関連するソリューション
ID-Cross/クラウドサービス
サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 松岡 政之
こんにちは。 CSS 部エバンジェリストの松岡です。
最近すっかり秋を感じる気候になり、窓を開けて寝ると朝晩冷え込んで体調を崩しそうな日も増えてきました。私の周りでも体調を崩している人がちらほら見受けられますが、皆様も病気などにはくれぐれもお気を付けください。
さて今回は、巷では書き尽くされていそうですが、それでも重要な
AWS
のログについていくつか取り上げてみたいと思います。
AWS
のようなクラウドサービスではクラウドゆえの便利さの反面、手元に物がないがために何か起きた場合にすぐに気づいて対応をすることや、なぜ起きたのかを追及することが難しいかもしれません。
そこで、きちんとログを取っておけば事後の追跡を行えるようになり、ログを監視することで何か起きた場合に検知したりすることが可能になります。
それでは以下に
AWS
の代表的なログについて
3
つ取り上げます。
1.AWS CloudTrail
CloudTrail はユーザ等の操作レベルでのログを残すことができる AWS のサービスです。どのような操作が記録されるかは下記ページをご参照ください。各サービス内の「アクション」の部分が記録される操作です。
外部リンク:
AWS
のサービスのアクション、リソース、および条件キー
CloudTrail
は
AWS
を始めてすぐに有効化したほうがいいサービスです。デフォルトでも過去
7
日分のログは取得されているのですが、設定することで
90
日分取得することができます。設定自体も非常に簡単で、ログを取得するリージョンやログの保存先バケットを指定するだけです。ログの保存先である
S3
の料金はかかるものの、
CloudTrail
自体は無料で利用することができます。(
Trail
を複数設定する等設定によっては料金がかかりますが、通常の利用なら無料の範囲内で十分です。)
また、
CloudWatch
や外部のログ管理ツールを用いることでほぼリアルタイムの監視やメール通知などのアラートにも活用することができます。通常ユーザが行わない操作等を通知するようにしておけば、運用の操作ミスや管理者アカウントの不正利用などに気づくことができます。
ここで「ほぼ」リアルタイムとつけたのは、
CloudTrail
自体が実際の操作から
10
分程度遅れてログが出力されるためです。とても便利なログなだけにこの点だけ少し残念です。
外部のログ管理ツールを使う場合は、ログのタイムスタンプとそのログが取り込まれるタイミングに 10 分程度のずれが生じる点にご注意ください。
2.AWS Config
Config
は
AWS
のリソースレベルでの変更履歴を残すことができるサービスです。
どのような変更をサポートしているかは下記ページをご覧ください。
外部リンク:
AWS Config
でサポートされている
AWS
リソースタイプとリソース関係
こちらは
CloudTrail
と違って操作ではなく変更に対して記録をします。また、
Simple notification Service (SNS)
や
CloudWatch
と連携することで外部サービスを使わなくてもメール等で通知することができます。利用方法としては、アカウントの不正利用による想定していない変更の検知や操作ミス等による不要な変更の切り戻し等が考えられます。
Config
に関しても、
CloudTrail
と並んですぐに有効化することをお勧めするサービスです。料金としては
1
変更あたり
0.003USD
(
2018
年
9
月
19
日現在)と非常に安価で、普通に使っている限りは月に数百円程度おさまるかと思います。
また、 CloudTrail と併せて利用することにより検出された変更に関連する操作も同じ画面で確認することができ、いつだれがどのような操作をし、その結果どうなったかまで確認することができます。セットで利用することで痒い所に手が届きますね。
Config には Config ルールというものがあります。こちらはルールに違反しているリソースを検知する機能です。使い方としては、社内のコンプライアンスや監査の規定に沿ったルールを設定し、違反したものの是正のために検知するといったものです。
設定できるルールとしては、「 CloudTrail が有効化されている」「 EBS ボリュームが暗号化されている」などの AWS 側で用意されたマネージドルールと、 AWS Lambda を用いて自作のルールを作成するカスタムルールがあります。
マネージドルールについては下記のページをご参照ください。
外部リンク:
AWS Config
マネージドルールのリスト
料金については
1
ルール当たり
2.00USD/
月(
2018
年
9
月
19
日現在)なため、あまり不要なルールを設定してしまうと金額がかさんでしまいます。ルール数に応じた割引もありますが、計画的なご利用をお勧めします。
3.VPCフローログ
VPC フローログは VPC 内のアクセスログです。 Apache 等のアクセスログを思い浮かべていただければなんとなくイメージがつかめるかと思います。
設定については VPC ごとまたはサブネットごとに取得の有無を設定することができ、 VPC の画面からログの保存先の CloudWatch ロググループを指定するだけで有効化できます。利用方法としては、アクセスログなので外部からの不正アクセスがないか監視することができます。
また、逆に EC2 から不審な通信先にアクセスしていないかも確認することができるので、万が一マルウェア等に感染してしまった場合に C&C サーバ等と通信してしまっている端末を特定するのにも役に立ちます。
料金としては CloudWatch Logs の利用料金が必要になりますが、最初の 5GB は無料枠で利用が可能なので試しに設定して様子を見てみるのもよいでしょう。
ログは平時にはあまり気に留めないかもしれませんが、何か起こった場合にはその調査のためや証跡として非常に重要になってきます。ここまで述べた以外にもサービスの実行ログなど AWS 上で取得できるログはいくつかあります。何か問題が起きた場合に「ログがないのでお手上げです…」とならないよう、利用用途に合わせたログを取得しておきましょう。
それではよいクラウドライフを!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
