AWS

AWSでコンプライアンスのための監査ログを取得する方法

PCI DSSやIT内部統制などのコンプライアンスの観点でAWS上で監査ログの取得が必要になります。

そのような場合、AWSではCloudTrailというサービスを使用して開発者などがAWS上のリソースを操作した証跡を取得することができます。

まず、この前提としてこの証跡はIAMユーザーごとに記録されますので、各開発者、運用者ごとにIAMユーザーを分ける必要があります。

IAMユーザーを安全に作成する方法については、こちらの記事をご覧くださ。

CloudTrailではデフォルトで有効になっていますが、そのままだと90日分しか保存されないため、監査ログとしては十分ではありません。

下記の手順を実施することで、CloudTrailのログを期限なしで保存することができます。

CloudTrail証跡の作成

AWSコンソールにログインし、上のメニューのサービスからCloudTrailを選択します。

CloudTrailのダッシュボードが表示されるので証跡の作成をクリックします。

わかりやすい証跡名を入力します。

新しいS3バケットを作成しますかという箇所ではいを選択し、S3バケット名を入力し、作成ボタンをクリックします。

証跡が作成され、ダッシュボードに戻ります。証跡の表示ボタンをクリックします。

CloudWatch Logへの出力

先ほど作成した証跡の名前をクリックします。

CloudTrailのログをCloudWatch Logsに転送を設定します。転送したログはCloudWatchのルールを作成することにより、アラートを飛ばすことができます。

CloudWatchのロググループ名を入力しますがここはそのままで良いと思います。

CloudWatchへ送るためのIAMロールを作成します。こちらもそのまま何も変更せず許可を選択します

ログの検証とKMS暗号化の設定

最後に、KMSを使用してS3に出力されるログファイルの暗号化とログファイルの検証の有効化を下記の通り行います。

暗号化はS3にデータが保存される前に自動的に暗号化され、取り出される際にまた自動的に複合化されるというものです。

一方、ログファイルの検証は、有効にすることでS3に出力されたCloudTrailログが誰かに改ざんされたことが検知できるようになります。

以上で設定が終わります。これによりS3にCloudTrailのログが保存されるようになります。

関連記事

  1. AWS

    AWSでS3を安全に使うための2つのポイント

    今回は、AWSのS3(ストレージサービス)を安全に使うためのポイン…

  2. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法

    AWSでLinuxサーバ上のApacheのアクセスログやアプリケーショ…

  3. AWS

    CloudFrontでLambda@Edgeを本番運用してわかった注意点

    CloudFrontでLambda@Edgeを一年間運用しまして、気づ…

  4. AWS

    AWSでCloudFrontを使った方が良い理由

    今回はAWSでCloudFrontを使用する際に、設定しておいた方が良…

  5. AWS

    AWSで大規模障害発生時に被害を最小限にする方法

    先日、AWSで大規模障害が発生し、多くのサービスが影響を受けました。こ…

  6. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWSでセキュリティグループはEC2やRDS(リレーショナルデータベー…

最近の記事

  1. AWS

    AWSでCloudFrontを使った方が良い理由
  2. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法
  3. AWS

    CloudFormationを効果的に使うための6つのルール
  4. AWS

    AWSを利用してPCI DSS準拠のシステムを構築する3つのメリット
  5. AWSをセキュリティを高めて安全に使う方法

    AWS

    AWSをセキュリティを高めて安全に使う方法
PAGE TOP