AWS

AWSでコンプライアンスのための監査ログを取得する方法

PCI DSSやIT内部統制などのコンプライアンスの観点でAWS上で監査ログの取得が必要になります。

そのような場合、AWSではCloudTrailというサービスを使用して開発者などがAWS上のリソースを操作した証跡を取得することができます。

まず、この前提としてこの証跡はIAMユーザーごとに記録されますので、各開発者、運用者ごとにIAMユーザーを分ける必要があります。

IAMユーザーを安全に作成する方法については、こちらの記事をご覧くださ。

CloudTrailではデフォルトで有効になっていますが、そのままだと90日分しか保存されないため、監査ログとしては十分ではありません。

下記の手順を実施することで、CloudTrailのログを期限なしで保存することができます。

CloudTrail証跡の作成

AWSコンソールにログインし、上のメニューのサービスからCloudTrailを選択します。

CloudTrailのダッシュボードが表示されるので証跡の作成をクリックします。

わかりやすい証跡名を入力します。

新しいS3バケットを作成しますかという箇所ではいを選択し、S3バケット名を入力し、作成ボタンをクリックします。

証跡が作成され、ダッシュボードに戻ります。証跡の表示ボタンをクリックします。

CloudWatch Logへの出力

先ほど作成した証跡の名前をクリックします。

CloudTrailのログをCloudWatch Logsに転送を設定します。転送したログはCloudWatchのルールを作成することにより、アラートを飛ばすことができます。

CloudWatchのロググループ名を入力しますがここはそのままで良いと思います。

CloudWatchへ送るためのIAMロールを作成します。こちらもそのまま何も変更せず許可を選択します

ログの検証とKMS暗号化の設定

最後に、KMSを使用してS3に出力されるログファイルの暗号化とログファイルの検証の有効化を下記の通り行います。

暗号化はS3にデータが保存される前に自動的に暗号化され、取り出される際にまた自動的に複合化されるというものです。

一方、ログファイルの検証は、有効にすることでS3に出力されたCloudTrailログが誰かに改ざんされたことが検知できるようになります。

以上で設定が終わります。これによりS3にCloudTrailのログが保存されるようになります。

関連記事

  1. AWSでCloudFrontを導入する際に注意する点

    AWS

    AWSでCloudFrontを導入する際に注意する点

    前回の記事でAWSでシステムを構築する際にはCloudFrontを利用…

  2. AWSで安全なネットワーク設計を行うポイント

    AWS

    AWSで安全なネットワーク設計を行うポイント

    今回は、AWSにおいて安全なネットワーク設計を行いポイントについて…

  3. PCI DSSの12要件とAWSにおける対応方法

    AWS

    PCI DSSの12要件とAWSにおける対応方法

    今回は、AWSを使ってクレジットカード業界のセキュリティ基準であるPC…

  4. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWSでセキュリティグループはEC2やRDS(リレーショナルデータベー…

  5. AWS

    AWSを利用してPCI DSS準拠のシステムを構築する3つのメリット

    今回はAWSを利用してPCI DSS準拠のシステムを構築す…

  6. AWSコンソール用の安全なユーザーの作成方法

    AWS

    AWSコンソール用の安全なユーザーの作成方法

    AWSに最初にアカウントを作るとルートユーザーというものが作られます。…

最近の記事

  1. AWS

    AWSでS3を安全に使うための2つのポイント
  2. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法
  3. AWS

    AWSでRDSに安全にデータを保存するための5つのポイント
  4. AWS

    AWSでCloudFrontを使った方が良い理由
  5. PCI DSS

    PCI DSSでデータを暗号化して保存する際の4つのポイント
PAGE TOP