はじめに
AWSでは、セキュリティとコンプライアンスを強化するためのサービスとして、AWS ConfigとAWS CloudTrailがあります。これらのサービスは、設定変更の追跡やAPI呼び出しの監査に役立ちますが、それぞれ異なる目的や機能を持っています。本記事では、両サービスの特徴と違いを具体的な利用例とともに紹介します。
特徴
AWS Config
AWS Configは、AWSリソースの設定状況を記録し、これらの設定変更を追跡・評価するサービスです。
- 設定の追跡: AWSリソースの設定履歴を詳細に追跡し、リソースの設定が時間の経過とともにどのように変化したかを把握できます。
コンプライアンス評価: 設定ルールを定義し、これに基づいてリソースの設定が準拠しているかを評価します。 - 自動修復: 特定のルールに違反した設定変更が検出されると、是正措置を自動的に実行することも可能です。
主な利用例
- S3バケットの暗号化を強制するポリシーの適用
すべてのS3バケットに暗号化設定が有効になっているかどうかを監視し、暗号化されていない場合にアラートを発するか、暗号化を自動で適用するように設定できます。 - IAMポリシーの監視
IAMポリシーがセキュリティベストプラクティスに従っているかを評価し、過剰な権限が付与された場合にアラートを出すことで、過剰なアクセス権の防止に役立ちます。
参考
AWS Configで規約違反のS3バケットの作成を検知し通知する
AWS CloudTrail
AWS CloudTrailは、AWSアカウント内でのAPI呼び出しやユーザーアクティビティを記録するサービスです。
- API呼び出しの履歴追跡: すべてのAWSサービスにおけるAPIコールの履歴を記録します。これにより、誰がいつ、どのリソースに対してどのような操作を行ったかを詳細に把握できます。
- セキュリティインシデントの調査: 不正アクセスや不審な操作があった場合に、調査や証拠収集に活用できます。
- 監査対応: リソースへのアクセス権の確認や、運用ポリシーの遵守状況を監査するための証跡を提供します。
主な利用例
- APIアクセスの監査
IAMユーザーがどのAPIにアクセスしたかを記録し、ユーザー権限の監査や不正アクセスの調査に利用できます。 - ログインアクティビティの確認
AWSマネジメントコンソールへのログインアクティビティを記録し、通常とは異なるログインがあった場合にアラートを設定できます。たとえば、異常な時間帯のログインや通常とは異なるIPアドレスからのアクセスなどを監視します。
参考記事
AWS ConfigとAWS CloudTrailの違い
| 項目 | AWS Config | AWS CloudTrail |
|---|---|---|
| 目的 | リソース設定の監視とコンプライアンス評価 | API呼び出しやユーザーアクティビティの監査 |
| データの対象 | リソースの設定 | API呼び出し履歴 |
| 追跡の粒度 | リソースの設定状況とその変化 | APIレベルでの呼び出し履歴 |
| 自動修復 | 設定ルールに基づき、違反検知時に自動修復が可能 | 自動修復の機能はなし、監査や調査が主な目的 |
| 利用目的 | コンプライアンス遵守、設定変更の管理 | セキュリティインシデントの調査、APIアクセスの監査 |
まとめ
AWS ConfigとAWS CloudTrailは、どちらもAWS環境のセキュリティとコンプライアンス管理に欠かせないサービスです。
ただし、AWS Configはリソース設定の追跡とコンプライアンス評価、AWS CloudTrailはAPI呼び出しやユーザーアクティビティの記録と監査に特化している点が大きな違いです。
両方を組み合わせて活用することで、より包括的なセキュリティ管理が実現できます。
|
|
