AWS CloudTrail は、監査、セキュリティモニタリング、運用上のトラブルシューティングを可能にします。CloudTrail は、AWS のサービス全体のユーザーアクティビティや API コールをイベントとして記録します。CloudTrail イベントは、「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。

CloudTrail では、以下の 2 種類のイベントが記録されます。
  • Amazon Simple Storage Service (Amazon S3) のバケットを作成または削除するなど、リソース上のコントロールプレーンアクションをキャプチャする管理イベント
  • Amazon S3 オブジェクトの読み取りや書き込みなど、リソース内のデータプレーンアクションをキャプチャするデータイベント

CloudTrail はこれらのイベントを 3 つの機能で利用します。
  • イベント履歴は、コントロールプレーンアクションの 90 日間の履歴を追加料金なしで提供します。CloudTrail は、中核となる監査機能の一環として、暗号化とログファイルの検証のためにお客様が管理するキーを提供し、不変性を可能にします。料金は、有料機能の利用に対してのみ発生します。次の機能の一部は、追加料金なしで提供されます。最低料金や前払いの義務は必要ありません。
  • CloudTrail Lake は、監査やセキュリティの目的のために、AWS 上のユーザーや API アクティビティをキャプチャ、保存、アクセス、分析するためのマネージドデータレイクです。アクティビティログ (コントロールプレーンとデータプレーン) を集約して最大 7 年間イミュータブルに保存し、数秒以内にログをクエリして検索および分析することが可能です。 さらに、既存の CloudTrail ログを Amazon S3 バケットから既存または新規の CloudTrail Lake イベントデータストアにインポートできます。IT 監査人は、CloudTrail Lake を、監査要件を満たすためのすべてのアクティビティのイミュータブルな記録として利用できます。セキュリティ管理者は、ユーザーアクティビティが内部ポリシーに確実に準拠しているようにすることができ、DevOps エンジニアは、Amazon Elastic Compute Cloud (EC2) インスタンスが応答していない、リソースへのアクセスが拒否されているといった運用上の問題をトラブルシューティングできます。
  • 証跡は、AWS アカウントのアクティビティの記録をキャプチャし、これらのイベントを Amazon S3 に配信および保存し、オプションで Amazon CloudWatch Logs や Amazon EventBridge に配信することができます。これらのイベントは、セキュリティ監視ソリューションに取り込むことができます。CloudTrail でキャプチャしたログの検索や分析には、お客様独自のサードパーティーソリューションや Amazon Athena などのソリューションを利用できます。単一の AWS アカウント、または AWS Organizations を使用して複数の AWS アカウントのためにトレイルを作成できます。AWS CloudTrail Insights は、コントロールプレーンのイベントを分析し、API コールボリュームに異常な行動がないか調べ、リソースプロビジョニングのスパイクや定期的なアクティビティのギャップなどの異常なアクティビティを検出することができます。

常時稼動

AWS CloudTrail は、すべての AWS アカウントで有効になっており、手動での設定を必要とせずに、AWS のサービス全体の管理イベントを記録します。 AWS 無料利用枠では、CloudTrail コンソールまたは CloudTrail lookup-events API を使用して、アカウントの管理イベントの最新 90 日間の履歴を無料で表示、検索、ダウンロードすることができます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

ストレージとモニタリング

証跡を作成することで、進行中の管理イベントやデータイベントを Amazon S3 や、オプションで Amazon CloudWatch Logs に配信することができます。これにより、完全なイベントの詳細を取得し、必要に応じてイベントをエクスポートし、保存することができます。詳しくは、AWS アカウントの証跡を作成するを参照してください。AWS CloudTrail Lake は管理された監査およびセキュリティレイクであるため、イベントは自動的にレイク内に保存されます。

イミュータブルで暗号化されたアクティビティログ

Amazon S3 バケットに格納されている AWS CloudTrail ログファイルの整合性を検証して、CloudTrail から Amazon S3 バケットにログファイルが配信された後にログファイルが変更されないままか、変更されたか、または削除されたかを検出できます。ログファイルの整合性の検証は、IT のセキュリティと監査のプロセスにも役立ちます。CloudTrail Lake は、すべてのログを自動的に暗号化します。

AWS CloudTrail では、デフォルトで、指定された Amazon S3 バケットに配信されるすべてのログファイルを Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化します。必要に応じて、AWS Key Management Service (KMS) キーでログファイルを暗号化することにより、CloudTrail のログファイルに追加のセキュリティレイヤーを加えることもできます。お客様に復号権限があれば、Amazon S3 は自動的にログファイルを復号します。詳細については、AWS KMS 管理キー (SSE-KMS) を使用した CloudTrail ログファイルの暗号化を参照してください。CloudTrail Lake は、ログファイルの変更を防ぐために読み取り専用アクセスを許可します。読み取り専用アクセスは、イベントが自動的にイミュータブルであることを意味します。

インサイトと分析

CloudTrail Lake では、レイク内の監査のために、アクティビティログに対して SQL ベースのクエリを実行することができます。 また、証跡で CloudTrail Insights を有効にすると、リソースプロビジョニングの急上昇、AWS Identity and Access Management (IAM) アクションのバースト、定期的なメンテナンスアクティビティのギャップなど、AWS アカウントの異常なアクティビティを特定することができます。お客様の証跡で CloudTrail Insights のイベントを有効にすることができます。

マルチリージョン

AWS CloudTrail を設定して、複数の AWS リージョンからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が、既存のリージョンにも新たにサービスを起動したリージョンにも等しく適用されます。詳しくは、複数のリージョンから CloudTrail ログファイルを受信するを参照してください。CloudTrail Lake では、複数のリージョンからイベントをキャプチャし、保存することもできます。

マルチアカウント

AWS CloudTrail を設定して、複数の AWS アカウントからのイベントを 1 つの場所にキャプチャして、保存することができます。この設定により、すべての設定が既存および新規に作成されたすべてのアカウントに等しく適用されます。詳しくは、組織の証跡を作成するを参照してください。CloudTrail Lake を使用することで、複数のアカウントからイベントをキャプチャして保存することも可能です。

AWS CloudTrail の料金の詳細

料金ページを見る
構築を始めましょう。
AWS CloudTrail の使用を開始する
ご不明な点がありますか?
お問い合わせ