AWS CloudTrail は、監査、セキュリティモニタリング、運用上のトラブルシューティングを可能にします。CloudTrail は、AWS のサービス全体のユーザーアクティビティや API コールをイベントとして記録します。CloudTrail イベントは、「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。

CloudTrail は 2 種類の CloudTrail のイベントを記録します。

  • Amazon Simple Storage Service (S3) のバケットを作成または削除するなど、リソース上のコントロールプレーンアクションをキャプチャする管理イベント
  • Amazon S3 オブジェクトの読み取りや書き込みなど、リソース内のデータプレーンアクションをキャプチャするデータイベント
 
CloudTrail は、他の AWS サービスとのネイティブな統合を通じて、データを取り込むこともできます。
 
  • AWS Config のルールによって評価されたリソースの設定履歴とリソースのコンプライアンス履歴をキャプチャする AWS Config からの設定項目です。
  • AWS Audit Manager からの監査証拠は、Audit Manager のコントロールによって指定された要件への準拠を実証するために必要な情報が含まれています。
 
CloudTrail はこれらのイベントソースを、イベント履歴、CloudTrail レイク、トレイルの 3 つの機能で使用します。これらの機能は一緒に使用することも、単独で使用することもできます。

  • イベント履歴は、AWS リージョンにおける過去 90 日間の管理イベントの表示、検索、ダウンロード、変更不可能な記録をサポートします。イベント履歴の表示には CloudTrail の料金は発生しません。
  • CloudTrail Lake は、監査やセキュリティの目的のために、AWS 上のユーザーや API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。AWS ソースと AWS 以外のソースの両方からのアクティビティログを集約、視覚化、クエリし、不変に保存できます。さらに、既存の CloudTrail ログを S3 バケットから既存または新規の CloudTrail Lake イベントデータストアにインポートできます。さらに、CloudTrail 管理イベントをキャプチャしているイベントデータストアで CloudTrail Insights を有効にして、リソースプロビジョニングの急増や定期的なアクティビティのギャップなどの異常なアクティビティを検出できます。CloudTrail Lake を使用すると、CloudTrail コンソールの事前構築済みダッシュボードを使用して、CloudTrail イベントのトップトレンドを視覚化することもできます。IT 監査人は、CloudTrail Lake を、監査要件を満たすためのすべてのアクティビティのイミュータブルな記録として利用できます。セキュリティ管理者は、ユーザーのアクティビティが社内ポリシーに則っているかどうかを確認することができます。DevOps エンジニアは、Amazon Elastic Compute Cloud (EC2) インスタンスが応答していない、リソースへのアクセスが拒否されているといった運用上の問題をトラブルシューティングできます。CloudTrail Lake は、データ流出や AWS 環境への不正アクセスなどのセキュリティインシデントに関連するリソースに対して、誰がどのような設定変更を行ったかが分かるため、セキュリティチームが過去に遡って調査を実施できるようにします。CloudTrail Lake により、コンプライアンスエンジニアが本番環境におけるコンプライアンス違反の変更を調査する際に、誰が、どのようなリソース変更を行ったのかを AWS Config ルールを活用しながら調査できます。IT チームは、CloudTrail Lake の 7 年間の保存期間と SQL クエリエンジンにより、設定項目の過去のアセットインベントリ分析を行うことができます。
  • 証跡は、AWS アカウントのアクティビティの記録をキャプチャし、これらのイベントを S3 に配信および保存し、オプションで Amazon CloudWatch Logs や Amazon EventBridge に配信することができます。これらのイベントは、セキュリティ監視ソリューションに取り込むことができます。CloudTrail でキャプチャしたログの検索や分析には、お客様独自のサードパーティーソリューションや Amazon Athena などのソリューションを利用できます。単一の AWS アカウント、または AWS Organizations を使用して複数の AWS アカウントのためにトレイルを作成できます。AWS CloudTrail Insights は、コントロールプレーンのイベントを分析し、API コールボリュームに異常な行動がないか調べ、リソースプロビジョニングのスパイクや定期的なアクティビティのギャップなどの異常なアクティビティを検出することができます。

常時稼動

CloudTrail は、すべての AWS アカウントで有効になっており、手動での設定を必要とせずに、AWS のサービス全体の管理イベントを記録します。AWS 無料利用枠では、CloudTrail コンソールまたは CloudTrail lookup-events API を使用して、アカウントの管理イベントの最新 90 日間の履歴を無料で表示、検索、ダウンロードすることができます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

ストレージとモニタリング

証跡を作成することで、進行中の管理イベントやデータイベントを S3 や、オプションで CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳しくは、AWS アカウントの証跡を作成するを参照してください。CloudTrail Lake は管理される監査およびセキュリティレイクであるため、お客様のイベント (管理イベント、データイベント、AWS Config の設定項目を含む) は自動的にレイク内に保存されます。CloudTrail Lake に設定項目を取り込むには、まず AWS Config の記録を有効にする必要があります。

イミュータブルで暗号化されたアクティビティログ

S3 バケットに格納されている CloudTrail ログファイルの整合性を検証して、CloudTrail から S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。CloudTrail Lake は、すべてのログを自動的に暗号化します。

CloudTrail では、デフォルトで、指定された S3 バケットに配信されるすべてのログファイルを S3 サーバー側の暗号化 (SSE) を使用して暗号化します。必要に応じて、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることもできます。お客様に復号権限があれば、S3 は自動的にログファイルを復号します。詳細については、AWS KMS 管理キー (SSE-KMS) を使用した CloudTrail ログファイルの暗号化を参照してください。CloudTrail Lake は、ログファイルの変更を防ぐために読み取り専用アクセスを許可します。読み取り専用アクセスは、イベントが自動的にイミュータブルであることを意味します。

インサイトと分析

CloudTrail Lake では、アクティビティログに SQL ベースのクエリを実行してレイク内の監査を行ったり、CloudTrail イベントで SQL クエリを実行して CloudTrail Lake ダッシュボードのデータを詳しく調べたりすることができます。また、トレイルで CloudTrail Insights を有効にすると、AWS アカウントの異常なアクティビティを特定することができます。さらに、Amazon Athena を使用すると、他のソースからのデータとともに CloudTrail Lake の監査可能なログをインタラクティブにクエリできます。データの移動や複製といった複雑な運用は必要ありません。例えば、セキュリティエンジニアは Athena を使用して、CloudTrail Lake のアクティビティログと Amazon S3 のアプリケーションおよびトラフィックログを関連付け、セキュリティインシデントの調査を行うことができます。また、コンプライアンスエンジニアや運用エンジニアは、Amazon QuickSight と Amazon Managed Grafana を使用して CloudTrail Lake のアクティビティログを可視化し、コンプライアンス、コスト、使用状況のレポートを作成できるようになりました。

マルチクラウドとマルチソース

AWS CloudTrail Lake を使うことで、複数のログアグリゲーターやレポートツールを維持することなく、AWS および AWS 以外のソース (クラウドまたはオンプレミスで稼働する社内アプリケーションや SaaS アプリケーションなど) からのアクティビティイベントを統合することができます。CloudTrail Lake API を使用してデータ統合をセットアップし、イベントを CloudTrail Lake にプッシュできます。サードパーティのツールと統合するには、CloudTrail コンソールのパートナー統合により、いくつかの手順でこれらのアプリケーションからアクティビティイベントの受信を開始できます

マルチリージョン

CloudTrail を設定して、複数の AWS リージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が、既存のリージョンにも新たにサービスを起動したリージョンにも等しく適用されることが保証されます。詳しくは、複数のリージョンから CloudTrail ログファイルを受信するを参照してください。CloudTrail Lake では、複数のリージョンからイベントをキャプチャし、保存することもできます。

マルチアカウント

CloudTrail を設定して、複数の AWS アカウントからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が既存および新規に作成されたすべてのアカウントに等しく適用されることが確認されます。詳しくは、組織の証跡を作成するを参照してください。CloudTrail Lake を使用すると、AWS Organizations 全体のアカウントのイベントをキャプチャして保存することもできます。さらに、組織トレイルや CloudTrail Lake イベントデータストアを組織レベルで作成、更新、クエリ、削除するための委任管理者アカウントを最大 3 つまで指定することができます。

開始方法のページにアクセスする

AWS CloudTrail の料金の詳細。

詳細 »
コンソールで構築を開始する

AWS マネジメントコンソールで AWS CloudTrail を使った構築を始めましょう。

サインイン »
エキスパートに問い合わせる

AWS CloudTrail のサポートオプションの詳細をご覧ください。

お問い合わせ »