AWS CloudTrail の機能

イベント履歴は、AWS リージョンにおける過去 90 日間の管理イベントの表示、検索、ダウンロード、イミュータブルな記録をサポートします。イベント履歴の表示には CloudTrail の料金は発生しません。

CloudTrail イベント履歴は、すべての AWS アカウントで有効になっており、AWS のサービス全体の管理イベントを記録します。手動で設定する必要はありません。AWS 無料利用枠では、CloudTrail コンソールまたは CloudTrail lookup-events API を使用して、アカウントの管理イベントの最新 90 日間の履歴を無料で表示、検索、ダウンロードすることができます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

証跡は、AWS アカウントのアクティビティの記録をキャプチャし、これらのイベントを Amazon S3 に配信および保存します。必要に応じて Amazon CloudWatch Logs や Amazon EventBridge への配信も可能です。これらのイベントは、セキュリティモニタリングソリューションに取り込むことができます。CloudTrail でキャプチャしたログの検索や分析には、お客様独自のサードパーティーソリューションや Amazon Athena などのソリューションを利用できます。証跡は、単一の AWS アカウントに対して作成するか、AWS Organizations を使用して複数の AWS アカウントに対して作成できます。

証跡を作成して、S3 に CloudTrail イベントを配信するか、必要に応じて CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳細については、「AWS アカウントの証跡を作成する」を参照してください。

S3 バケットに格納されている CloudTrail ログファイルの整合性を検証し、CloudTrail から S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。CloudTrail ではデフォルトで、指定された S3 バケットに配信されるすべてのログファイルを S3 サーバー側の暗号化 (SSE) を使用して暗号化します。必要に応じて、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることもできます。お客様に復号権限があれば、S3 は自動的にログファイルを復号します。詳細については、「AWS KMS 管理キー (SSE-KMS) を使用した CloudTrail ログファイルの暗号化」を参照してください。

CloudTrail を設定して、複数の AWS リージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が既存のリージョンと新たにサービスを起動したリージョンに等しく適用されるようになります。詳細については、「複数のリージョンから CloudTrail ログファイルを受信する」を参照してください。

CloudTrail を設定して、複数の AWS アカウントからのイベントを 1 つの場所にキャプチャして保存することができます。この設定により、すべての設定が既存および新たに作成されたすべてのアカウントに等しく適用されるようになります。詳細については、「組織の証跡を作成する」を参照してください。

CloudTrail Lake は、監査やセキュリティを目的として、AWS 上のユーザーや API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。AWS ソースと AWS 以外のソースの両方からアクティビティログを集約、視覚化、クエリし、イミュータブルに保存できます。IT 監査人は、すべてのアクティビティのイミュータブルな記録として CloudTrail Lake を使用し、監査要件を満たすことができます。セキュリティ管理者は、ユーザーのアクティビティが社内ポリシーに則っているかどうかを確認することができます。DevOps エンジニアは、Amazon Elastic Compute Cloud (EC2) インスタンスが応答していない、リソースへのアクセスが拒否されているなどの運用上の問題をトラブルシューティングできます。 

CloudTrail Lake は監査およびセキュリティのマネージドレイクであるため、イベントはレイク内に保存されます。CloudTrail Lake は、ログファイルの変更を防ぐために読み取り専用アクセスを付与します。読み取り専用アクセスは、イベントがイミュータブルであることを意味します。

CloudTrail Lake を強力なクエリツールと視覚化ツールを組み合わせて使用すると、AWS アクティビティログをより深く理解できるようになります。SQL ベースのクエリは CloudTrail Lake に保存されているアクティビティログで直接実行できます。SQL にあまり詳しくないユーザーの場合は、AI を活用した自然言語クエリ生成機能を使用すると、複雑なクエリを記述しなくても分析を簡単に行うことができます。

分析をさらに効率化するために、CloudTrail Lake には AI を活用したクエリ結果の要約 (プレビュー) が含まれています。これにより、クエリ結果から得た重要なインサイトを自然言語で要約できます。この機能により、AWS アクティビティログから意味のある情報を抽出するのに必要な時間と労力が削減されます。 

より高度な分析を行う場合は、Amazon Athena を利用すると、他のソースからのデータとともに CloudTrail Lake の監査可能なログをインタラクティブにクエリできます。データの移動やレプリケーションといった複雑な操作は必要ありません。これにより、セキュリティエンジニアは CloudTrail Lake のアクティビティログと Amazon S3 のアプリケーションおよびトラフィックログを関連付け、セキュリティインシデントの調査を行うことができます。コンプライアンスエンジニアや運用エンジニアは、Amazon QuickSight と Amazon Managed Grafana を使用してアクティビティログをさらに視覚化し、包括的な分析とレポートの作成を行うことができます。

AWS CloudTrail Lake を使用すると、複数のログアグリゲーターやレポートツールを維持することなく、AWS および AWS 以外のソース (その他のクラウドプロバイダー、社内アプリケーション、およびクラウド上またはオンプレミスで実行されている SaaS アプリケーションからのデータを含む) からのアクティビティイベントを統合することができます。AWS Config の設定項目や AWS Audit Manager の監査の証拠など、他の AWS サービスからデータを取り込むこともできます。CloudTrail Lake API を使用してデータ統合を設定し、イベントを CloudTrail Lake にプッシュできます。サードパーティーのツールと統合するには、CloudTrail コンソールのパートナー統合からいくつかのステップを踏むだけで、これらのアプリケーションからアクティビティイベントの受信を開始できます。

CloudTrail Lake を使って、複数のリージョンからイベントをキャプチャし、保存できます。

CloudTrail Lake を使用すると、AWS Organizations 全体のアカウントのイベントをキャプチャして保存できます。さらに、組織トレイルや CloudTrail Lake イベントデータストアを組織レベルで作成、更新、クエリ、削除するための委任管理者アカウントを最大 3 つまで指定することができます。