AWS CloudTrail えーだぶりゅーえす くらうどとれいる
監査ログAWSイベント履歴コンプライアンスセキュリティ監視API呼び出し記録
CloudTrailって何?
簡単に言うとこんな感じ!
AWSで「誰が・いつ・何をしたか」を全部記録しておく”防犯カメラ”みたいなサービスだよ!「このサーバーを消したのは誰?」「いつ設定が変わった?」っていう疑問をあとから追いかけられるんだ。
CloudTrailとは
AWS CloudTrailは、Amazon Web Services(AWS)上で発生する操作・イベントをすべて記録する監査ログサービスです。AWSのコンソール操作、APIへの呼び出し、CLIコマンドなど、誰が・いつ・どこから・何をしたかを追跡できます。
クラウド環境では「物理的な場所」にアクセス制限がない分、操作ログの記録と保管が重要なセキュリティ対策になります。CloudTrailはそのログを自動収集し、S3バケットへの長期保存や、分析ツールとの連携を可能にします。
企業がAWSを使う場合、内部不正調査・セキュリティインシデント対応・各種コンプライアンス監査(ISO 27001、SOC2、PCI DSSなど)の証跡として、CloudTrailのログ保管が実質的に必須とされています。
CloudTrailが記録する情報の種類
CloudTrailが記録するイベントは大きく3種類に分類されます。
| イベント種別 | 内容 | 課金 |
|---|---|---|
| 管理イベント | AWSリソースの作成・変更・削除などの操作(EC2起動、IAMポリシー変更など) | 無料(デフォルト有効) |
| データイベント | S3オブジェクトへのアクセス、Lambda関数の実行など、データ操作レベルの記録 | 有料(別途設定が必要) |
| Insightsイベント | 通常と異なる異常な操作パターンを自動検出して記録 | 有料(別途設定が必要) |
1件のログに含まれる主な情報
{
"eventTime" : いつ(日時)
"userIdentity" : 誰が(ユーザー・ロール情報)
"sourceIPAddress": どこから(送信元IPアドレス)
"eventName" : 何をしたか(操作の種類)
"requestParameters": 何に対して(対象リソースの詳細)
"responseElements" : 結果はどうなったか
}覚え方:「いつ・誰が・どこから・何を・どうなった」の5W
CloudTrailのログはジャーナリズムの5Wと同じ構造で考えると覚えやすいです。セキュリティ担当者が「インシデント後に何を調べるか」の基本項目そのものです。
歴史と背景
- 2013年11月 — AWS re:Inventで CloudTrail が発表・一般提供開始。当初は一部リージョンのみ対応
- 2014年〜 — 対応リージョンが拡大、複数アカウントをまとめて記録する「組織トレイル」に向けた機能が整備される
- 2016年 — データイベント(S3・Lambdaレベルの操作記録)に対応。より細かい監査が可能に
- 2019年 — AWS Organizationsとの統合により、複数AWSアカウントの操作ログを一元管理できる「組織トレイル」が登場
- 2021年〜 — CloudTrail Lakeが登場。ログをSQLで直接クエリできるようになり、分析の手間が大幅に減少
- 現在 — セキュリティサービス(AWS Security Hub・Amazon GuardDuty)や、SIEMツールとの連携が当然の前提となっている
CloudTrailと関連サービスの役割分担
CloudTrailは「記録する」ことが専門で、「分析・通知・可視化」は他のサービスと組み合わせて実現します。
CloudTrail vs AWS Config:よく混同される2サービス
| 比較項目 | CloudTrail | AWS Config |
|---|---|---|
| 主な目的 | 「誰が何をしたか」の操作ログ | 「リソースの設定がどう変わったか」の変更履歴 |
| 主体 | 人・ツールの操作 | リソースの設定状態 |
| 典型的な用途 | 不正操作の追跡・インシデント調査 | 設定変更の把握・コンプライアンス確認 |
| 保存先 | S3バケット | S3バケット+Config専用ストア |
🔍 ポイント:「誰かがやらかした証拠を探す」→ CloudTrail、「いつの間にか設定が変わっていた」→ AWS Config と使い分けましょう。
関連する規格・RFC
| 規格・基準 | CloudTrailとの関係 |
|---|---|
| ISO/IEC 27001 | ログ管理・アクセス記録の要求事項をCloudTrailで満たす |
| PCI DSS 要件10 | カード会員データ環境へのアクセスログ取得・監視の要件 |
| SOC 2 Type II | アクセス制御・監査証跡の証拠としてCloudTrailログを提出 |
| FISC 安全対策基準 | 金融機関のシステム操作ログ保管要件(日本) |
| NIST SP 800-92 | ガイド「Computer Security Log Management」ログ管理全般 |
関連用語
- AWS IAM — AWSのユーザー・権限管理。CloudTrailのログには「誰が」の部分にIAM情報が記録される
- Amazon S3 — CloudTrailのログ保存先として最もよく使われるストレージサービス
- Amazon GuardDuty — CloudTrailのログを分析して脅威を自動検出するセキュリティサービス
- AWS Config — リソースの設定変更を追跡するサービス。CloudTrailと合わせて使うことでより完全な監査が実現できる
- AWS Security Hub — 複数のセキュリティサービスを一元管理するダッシュボード
- SIEM — Security Information and Event Management。CloudTrailのログをSIEMに取り込んで高度な分析を行う