AWS Config えーだぶりゅーえす こんふぃぐ
簡単に言うとこんな感じ!
AWSのクラウド上にある「設定の監視カメラ&日誌」だよ!「いつ・誰が・どの設定を変えたか」を全部記録してくれて、「このルール守れてる?」もチェックしてくれるサービスなんだ。セキュリティ事故の原因調査や監査対応にめちゃくちゃ役立つってこと!
AWS Configとは
AWS Configは、AWSクラウド上のリソース(サーバー・ネットワーク設定・ストレージなど)の構成情報を継続的に記録・追跡し、設定変更の履歴を管理するマネージドサービスです。「誰が」「いつ」「何を」変更したかを時系列で把握できるため、セキュリティインシデントが発生した際の原因特定や、コンプライアンス(法令・社内規則への準拠)審査のエビデンス収集に活用されます。
AWS Configの最大の特徴は、Config Rules(設定ルール)によるコンプライアンス自動チェック機能です。「S3バケットは公開設定にしてはいけない」「EC2インスタンスにはタグを必ずつける」といったルールを定義しておくと、違反した瞬間にアラートを上げることができます。これにより、人が手動でチェックしていた監査作業を大幅に自動化できます。
システム発注・運用の観点では、「クラウド環境が気づかないうちに誰かに変更されていた」「監査でいつ設定を変えたか証明できない」といった課題を解決するガバナンスの要となるサービスです。特に金融・医療・官公庁向けのシステムなど、厳格なコンプライアンスが求められる案件では、AWS Config導入がほぼ必須とされています。
AWS Configの主な機能と構成要素
| 機能 | 説明 | 活用シーン |
|---|---|---|
| 構成スナップショット | 特定時点のリソース設定を丸ごと記録 | 監査時の証跡提出 |
| 構成変更履歴 | いつ・誰が・何を変えたかをタイムライン表示 | セキュリティインシデント調査 |
| Config Rules | ルール違反の設定を自動検出 | コンプライアンス継続監視 |
| リソース関係マップ | リソース間の依存関係を可視化 | 影響範囲の把握 |
| 集約(Aggregator) | 複数AWSアカウント・リージョンを一元管理 | マルチアカウント環境のガバナンス |
| 修復アクション | ルール違反を検出したら自動で修正 | 人手ゼロの自動対応 |
覚え方:「Configは構成の”黒歴史ノート”」
設定変更の記録をすべて残す様子は、消せない「黒歴史ノート」のようなもの。あとから「あの時なぜ壊れたか」を遡って調べられるイメージで覚えよう。Config = 構成(Configuration)の番人!
Config Rulesの種類
| 種類 | 説明 | 例 |
|---|---|---|
| AWS マネージドルール | AWSが用意済みのルール(150種類以上) | s3-bucket-public-read-prohibited(S3公開禁止) |
| カスタムルール | Lambda関数で自社ポリシーを実装 | 「特定タグがないリソースはNG」などの独自ルール |
| 適合パック | 複数ルールをまとめたテンプレート | PCI DSS、HIPAA、NIST対応パックなど |
歴史と背景
- 2014年11月 — AWS re:Invent 2014にてAWS Config正式リリース。当初は変更履歴の記録が主な機能
- 2016年 — Config Rules機能が追加。単なる記録から「ルール違反の自動検出」へと進化
- 2017年 — マルチアカウント対応の「アグリゲーター」機能追加。大企業での利用が加速
- 2018年 — 適合パック(Conformance Pack)の提供開始。PCI DSSやHIPAAなど業界標準への対応が容易に
- 2020年 — 修復アクション(Auto Remediation)の強化。違反検知から自動修正までをノーコードで構成可能に
- 2022年以降 — AWS Security Hubとの統合が深まり、セキュリティダッシュボードの中核として位置づけられる
クラウド利用が広がるにつれ、「設定ミスによるデータ漏洩」が相次いだことがAWS Config普及の背景にあります。S3バケットの公開設定ミスによる情報漏洩事故が多発した2017〜2018年を境に、Config Rulesの導入が急速に広まりました。
関連サービスとの比較・連携
AWS Configは単独ではなく、他のAWSセキュリティサービスと組み合わせて使うことで効果が最大化します。
AWS Config vs 類似サービスの比較
| サービス | 主な目的 | 「いつ変えた?」 | 「ルール守れてる?」 | 「誰が操作した?」 |
|---|---|---|---|---|
| AWS Config | 構成管理・コンプライアンス | ✅ | ✅ | 部分的 |
| CloudTrail | API操作ログ | ✅ | ❌ | ✅ |
| Security Hub | セキュリティ統合管理 | ❌ | ✅(集約) | ❌ |
| GuardDuty | 脅威検知 | ❌ | ❌ | ✅(異常検知) |
AWS ConfigとCloudTrailは必ずセットで使うのが鉄則です。Configは「何が変わったか(状態)」、CloudTrailは「誰がどう操作したか(行動)」を記録するため、2つを組み合わせることで完全な監査証跡が得られます。
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-53 | 連邦情報システムのセキュリティ管理策。AWS ConfigのConformance PackにNIST対応テンプレートあり |
| PCI DSS | クレジットカード業界のセキュリティ標準。AWS ConfigのマネージドルールでPCI DSS対応を自動チェック可能 |
| ISO/IEC 27001 | 情報セキュリティマネジメントの国際規格。Config Rulesによる継続的な統制評価が対応に活用される |
関連用語
- AWS CloudTrail — AWSへのAPI操作を全て記録する監査ログサービス。Configと組み合わせてインシデント調査に使う
- AWS Security Hub — 複数のAWSセキュリティサービスの検出結果を一元管理するダッシュボード
- Amazon GuardDuty — 機械学習を使ってAWS環境への脅威・不正アクセスを自動検知するサービス
- IAM(Identity and Access Management) — AWSのアクセス権限管理サービス。Config Rulesで過剰な権限設定を検出できる
- コンプライアンス — 法令・規則・社内ポリシーへの準拠。AWS Configは継続的コンプライアンス監視の基盤となる
- Infrastructure as Code(IaC) — インフラ構成をコードで管理する手法。ConfigはIaCからの逸脱(ドリフト)検出にも使われる
- Amazon EventBridge — AWSサービス間のイベント連携基盤。Config Rulesのルール違反をトリガーにLambdaなどを起動できる
- AWS Organizations — 複数のAWSアカウントを一括管理するサービス。Configのアグリゲーターと組み合わせてマルチアカウント監査を実現