AWS CloudTrail は、監査、セキュリティモニタリング、運用上のトラブルシューティングを可能にします。CloudTrail は、AWS のサービス全体のユーザーアクティビティや API コールをイベントとして記録します。CloudTrail イベントは、「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。

CloudTrail では、以下の 2 種類の CloudTrail のイベントが記録されます。

  • Amazon Simple Storage Service (S3) のバケットを作成または削除するなど、リソース上のコントロールプレーンアクションをキャプチャする管理イベント
  • Amazon S3 オブジェクトの読み取りや書き込みなど、リソース内のデータプレーンアクションをキャプチャするデータイベント
 
CloudTrail は、他の AWS サービスとのネイティブな統合を通じて、データを取り込むこともできます。
 
  • AWS Config のルールによって評価されたリソースの設定履歴とリソースのコンプライアンス履歴をキャプチャする AWS Config からの設定項目です。
  • AWS Audit Manager からの監査証拠は、Audit Manager のコントロールによって指定された要件への準拠を実証するために必要な情報が含まれています。
 
CloudTrail はこれらのイベントソースを 3 つの機能で利用します。

  • イベント履歴は、コントロールプレーンアクションの 90 日間の履歴を追加料金なしで提供します。CloudTrail は、中核となる監査機能の一環として、暗号化とログファイルの検証のためにお客様が管理するキーを提供し、不変性を可能にします。料金は、有料機能の利用に対してのみ発生します。次の機能の一部は、追加料金なしで提供されます。最低料金や前払いの義務は必要ありません。
  • AWS CloudTrail Lake は、監査やセキュリティの目的のために、AWS 上のユーザーや API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。アクティビティログ (AWS および AWS 以外のソースから) を集約して最大 7 年間イミュータブルに保存し、数秒以内にログをクエリして検索および分析することが可能です。さらに、既存の CloudTrail ログを S3 バケットから既存または新規の CloudTrail Lake イベントデータストアにインポートできます。IT 監査人は、CloudTrail Lake を、監査要件を満たすためのすべてのアクティビティのイミュータブルな記録として利用できます。セキュリティ管理者は、ユーザーのアクティビティが社内ポリシーに則っているかどうかを確認することができます。DevOps エンジニアは、Amazon Elastic Compute Cloud (EC2) インスタンスが応答していない、リソースへのアクセスが拒否されているといった運用上の問題をトラブルシューティングできます。CloudTrail Lake は、データ流出や AWS 環境への不正アクセスなどのセキュリティインシデントに関連するリソースに対して、誰がどのような設定変更を行ったかが分かるため、セキュリティチームが過去に遡って調査を実施できるようにします。CloudTrail Lake により、コンプライアンスエンジニアが本番環境におけるコンプライアンス違反の変更を調査する際に、誰が、どのようなリソース変更を行ったのかを AWS Config ルールを活用しながら調査できます。IT チームは、CloudTrail Lake の 7 年間の保存期間と SQL クエリエンジンにより、設定項目の過去のアセットインベントリ分析を行うことができます。
  • 証跡は、AWS アカウントのアクティビティの記録をキャプチャし、これらのイベントを S3 に配信および保存し、オプションで Amazon CloudWatch Logs や Amazon EventBridge に配信することができます。これらのイベントは、セキュリティ監視ソリューションに取り込むことができます。CloudTrail でキャプチャしたログの検索や分析には、お客様独自のサードパーティーソリューションや Amazon Athena などのソリューションを利用できます。単一の AWS アカウント、または AWS Organizations を使用して複数の AWS アカウントのためにトレイルを作成できます。AWS CloudTrail Insights は、コントロールプレーンのイベントを分析し、API コールボリュームに異常な行動がないか調べ、リソースプロビジョニングのスパイクや定期的なアクティビティのギャップなどの異常なアクティビティを検出することができます。

常時稼動

CloudTrail は、すべての AWS アカウントで有効になっており、手動での設定を必要とせずに、AWS のサービス全体の管理イベントを記録します。AWS 無料利用枠では、CloudTrail コンソールまたは CloudTrail lookup-events API を使用して、アカウントの管理イベントの最新 90 日間の履歴を無料で表示、検索、ダウンロードすることができます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

ストレージとモニタリング

証跡を作成することで、進行中の管理イベントやデータイベントを S3 や、オプションで CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳しくは、AWS アカウントの証跡を作成するを参照してください。CloudTrail Lake は管理される監査およびセキュリティレイクであるため、お客様のイベント (管理イベント、データイベント、AWS Config の設定項目を含む) は自動的にレイク内に保存されます。CloudTrail Lake に設定項目を取り込むには、まず AWS Config の記録を有効にする必要があります。

イミュータブルで暗号化されたアクティビティログ

S3 バケットに格納されている CloudTrail ログファイルの整合性を検証して、CloudTrail から S3 バケットにログファイルが配信されてから、ログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。CloudTrail Lake は、すべてのログを自動的に暗号化します。

CloudTrail では、デフォルトで、指定された S3 バケットに配信されるすべてのログファイルを S3 サーバー側の暗号化 (SSE) を使用して暗号化します。必要に応じて、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることもできます。お客様に復号権限があれば、S3 は自動的にログファイルを復号します。詳細については、AWS KMS 管理キー (SSE-KMS) を使用した CloudTrail ログファイルの暗号化を参照してください。CloudTrail Lake は、ログファイルの変更を防ぐために読み取り専用アクセスを許可します。読み取り専用アクセスは、イベントが自動的にイミュータブルであることを意味します。

インサイトと分析

CloudTrail Lake では、レイク内の監査のために、アクティビティログに対して SQL ベースのクエリを実行することができます。また、トレイルで CloudTrail Insights を有効にすると、AWS アカウントの異常なアクティビティを特定することができます。この例は、リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、または定期的なメンテナンスアクティビティのギャップなどです。お客様の証跡で CloudTrail Insights のイベントを有効にすることができます。

マルチソース

CloudTrail Lake を使うことで、複数のログアグリゲーターやレポートツールを維持することなく、AWS および AWS 以外のソース (クラウドまたはオンプレミスで稼働する社内アプリケーションや SaaS アプリケーションなど) からのアクティビティイベントを統合することができます。CloudTrail コンソールを使用したわずかなステップでパートナー統合を見つけて追加すれば、これらのアプリケーションからのアクティビティイベントを受信できるようになります。利用可能なパートナー統合以外のソースについては、お客様は新しい CloudTrail Lake API を使用して、独自の統合を設定し、CloudTrail Lake にイベントをプッシュすることができます。

マルチリージョン

CloudTrail を設定して、複数の AWS リージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が、既存のリージョンにも新たにサービスを起動したリージョンにも等しく適用されることが保証されます。詳しくは、複数のリージョンから CloudTrail ログファイルを受信するを参照してください。CloudTrail Lake では、複数のリージョンからイベントをキャプチャし、保存することもできます。

マルチアカウント

CloudTrail を設定して、複数の AWS アカウントからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が既存および新規に作成されたすべてのアカウントに等しく適用されることが確認されます。詳しくは、組織の証跡を作成するを参照してください。CloudTrail Lake を使用することで、複数のアカウントからイベントをキャプチャして保存することも可能です。さらに、組織トレイルや CloudTrail Lake イベントデータストアを組織レベルで作成、更新、クエリ、削除するための委任管理者アカウントを最大 3 つまで指定することができます。

開始方法のページにアクセスする

AWS CloudTrail の料金の詳細。

詳細 »
コンソールで構築を開始する

AWS マネジメントコンソールで AWS CloudTrail を使った構築を始めましょう。

サインイン »
エキスパートに問い合わせる

AWS CloudTrail のサポートオプションの詳細をご覧ください。

お問い合わせ »