昨今、身近な存在となったAWSですが、ITガバナンス強化やセキュリティ強化のためにそれぞれのサービスから出力されるログを統合して管理する必要性が出てきました。
特にAWSには多種多様なサービスがあり、AWSリソースの設定を「いつ」「だれが」「どのように」変更したのかを把握することはセキュリティやガバナンス強化の観点では非常に重要な要素です。そこで登場するのが「AWS Config」と呼ばれるサービスです。
本記事ではAWS Configの簡単な説明と、そのログについてお話をさせていただきます。
AWS Config とは?
AWS Configは、AWSにおけるリソースの設定や関係性の変化を記録し、継続的に評価、監査する管理ツールです。
AWS Configでは、AWSリソースの設定履歴や変更時の詳細情報を記録します。これらの情報により、「何に対して」「だれが」「いつ」「どのように」変更されたかを把握できます。また、ルールに基づいてリソースの状態が適しているかを行ってくれます。そのため、クラウド利用におけるコンプライアンス監査、セキュリティ分析を目的として多くのユーザーに利用されています。
AWS Config で出力されるログは?
AWS Configではどのような内容のログが出力されるのでしょうか。前述の通り、AWS Configでは、AWSリソースの設定履歴や変更時の詳細情報を記録するツールであり、ログとして出力される内容もほぼ同等のものとなっています。主な内容は以下の通りです。
- 設定変更の日時
- 変更されたリソースの種類と識別子
- 設定変更の内容
- 変更を行ったIAMユーザーやロール
AWS Config自体がもともと、セキュリティ強化やコンプライアンス監査を目的として作られた「変更履歴を記録するサービス」であるため、ログ出力される内容もシステム運用上、有益な情報が多いといえます。
AWS Configのログを統合管理することのメリット
AWSに検索ツール自体も含まれているため、単体であってもセキュリティやガバナンス強化に極めて有益なAWS Configですが、そもそもログを統合管理する必要があるのでしょうか。
答えは「Yes」です。
AWS Configは単体でも有益なツールではありますが、別の分析方法や他のログと組み合わせることでその価値が高まります。精度の高いセキュリティやコンプライアンス強化を意識する場合、ログの統合管理を行った方がよいことは間違いありません。実際、AWSのガバナンス強化やセキュリティ強化の一環としてAWSのサービスを組み合わせた統合ログ管理環境を推奨しています。
具体的にAWS Configのログを統合ログ管理することで、どのようなメリットを享受できるのでしょうか。
監査によるガバナンス強化
AWS Configは、リソース毎にルール監査やトレースを行うことは得意ですが、俯瞰した情報や異なる分析方法で補助するような使い方でガバナンス強化を目指すケースがあります。
よく利用されるパターンとして、「ルールには抵触しないが、必要以上にリソースの変更や作成を行っているユーザーを見つけるために、ユーザー毎に変更回数をサマライズしたレポートをアウトプットして設定変更の傾向を確認する」というような使い方が挙げられます。
セキュリティリスクの把握やフォレンジック
インシデント発生時に、影響範囲がどの程度及んでいるかを調査したり、原因を調査したりする際などに活用されます。単一のログだけではトレースしきれないケースが多く、AWS Configで記録されるような変更履歴ログは「設定変更の前後で状況がどう変わったか」といった観点でログを精査する上では非常に価値が高いと言えます。
トラブルシューティング
トラブル時には様々なログを確認することが不可欠です。複数ログを同時に確認できる統合ログ管理環境にAWS Configのログが存在することで、サービス単位やモジュール毎にログを調べる必要がなくなり、復帰までのコストを大幅に低下できます。
典型的なケースとして、サービスがダウンした「インスタンス名」をキーとして統合ログ管理環境で検索するといったパターンがありました。こちらは「サービスダウンの直接の原因はDB接続不可によるものだが、ネットワークに異常はなくEC2の誤ったIPアドレスの構成変更を行ったことに起因していた」ということがログの横断検索ですぐに調べられたというものです。
AWS Configで出力されるログも統合して管理できる「Logstorage」
最後に、統合ログ管理を簡単に実現できる市場シェア16年連続No1の「Logstorage」をご紹介します。
Logstorageの特徴・400種類以上のログを一元的に収集、保管、分析できる
・検知機能により、危険なログのみを確認できる
・ログ保管のストレージのコストを最大1/10に圧縮
・ログデータを自動的に暗号化するため、安全に保管できる
・一定期間を超えたログデータを自動的にアーカイブ
さらにLogstorageには、AWSから出力されるログを扱いやすくする「Logstorage対応パックfor AWS」という専用のオプションもあり、導入後、円滑にログ管理を行うことができます。
Logstorage対応パック for AWSの特徴・サービス毎に専用のログ収集モジュールを提供
・ログをセキュアに長期保管できる
・特定のログを簡単に参照できる
・AWS Configスナップショットレポートで、システム構成図を確認できる
ユーザー様からは「ログの検索に最大2~3時間かけていたが、導入後は10分で検索できるようになった」、「システム構成図が便利」などの声をいただいており、監査要件の対応やサイバー攻撃の被害最小化、それらに関わるコスト削減などを目的に、官公庁、金融業、IT通信業を中心に導入いただいています。
ご興味がございましたら、下記リンクから商品紹介ページをご覧いただくか、試用版のご利用をご検討いただければと存じます。
>>Logstorage AWS アライアンス版・対応パックはこちら
>>統合ログ管理製品Logstorageはこちら
>>試用版はこちら
商標表示について
Amazon Web Services、AWS、Amazon EC2、Amazon Web Services ロゴは、Amazon Technologies, Inc.の米国およびその他の国における商標です。
