【初めてのAWS】セキュリティの不安を緩和するには_①

AWSを初めて導入する運用管理者の方々、日々の業務お疲れさまです。
今現在、慣れないAWS移行プロジェクトに悪戦苦闘していたり、
日々の運用に手こずっておられる方もいられるのではないでしょうか。

そんな日々苦労していらっしゃるAWS運用管理者のために少しでもお手伝いができたらと思います。

AWSを日々運用していると、

誰がどんな操作をしているのかとか、誰がいつログインしたのかというようなことが気になりませんか。
正直、私は何かあったときの事を考えてしまい気になってしまいます。
ログとか証跡をきちんと記録しておかなければと心配になります。

そんな私と同じような不安や心配を抱えているAWS管理者の方々へ
おすすめのサービスを紹介したいと思います。 

『AWS CloudTrail』

CloudTrailとは、

AWS管理者の心配や不安を軽減してくれる大事なセキュリティサービスです。AWS上で行われた操作をログとして記録してくれるので、いつ誰がどんな操作を行ったか確認できたり、悪意のある操作を抑止してくれたり、セキュリティ対策やコンプライアンスの準拠にも使うことができます。

このサービスは、デフォルトで有効になっており、いい感じにログを記録してくれる無料のサービスです。AWS管理者のセキュリティの不安や心配を和らげてくれます。

3つの特徴

CoudTrailには３つの特徴があります。
 1. ログ記録機能
 2. コンプライアンス
 3. 不正抑止

ひとつひとつ見ていきましょう 

1.ログ記録機能

誰がいつどんな操作をしたか後から振り返って確認するケースってまれに起こると思います。
誤った作業をしてしまったとか作業後にシステムに異変が起こって障害が起きてしまったなどなど。
そんな緊急時にもCloudTrailのログを確認すれば問題が起きた痕跡や証拠を
掴むことができます。
システムの異変や問題解消の早期発見につなげることができますね。

2.コンプライアンス

企業や業界などによっては遵守するべきセキュリティルールや基準のようなものがあります。コンプライアンスと表現される場合も多いかと思います。
その守るべきコンプライアンスの中に、「操作ログや証跡を記録し管理すること」というような項目が入っているケースは多いと思います。

CloudTrailを利用することにより、こうしたコンプライアンスに準拠することができます。

3.不正抑止

AWS管理者なら悪意のある操作をできるかぎり抑止したいと考えるものです。操作ログを記録していることを社内に通知しておけば、抑止効果も高まります。また、CloudTrail Insightsという機能もあり、何か異常な操作が行われた場合に検知をしてくれる機能もあります。

※CloudTrail Insightsの詳細については別途紹介したいと思います。

CloudTrail注意する点を2つ

デフォルトのログ記録期間は90日です。
90日以上ログを保存しておきたい場合は、別途、「証跡」という設定をすることにより長期間の保存ができるようになります。

CloudTrailで取得できるイベントとしては、管理イベントとデータイベントという2種類があるのですが、デフォルトで取得できるのは管理イベントです。
データイベントは「証跡」の設定をすることにより取得することが可能となりますが、取得するとコストが発生するとともに、ログ容量が大量になる可能性が高いため、取得するかどうかは慎重に検討する必要があります。

まとめ

このサービスを利用することで、社内のコンプライアンスを満たし、証跡の記録もできるようになり、不正操作の抑止対策の一助となります。
AWSセキュリティサービスの中でも特に大事なサービスとなります。

AWS運用の不安や心配を軽減させながら上手に管理していきたいですね。

参考

AWS CloudTrail とは? - AWS CloudTrail

関連

【初めてのAWS】セキュリティの不安を緩和するには_① 　←今ここ
【初めてのAWS】セキュリティの不安を緩和するには_②
【初めてのAWS】セキュリティの不安を緩和するには_③
【初めてのAWS】セキュリティの不安を緩和するには_④
【初めてのAWS】セキュリティの不安を緩和するには_⑤