AWSリソースの変更履歴を保持する「AWS Config」 ログの中身と管理の必要性

  • コラム
活用事例

昨今、身近な存在となったAWSですが、ITガバナンス強化やセキュリティ強化のためにそれぞれのサービスから出力されるログを統合して管理する必要性が出てきました。

特にAWSには多種多様なサービスがあり、AWSリソースの設定を「いつ」「だれが」「どのように」変更したのかを把握することはセキュリティやガバナンス強化の観点では非常に重要な要素です。そこで登場するのが「AWS Config」と呼ばれるサービスです。 本記事ではAWS Configの簡単な説明と、そのログについてお話をさせていただきます。

AWS Config とは?

AWS Configは、AWSにおけるリソースの設定や関係性の変化を記録し、継続的に評価、監査する管理ツールです。 AWS Configでは、AWSリソースの設定履歴や変更時の詳細情報を記録します。これらの情報により、「何に対して」「だれが」「いつ」「どのように」変更されたかを把握できます。また、ルールに基づいてリソースの状態が適しているかを行ってくれます。そのため、クラウド利用におけるコンプライアンス監査、セキュリティ分析を目的として多くのユーザーに利用されています。

AWS Config で出力されるログは?

AWS Configではどのような内容のログが出力されるのでしょうか。前述の通り、AWS Configでは、AWSリソースの設定履歴や変更時の詳細情報を記録するツールであり、ログとして出力される内容もほぼ同等のものとなっています。主な内容は以下の通りです。

  • 設定変更の日時
  • 変更されたリソースの種類と識別子
  • 設定変更の内容
  • 変更を行ったIAMユーザーやロール

AWS Config自体がもともと、セキュリティ強化やコンプライアンス監査を目的として作られた「変更履歴を記録するサービス」であるため、ログ出力される内容もシステム運用上、有益な情報が多いといえます。

AWS Configのログを統合管理することのメリット

AWSに検索ツール自体も含まれているため、単体であってもセキュリティやガバナンス強化に極めて有益なAWS Configですが、そもそもログを統合管理する必要があるのでしょうか。

答えは「Yes」です。

AWS Configは単体でも有益なツールではありますが、別の分析方法や他のログと組み合わせることでその価値が高まります。精度の高いセキュリティやコンプライアンス強化を意識する場合、ログの統合管理を行った方がよいことは間違いありません。実際、AWSのガバナンス強化やセキュリティ強化の一環としてAWSのサービスを組み合わせた統合ログ管理環境を推奨しています。

具体的にAWS Configのログを統合ログ管理することで、どのようなメリットを享受できるのでしょうか。

監査によるガバナンス強化

AWS Configは、リソース毎にルール監査やトレースを行うことは得意ですが、俯瞰した情報や異なる分析方法で補助するような使い方でガバナンス強化を目指すケースがあります。

よく利用されるパターンとして、「ルールには抵触しないが、必要以上にリソースの変更や作成を行っているユーザーを見つけるために、ユーザー毎に変更回数をサマライズしたレポートをアウトプットして設定変更の傾向を確認する」というような使い方が挙げられます。

セキュリティリスクの把握やフォレンジック

インシデント発生時に、影響範囲がどの程度及んでいるかを調査したり、原因を調査したりする際などに活用されます。単一のログだけではトレースしきれないケースが多く、AWS Configで記録されるような変更履歴ログは「設定変更の前後で状況がどう変わったか」といった観点でログを精査する上では非常に価値が高いと言えます。

トラブルシューティング

トラブル時には様々なログを確認することが不可欠です。複数ログを同時に確認できる統合ログ管理環境にAWS Configのログが存在することで、サービス単位やモジュール毎にログを調べる必要がなくなり、復帰までのコストを大幅に低下できます。

典型的なケースとして、サービスがダウンした「インスタンス名」をキーとして統合ログ管理環境で検索するといったパターンがありました。こちらは「サービスダウンの直接の原因はDB接続不可によるものだが、ネットワークに異常はなくEC2の誤ったIPアドレスの構成変更を行ったことに起因していた」ということがログの横断検索ですぐに調べられたというものです。

AWS Configで出力されるログも統合して管理できる「Logstorage」

統合ログ管理システム「Logstorage」は、統合ログ管理を簡単に実現するための製品として、ログの円滑な収集と活用を支援します。

Logstorageは、サーバやネットワーク機器など、企業内の情報システムから出力される大量のログデータを迅速・確実に収集し、安全に保管する純国産システムです。
2002年の販売開始以来、ログデータの収集・保管や分析・アラート出力を可能にする製品として、内部統制・情報漏洩・情報セキュリティ対策・システム障害対策・監査要件対応などの目的に応え続け、先進企業や官公庁など5,500社を超える導入実績をもち、統合ログ分野のデファクトスタンダードとなっている製品です。

Logstorageの特長

【収集】テキスト形式で出力されるログは、すべて収集可能です。別途syslogサーバも不要です。
【保管】最大1/10に圧縮し、暗号化することで安全に保管できます。改ざんされた場合の検知も可能です。
【検知】システムの異常や不正処理をリアルタイムに捉え、シナリオに基づいてアラートの出力が可能です。
【分析】グラフィカルなUIで、クリック操作で直感的に、検索・集計・レポート操作が可能です。

Logstorageを用いることで、ITシステムに散らばるログを一元管理できるようになります。主な機能としては、ログを定期的に自動で収集する機能、ログを暗号化して安全に保持できる機能、ログを長期保持するためのアーカイブ機能、システムを横断してログを検索できる機能、レポートを定期的に出力する機能などが挙げられます。他にも、ログを管理する上で欠かせない機能が充実しています。

なお「Logstorage対応パックfor AWS」というオプション製品も提供しています。

Logstorage対応パック for AWSの特徴
・サービス毎に専用のログ収集モジュールを提供
・ログをセキュアに長期保管できる
・特定のログを簡単に参照できる
・AWS Configスナップショットレポートで、システム構成図を確認できる

ユーザー様からは「ログの検索に最大2~3時間かけていたが、導入後は10分で検索できるようになった」、「システム構成図が便利」などの声をいただいております。詳細は以下ページをご確認ください。
>>Logstorage AWS アライアンス版・対応パックはこちら
>>Logstorage製品ページはこちら

商標表示について
Amazon Web Services、AWS、Amazon EC2、Amazon Web Services ロゴは、Amazon Technologies, Inc.の米国およびその他の国における商標です。

TOP