VPCフローログ ぶいぴーしーふろーろぐ
簡単に言うとこんな感じ!
クラウド上のネットワーク(VPC)を通過したすべての通信を、自動で記録してくれる「監視カメラの録画ログ」みたいなものだよ。「いつ・どこから・どこへ・どのくらいのデータが流れたか」がぜんぶ残るから、不審な通信の調査やセキュリティチェックにとっても役立つんだ!
VPCフローログとは
VPCフローログ(VPC Flow Logs) とは、AWSのクラウドネットワーク環境である VPC(Virtual Private Cloud) 内を流れるIPトラフィックの情報をキャプチャして記録する機能です。有効化するだけで、VPC内のネットワークインターフェースに出入りするパケットの通信記録が自動的に蓄積されます。
フローログには「送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコル・通信量・許可/拒否の結果」などが含まれており、セキュリティインシデントの調査・不審なアクセスの検出・ネットワークの最適化など、幅広い用途に活用できます。
ビジネスの現場では、「なぜかサーバーへの通信が遮断されている」「外部から不審なアクセスがあった気がする」といった場面で真っ先に確認するのがこのフローログです。クラウド上のネットワークを「見える化」する、情シス担当者にとって欠かせないツールと言えます。
VPCフローログの構造と仕組み
VPCフローログは、ネットワークの流れ(フロー)を一定の集約間隔でまとめてレコードとして記録します。各レコードには以下のフィールドが含まれます。
| フィールド名 | 内容 | 例 |
|---|---|---|
version | ログのバージョン | 2 |
account-id | AWSアカウントID | 123456789012 |
interface-id | ネットワークインターフェースID | eni-abc12345 |
srcaddr | 送信元IPアドレス | 10.0.1.5 |
dstaddr | 宛先IPアドレス | 203.0.113.10 |
srcport | 送信元ポート番号 | 443 |
dstport | 宛先ポート番号 | 54321 |
protocol | プロトコル番号(6=TCP, 17=UDP) | 6 |
packets | 転送パケット数 | 20 |
bytes | 転送バイト数 | 4096 |
action | 許可/拒否の結果 | ACCEPT or REJECT |
log-status | ログの記録状態 | OK |
覚え方:「誰が・どこへ・どれだけ・通れたか」
フローログの核心は 「5W1H」 ならぬ 「誰が・どこへ・どれだけ・通れたか」 の4点セット。
誰が → srcaddr(送信元IP) + srcport
どこへ → dstaddr(宛先IP) + dstport
どれだけ→ packets(パケット数) + bytes(データ量)
通れたか→ action(ACCEPT / REJECT)この4点を押さえるだけで、ログの読み方の9割はカバーできます。
ログの保存先と集約間隔
| 保存先 | 特徴 | 向いている用途 |
|---|---|---|
| CloudWatch Logs | リアルタイムに近い参照が可能。アラート設定も容易 | 即時監視・インシデント対応 |
| S3 | 大量ログの長期保管に適し、コストが低い | コンプライアンス・長期分析 |
| Kinesis Data Firehose | ストリーミングで他サービスへ転送できる | リアルタイム分析基盤 |
集約間隔(キャプチャーウィンドウ)は 10秒〜1分 が目安で、ログとして書き出されるまでに若干の遅延があります。
歴史と背景
- 2015年 — AWSがVPCフローログ機能を正式リリース。当初はCloudWatch Logsへの出力のみ対応
- 2018年 — S3への直接出力に対応。大規模なログ保管コストが大幅に削減可能に
- 2019年 — カスタムフォーマット機能を追加。記録するフィールドを自由に選択できるようになり、必要最小限のログだけ保存するコスト最適化が可能に
- 2020年 — VPCフローログv5に対応。トラフィックパスやトラフィックの向き(ingress/egress)などの詳細情報が追加
- 2021年以降 — AWS Athena・Security Lake・GuardDutyとの連携が強化され、セキュリティ自動化基盤として標準的な位置づけに
クラウド移行が加速するなか、オンプレミスでは当たり前だったファイアウォールログやNetFlowに相当する「ネットワークの証跡」をクラウドでも残したい、というニーズに応える形で普及しました。
VPCフローログの有効化レベルと関連サービス
フローログはVPCの 3つのレベル で有効化でき、目的に応じて使い分けます。
他クラウドとの比較
| クラウド | 対応サービス名 | 特徴 |
|---|---|---|
| AWS | VPC Flow Logs | 最も歴史が長く機能が豊富。Athena連携が強力 |
| Azure | NSG フローログ / vNet フローログ | Network Watcher経由で有効化。Traffic Analyticsで可視化 |
| Google Cloud | VPC フローログ | サンプリング率を0〜1.0で柔軟に設定可能。コスト調整しやすい |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 3954 | NetFlow v9(フローログの元祖となったCisco標準) |
| RFC 7011 | IPFIX(IP Flow Information Export)— NetFlowを標準化したIETF仕様 |
| AWS公式ドキュメント | VPC Flow Logs |
関連用語
- VPC(Virtual Private Cloud) — クラウド上に作る仮想的なプライベートネットワーク空間
- セキュリティグループ — AWSのVMに紐づく仮想ファイアウォール。フローログのACCEPT/REJECTに影響する
- ネットワークACL — サブネット単位で通信を制御するフィルタリング機能
- CloudWatch Logs — AWSのログ集約・監視サービス。フローログの主要な保存先
- Amazon Athena — S3上のログをSQLで分析できるサーバーレスクエリサービス
- GuardDuty — フローログを自動分析して脅威を検出するAWSのセキュリティサービス