AWS CloudTrailログのセキュリティモニタリング入門：クラウドセキュリティモニタリングのベストプラクティス（1）（1/4 ページ）

クラウド／クラウドネイティブプラットフォームのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第1回はAWS CloudTrailログのモニタリングについて解説する。

[萩野たいじ監修，Datadog]

＊本連載では、Datadogのホワイトペーパーよりベンダー中立的な部分を抜粋し、＠ITの表記ルールに合わせるために改変を加えています。（編集部）

　Amazon Web Services（AWS）でクラウドベースのアプリケーションをビルド、拡張、管理しているエンジニアリングチームは、自社で使用しているアプリケーションやインフラストラクチャが、遅かれ早かれ攻撃を受けることを予測し対策している。しかし、アプリケーションが拡大し、新機能が追加されていく中で、AWS環境のあらゆる領域でセキュリティを確保することは複雑な課題になっている。

　AWS CloudTrailは、AWS環境で発生したアクティビティに関して「誰が」「何を」「どこで」「いつ」実行したのかを追跡し、こうしたアクティビティを監査ログに記録することで、可視化と監査ができるようにする。つまり、CloudTrailの監査ログには、AWSアカウント全体で実行されるアクションを監視し、悪意のある動作を特定し、適切に構成されていないインフラストラクチャの部分を特定するために役立つ情報が含まれている。

AWS CloudTrailの監査ログの構造

　まず、AWS CloudTrailがAWSアカウントのアクティビティをどのように整理してモニタリングするのかを簡単に見ていこう。

セキュリティ管理の新しい手法

　AWS CloudTrailは、自社環境内で検知したアクティビティ（APIリクエストやユーザーログインなど）をイベントとして記録する。アクティビティの詳細はJSON形式で記述され、アクティビティの発生時刻、アクティビティを実行したユーザー、アクティビティによって影響を受けたリソースなどの情報が含まれる。AWS CloudTrailコンソールの「イベント履歴」ページでは、全てのイベントを表示してフィルタリングができる。このページには、発生したイベントを最大90日間表示することが可能だ。