VPCフローログの活用 ぶいぴーしーふろーろぐのかつよう
VPCフローログネットワーク監視セキュリティ分析フローログトラフィック分析AWS VPC
VPCフローログの活用について教えて
VPCフローログとは
VPCフローログ(VPC Flow Logs)とは、VPC(Virtual Private Cloud)内のネットワークインターフェース(ENI)を通過するIPトラフィックを記録するサービスです。AWSが提供する機能で、Azure では「NSG フローログ」、GCP では「VPC フローログ」として同等の機能が提供されています。
VPCフローログは「どのIPアドレスが、どのポートに、どれだけの量の通信をしたか」を記録しますが、パケットの中身(ペイロード)は記録しない点が重要です。これにより、プライバシーや暗号化への影響なくネットワーク通信のメタデータを収集できます。
記録されたフローログはS3やCloudWatch Logsに保存でき、Athenaによる分析、SIEMへの取り込み、セキュリティ調査、コスト最適化(どのリソース間でどれだけ通信しているかによるデータ転送料の把握)など多様な用途があります。
VPCフローログのフィールド
| フィールド | 内容 | 例 |
|---|---|---|
srcaddr | 送信元IPアドレス | 10.0.1.5 |
dstaddr | 宛先IPアドレス | 10.0.2.10 |
srcport | 送信元ポート番号 | 49152 |
dstport | 宛先ポート番号 | 443 |
protocol | プロトコル番号 | 6(TCP)/ 17(UDP) |
packets | パケット数 | 25 |
bytes | バイト数 | 4320 |
action | セキュリティグループの判定 | ACCEPT / REJECT |
flow-direction | フローの方向 | ingress / egress |
log-status | ログ記録ステータス | OK / NODATA / SKIPDATA |
主な活用シナリオ
| シナリオ | 具体的な分析 |
|---|---|
| セキュリティ分析 | 不審なIPへの通信、深夜の大量データ転送を検出 |
| REJECT分析 | セキュリティグループで拒否された通信の調査 |
| 帯域使用量分析 | 高コストなデータ転送経路の特定・最適化 |
| 侵害インシデント調査 | 攻撃者がどこに接続したか遡及調査(フォレンジック) |
| 異常検出 | 通常と異なるポートへのスキャン行為の検出 |
歴史と背景
- 2015年:AWS VPCフローログがリリース
- 2018年:フローログのカスタムフォーマット対応。収集フィールドが拡張
- 2019年:トランジットゲートウェイフローログ対応。VPC間通信も記録可能に
- 2020年代:Amazon Detective・Amazon GuardDutyとの統合で脅威検出の自動化が進む
フローログ分析のイメージ
関連用語
- SIEM — VPCフローログをSIEMに取り込んでセキュリティ分析
- ログ集約・構造化ログ — VPCフローログを一元管理するパイプライン
- アラート設計 — フローログの異常パターンでアラートを設定
- マルチアカウント戦略 — アカウントをまたいだフローログの集中管理