AWS CloudTrailとは?基本や特徴、メリットをわかりやすく解説
情報セキュリティの重要性がますます高まる現代では、クラウド環境におけるアクティビティの監視と記録が欠かせない要素となっています。
そこで注目を集めているのが「AWS CloudTrail」です。「いつ」「誰が」「何に対して」「何をしたか」といった重要な情報を的確に記録・監視することができるこのサービスは、AWS(Amazon Web Services)の中でも特に注目されるサービスの一つです。
では、「AWS CloudTrail」とは一体何なのでしょうか?
ここでは、AWS CloudTrailの基本や特徴、メリットをわかりやすく解説していきます。
INDEX[非表示]
- 1.AWS CloudTrailとは?
- 1.1.AWS CloudTrailの仕組み
- 1.1.1.すべてのリージョンに適用される証跡(Trail)
- 1.1.2.一つのリージョンに適用される証跡(Trail)
- 1.2.AWS CloudTrailで記録できる操作
- 2.AWS CloudTrailのメリット
- 2.1.コンプライアンス対応
- 2.2.セキュリティ分析
- 2.3.トラブルシューティング
- 3.AWS CloudTrailの料金・課金体系
- 3.1.ログの保存に用いたストレージ使用量
- 3.2.S3のリクエスト
- 3.3.ログの転送料金
- 4.AWS CloudTrailを利用する際の注意点
- 5.まとめ
AWS CloudTrailとは?
「AWS CloudTrail」は、アカウント内でおこなわれるすべてのアクティビティを記録・監視するためのサービスです。デフォルトの状態で「ON」になっており、過去90日間の履歴が保存されます。
また基本機能は無料で利用できます。AWS CloudTrailを利用してアカウントのアクション履歴を可視化すれば、セキュリティを強化するうえで強力なツールとなることでしょう。
セキュリティ対策やコンプライアンス要件を満たすために、AWS CloudTrailをどのように活用できるのか、さまざまな視点から見ていきましょう。
AWS CloudTrailの仕組み
AWS CloudTrailは、AWSアカウント作成時から証跡(Trail)と呼ばれるログ収集設定を使って、アカウント内で実行されるアクションを自動で記録できます。AWSアカウントでは2種類の証跡(Trail)を作成することが可能です。
すべてのリージョンに適用される証跡(Trail)
「すべてのリージョンに適用される証跡(Trail)」は、すべてのAWSリージョンで発生したイベントを記録します。
特定のリージョンでログを作成する必要がない場合や、AWSアカウント全体のアクションを追跡したい場合に便利です。
一つのリージョンに適用される証跡(Trail)
「一つのリージョンに適用される証跡(Trail)」は、特定のAWSリージョンで発生したイベントのみを記録します。
特定のリージョンでのアクティビティを重点的に監視したい場合に適しています。
AWS CloudTrailで記録できる操作
次に、どのようなイベントカテゴリに対してアクションを記録できるのか確認していきましょう。
管理イベント
「管理イベント」は、AWSアカウント内でおこなわれる管理アクションを指します。具体的には、EC2インスタンスやS3(Simple Storage Service)バケット、Lambda関数などのAWSリソースの作成、変更、削除といったアクションやAWSアカウントの設定変更などを記録します。
データイベント
「データイベント」は、S3バケット内のデータの作成、編集、削除などの操作、Lambda関数の実行など、AWSリソース内のデータアクセスやデータ変更に関連する操作を記録します。
インサイトイベント
「インサイトイベント」は、AWSアカウントの操作において、通常とは異なる異常な操作(AWS CloudTrailのログから典型的な使用パターンを学習し、それから逸脱した操作を検出する機能)を記録します。
AWS CloudTrailのメリット
AWS CloudTrailを利用すると多くのメリットがあります。それぞれ見ていきましょう。
コンプライアンス対応
AWS CloudTrailを用いればユーザーの操作履歴を確認することができるため、社内ポリシーやコンプライアンスに反した操作や運用を発見することができます。
また不正発生時の追跡が可能となるため、不正な行動に対する抑止力になります。
セキュリティ分析
AWS CloudTrailで収集したログデータを解析することで、ユーザーの行動パターンを検出し、アカウントのセキュリティレベルを向上させることができます。
トラブルシューティング
AWS CloudTrailを用いることで、アカウント内で実行されるアクションの履歴を可視化できるため、問題が発生した際の早期検出が可能です。トラブルシューティングや今後の対策として活用できます。
AWSに関するお悩みは、AWS アドバンストティアサービスパートナーの株式会社エヌアイデイにお気軽にご相談ください。
AWS CloudTrailの料金・課金体系
AWS CloudTrailの料金・課金体系は、以下のような要素によって構成されます。
ログの保存に用いたストレージ使用量
AWS CloudTrailでは90日間のログファイルが無料で保存されますが、長期的にログを保存したい場合は証跡(Trail)を作成してS3へ保存します。その際は、S3バケットのストレージ使用量として課金されます。
ストレージ使用量はログの数、サイズ、保存期間に応じて計算されるため、長期間保存する場合や大規模なログを取得する場合はストレージコストに注意が必要です。
S3のリクエスト
ログファイルの取得や読み取りに対してS3にリクエスト(データのアップロード、ダウンロード、コピー、削除など)をおこなった場合には、リクエスト料金が発生します。この料金はリクエストの数に応じて課金されます。
ログの転送料金
AWS CloudTrailから別のAWSリージョンのS3バケットにログを転送する場合には転送料金が発生しますが、同一リージョン内の場合は無料になります。
AWS CloudTrailを利用する際の注意点
AWS CloudTrailは、次の点に注意する必要があります。これらの注意点を順守することでAWS CloudTrailを効果的に活用し、アカウントのセキュリティと監査の目的を達成できます。
設定・運用管理
タイプや範囲に応じて、適切な証跡(Trail)を設定することが重要です。AWS CloudTrail自体の設定変更や削除なども記録されるため、ログの保護と設定変更のトラッキングにも注意が必要です。
セキュリティ管理
AWS CloudTrailのログに対するアクセス権限を適切に管理することがセキュリティ上重要です。ログの改ざんや故意な削除などのセキュリティリスク対策からも適切なアクセス制御を設定しましょう。
コスト管理
必要な情報だけを収集するようにイベント選択を構成しましょう。
またログ保存にともなうコストを把握し、必要なログを取得しつつコストを最適化しましょう。
まとめ
AWS CloudTrailは、AWSアカウントのアクティビティを記録・監視するための重要なサービスです。セキュリティの向上やコンプライアンス要件の遵守、トラブルシューティングなどに役立ちます。適切な設定と利用方法を理解し、AWS環境をより安全に管理するために活用しましょう。
ただし、無料利用枠を超えた場合や特定の設定を有効にした場合には、追加の料金が発生することもあるため、注意が必要です。AWSの公式Webサイトやドキュメントを参照して、利用料金や無料利用枠の詳細を確認することが重要です。
エヌアイデイはAWS Partner Network「アドバンストティアサービスパートナー」として、AWS認定アーキテクト資格を保有するAWS技術者が、AWS導入サポートやオンプレミスからのマイグレーション、監視・運用サービスなど多くのサポートをおこなっています。
AWSに精通した専門チームがお客様の課題に合わせたAWS構築環境の構築から運用監視まで一気通貫でサポートします。
>>AWS環境構築から運用監視までプロがサポート「Mesoblue MSP」
>>エヌアイデイの「クラウド(AWS)移行」について詳しくはこちら
>>エヌアイデイの「クラウドソリューション」について詳しくはこちら
AWSの導入事例について下記で詳しく紹介しています。ぜひ、あわせてご覧ください。
>>AWSを活用した社内システムマイグレーションの事例詳細はこちら
AWSでできることや構築手順については下記で詳しく紹介しています。ぜひ、あわせてご覧ください。
あわせて読む>> AWSとは?できることや構築手順をわかりやすく解説