目次
AWS CloudTrail の特徴
AWS CloudTrail は、AWS アカウントの運用およびリスク監査、ガバナンス、コンプライアンスを可能にするサービスです。ユーザー、ロール、または AWS サービスによって実行されたアクション(だれが、いつ、どのAWS操作をしたか)は、CloudTrail にイベントとして記録されます。
- ユーザーアクティビティのログを取得することができます。(誰がどのアクションを実行したのか調べることができます。)
- ユーザー、ロール、または AWS のサービスによって実行されたアクションがイベントとして記録されます。
- イベントは、AWS マネジメントコンソール、AWS CLI、AWS SDK、API コールで実行されたアクションが含まれます。
- AWS Config のすべての API コールをイベントとしてキャプチャします。
- CloudTrail はリアルタイム監査はしません。ログを取得するサービスです。
- ログはS3バケットに保存されます。
■AWS CloudTrail のアクティビティ監視の具体的な記録情報
Who, When, Where, What, What の5つのWが記録されます。
CloudTrail ログファイルの整合性の検証(log file integrity validation)
CloudTrail が S3 に配信したログファイルが、その後に改ざん・削除されていないかを確認する仕組みです。これを有効にすると、CloudTrail は通常のログファイルに加えてダイジェストファイルも S3 に配信し、そのダイジェストを使って検証します。
目的は「この監査ログは本当に CloudTrail が出したままの状態か」を後から証明できるようにすることです。検証されたログファイルは、セキュリティおよびフォレンシック調査で非常に重要です。
CloudTrail の整合性検証はログの改ざんを検出する機能なので、仮にログが改ざんされたとしてもログが閲覧できなくなるわけではありません。改ざんが検出した場合は、CloudTrail から警告が出るがログ自体は通常どおり S3 に保存されます。
ダイジェストファイル
ダイジェストファイルは、CloudTrail のログ本体ではなく、「この時間帯に配信されたログファイル一覧とそのハッシュ値をまとめた検証用ファイル」です。CloudTrail のログファイル整合性検証で使われます。
コメント