログは物理的には国内に保存されることとなった。安心して使えるのではないだろうか。

 AWS CloudTrailはアカウントのAWS APIコールを記録する。Amazon EC2やAmazon EBSなど多くのサービスが対象となっている。取得したログはAmazon S3に格納する。Amazon SNSのトピックに通知することもできる。

 ベストプラクティスを高田氏がいくつか案内した。ログの安全性を高めるためにS3のログは読み込み専用にしておくほか、バゲットポリシーを設定して不正アクセスから防御する。加えて暗号化を施す。またIAM(AWS Identity and Access Management)で権限管理を設定し、さらにMFA(AWS Multi-Factor Authentication)も有効化しておくと効果的だ。なおS3はログの保存期間に応じてデータのライフサイクル管理のための機能も合わせて活用すると管理作業が効率化できる。

 注視すべき重要なシステムイベントは以下の通り。

  • システムコンポーネントの生成と削除

  • ネットワークアクセスコントロールの変更

  • アカウント・パーミッションの変更

  • 認証の成功と失敗

  • 重要情報へのアクセスや変更に関するイベント

 例えば未承認のEC2インスタンスが作成されたとき、意図しないセキュリティグループが設定されたり設定が変更されたとき、重要な機能について不正アクセスが行われたときなど。なおCloudTrailそのものも監視対象とすることを忘れずに。

 ログで注視すべきキーワードは「run」や「create」。ほかにも「AuthorizeSecurityGroup」や「CreateNetworksAclEntry」などは検知できるようにしておこう。加えてセキュリティ担当者は1日に1回程度はログを自分の目で確認する習慣を持つといい。やはり人間だとシステムが検知できないものを検知できる可能性もあるし、生のログを見ることである程度の経験や勘が養えるだろう。

 どの「ログ」にも言えることだが、どれもテキストでずらずらと並ぶので残念ながら読みやすいものではない。いかに重要なキーワードで検索をかけていても文字だけでは効率的に監視をするのは難しい。そこで可視化のためのツールを併用するとなおよい。CloudTrailにはパートナー製品もいくつか出ているため、こちらも必要に応じて有効活用すると良さそうだ。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6040 2014/07/24 17:01

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング