IDコラム

トップページ > コラム >  【エバンジェリスト・ボイス】ク...

【エバンジェリスト・ボイス】クラウドのすゝめ ~AWSログ取得編~ 2018/09/26 (水)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 松岡 政之

こんにちは。CSS部エバンジェリストの松岡です。

最近すっかり秋を感じる気候になり、窓を開けて寝ると朝晩冷え込んで体調を崩しそうな日も増えてきました。私の周りでも体調を崩している人がちらほら見受けられますが、皆様も病気などにはくれぐれもお気を付けください。

さて今回は、巷では書き尽くされていそうですが、それでも重要なAWSのログについていくつか取り上げてみたいと思います。AWSのようなクラウドサービスではクラウドゆえの便利さの反面、手元に物がないがために何か起きた場合にすぐに気づいて対応をすることや、なぜ起きたのかを追及することが難しいかもしれません。

そこで、きちんとログを取っておけば事後の追跡を行えるようになり、ログを監視することで何か起きた場合に検知したりすることが可能になります。

それでは以下にAWSの代表的なログについて3つ取り上げます。


1.AWS CloudTrail

CloudTrailはユーザ等の操作レベルでのログを残すことができるAWSのサービスです。どのような操作が記録されるかは下記ページをご参照ください。各サービス内の「アクション」の部分が記録される操作です。

外部リンク:AWS のサービスのアクション、リソース、および条件キー

CloudTrailAWSを始めてすぐに有効化したほうがいいサービスです。デフォルトでも過去7日分のログは取得されているのですが、設定することで90日分取得することができます。設定自体も非常に簡単で、ログを取得するリージョンやログの保存先バケットを指定するだけです。ログの保存先であるS3の料金はかかるものの、CloudTrail自体は無料で利用することができます。(Trailを複数設定する等設定によっては料金がかかりますが、通常の利用なら無料の範囲内で十分です。)

また、CloudWatchや外部のログ管理ツールを用いることでほぼリアルタイムの監視やメール通知などのアラートにも活用することができます。通常ユーザが行わない操作等を通知するようにしておけば、運用の操作ミスや管理者アカウントの不正利用などに気づくことができます。
ここで「ほぼ」リアルタイムとつけたのは、CloudTrail自体が実際の操作から10分程度遅れてログが出力されるためです。とても便利なログなだけにこの点だけ少し残念です。

外部のログ管理ツールを使う場合は、ログのタイムスタンプとそのログが取り込まれるタイミングに10分程度のずれが生じる点にご注意ください。


2.AWS Config

ConfigAWSのリソースレベルでの変更履歴を残すことができるサービスです。
どのような変更をサポートしているかは下記ページをご覧ください。

外部リンク:AWS Config でサポートされている AWS リソースタイプとリソース関係

こちらはCloudTrailと違って操作ではなく変更に対して記録をします。また、Simple notification Service (SNS)CloudWatchと連携することで外部サービスを使わなくてもメール等で通知することができます。利用方法としては、アカウントの不正利用による想定していない変更の検知や操作ミス等による不要な変更の切り戻し等が考えられます。

Config
に関しても、CloudTrailと並んですぐに有効化することをお勧めするサービスです。料金としては1変更あたり0.003USD2018919日現在)と非常に安価で、普通に使っている限りは月に数百円程度おさまるかと思います。

また、CloudTrailと併せて利用することにより検出された変更に関連する操作も同じ画面で確認することができ、いつだれがどのような操作をし、その結果どうなったかまで確認することができます。セットで利用することで痒い所に手が届きますね。

ConfigにはConfigルールというものがあります。こちらはルールに違反しているリソースを検知する機能です。使い方としては、社内のコンプライアンスや監査の規定に沿ったルールを設定し、違反したものの是正のために検知するといったものです。

設定できるルールとしては、「CloudTrailが有効化されている」「EBSボリュームが暗号化されている」などのAWS側で用意されたマネージドルールと、AWS Lambdaを用いて自作のルールを作成するカスタムルールがあります。

マネージドルールについては下記のページをご参照ください。

外部リンク:AWS Config マネージドルールのリスト

料金については1ルール当たり2.00USD/月(2018919日現在)なため、あまり不要なルールを設定してしまうと金額がかさんでしまいます。ルール数に応じた割引もありますが、計画的なご利用をお勧めします。

  
3.VPCフローログ 

VPCフローログはVPC内のアクセスログです。Apache等のアクセスログを思い浮かべていただければなんとなくイメージがつかめるかと思います。

設定についてはVPCごとまたはサブネットごとに取得の有無を設定することができ、VPCの画面からログの保存先のCloudWatchロググループを指定するだけで有効化できます。利用方法としては、アクセスログなので外部からの不正アクセスがないか監視することができます。

また、逆にEC2から不審な通信先にアクセスしていないかも確認することができるので、万が一マルウェア等に感染してしまった場合にC&Cサーバ等と通信してしまっている端末を特定するのにも役に立ちます。

料金としてはCloudWatch Logsの利用料金が必要になりますが、最初の5GBは無料枠で利用が可能なので試しに設定して様子を見てみるのもよいでしょう。

  

ログは平時にはあまり気に留めないかもしれませんが、何か起こった場合にはその調査のためや証跡として非常に重要になってきます。ここまで述べた以外にもサービスの実行ログなどAWS上で取得できるログはいくつかあります。何か問題が起きた場合に「ログがないのでお手上げです…」とならないよう、利用用途に合わせたログを取得しておきましょう。

それではよいクラウドライフを!

お問い合わせ