AWSアカウント上のアクティビティを収集するサービス・機能をまとめてみた

はじめに

AWSを利用して構築した環境を運用管理するにあたり、あらゆるレイヤーのアクティビティがわかることは非常に重要です。 というより、事実関係がわからなければあらゆるトラブルに対応することが困難になります。

そこで、この記事ではアクティビティの収集にフォーカスしてAWSのサービスや機能を整理してみたいと思います。 主に自分のために。

なぜアクティビティを収集するのか

「事実関係がわからなければあらゆるトラブルに対応することが困難」と一言で書きましたが、アクティビティが明確になることで以下の様な対応が可能になると思います。

• 問題の予兆を検知、予防する
• 発生した問題の内容や原因を特定し、影響を緩和・根本的な対策を実施する
• 問題の収束後にステークホルダーへの説明責任を果たす

アクティビティに関する情報がなければ、このいずれも不可能でしょう。

それでは、AWS上でアクティビティを収集するサービスおよび機能を紹介していきます。

この記事の前提について

まず、この類の記事を書くと一定の割合で誤解されるのですが、ここで述べる各種の設定はすべて実施する必要はありません。 要件や管理対象のワークロードに問題が起きたときのインパクト、予算などによります。 アクティビティの収集自体は目的ではありません。 サービスを提供する地域や業界において、法規制や各種ガイドラインがあればそれに準拠するべきでしょうし、脅威モデリング等を利用して管理対象のシステムをどのような脅威から守る必要があるかを整理した上で収集が必要なアクティビティを選択するのもよいでしょう。

• 例
  • STRIDE model

また、（正規のアクセスについては）IAM UserやサードパーティのIdPで発行されたIDの共有などを行っていないことを前提とします。 でなければ、そのアクティビティが誰によるものなのか識別できません。

アクティビティを収集するAWSサービス

まずは、アクティビティを収集すること自体が目的のサービスについてまとめます。

• CloudTrail
• Config
• GuardDuty

CloudTrail

CloudTrailにより、IAM User / IAM Role / AWS Serviceによって実行されたアクションを記録することができます。

CloudTrailで記録できるアクションはManagement EventsとData Eventsに分類されます（Insights Eventsは通常とは異なる傾向のイベント群を検知した際に記録されるものなのでここでは説明を割愛します）。 Management Eventsは証跡を作成する事で記録が開始されますが、データイベントは明示的に設定しない限り記録されません。 管理するワークロードにおいて発生するデータイベントのうち、必要なもの（機密性の高いデータを操作するイベントなど）については記録することを検討しましょう。 その際、記録の対象を必要以上に設定した場合に料金が高額になる可能性があるので注意してください（Data Eventsは、使い方次第ですが一般的には大量に発生します）。

• Logging data events

ちなみに、マネージメントコンソールでデータイベントの取得設定をしようとするとS3 / DynamoDB / Lambdaのみがサポート対象であるように見えるかもしれませんが、実際には他のサービスにも対応しています（Advanced Event Selectorを利用して設定できます）。 詳細はドキュメントを確認してください。

• Data events

CloudTrailの証跡を作成することで、S3にログを収集する事ができます（CloudTrail Lake / Security Lake等の選択肢については割愛）。

• Creating a trail for your AWS account

大半のAWSサービスに関するアクションを記録する事が可能です（すべてではありません）。

• AWS service topics for CloudTrail

サポートしているサービスにおいてどのイベントの記録をサポートしているのかはドキュメントに明記されているので、必要に応じて確認してください。

• S3の例
  • Amazon S3 CloudTrail events

もっと広範な情報を簡単に確認したい場合には弊社ブログの記事も併せてどうぞ。

• AWS入門ブログリレー2024〜AWS CloudTrail編〜

Config

Configにより、AWSリソースの現在および過去の構成や他のリソースとの関係を記録することができます。

構成の変更操作自体はCloudTrailでも記録されますが、AWSリソースを軸にその変化を確認する事ができるのでCloudTrailと併せて利用する事をおすすめします。

記録を有効化することで、AWSリソースの構成に関する情報をS3に記録することができます。

• Getting Started with AWS Config

サポートされるリソースはすべてではないので、必要に応じて確認しましょう。

• Supported Resource Types

弊社ブログの記事も併せてどうぞ。

• AWS入門ブログリレー2024〜AWS Config編〜

GuardDuty

純粋なアクティビティの収集とは異なりますが、重要なサービスなので言及します。

GuardDutyは脅威検知を行うマネージドサービスです。

CloudTrailのManagement Events / DNS Log / VPC Flow Logs 等に基づいてセキュリティ上のリスクがあるアクティビティを検知してくれます。 なお、GuardDutyを有効化するにあたりこれらのログを別途収集・保存する必要はありません。

• Foundational data sources

具体的にどのような脅威を検知できるかについては定義されたFinding Typesで確認できます。

• Finding types

基本的には有効化するだけで脅威検知を開始する事ができます（ちゃんと運用するには、通知や分析に関する追加の設定を推奨します）。

• Step 1: Enable Amazon GuardDuty

また、オプション機能として以下のような脅威検知・保護機能が提供されています。

• EKS Protection
• Lambda Protection
• Malware Protection for EC2
• Malware Protection for S3
• RDS Protection
• Runtime Monitoring
• Amazon S3 Protection

弊社ブログの記事も併せてどうぞ。

• AWS入門ブログリレー2024〜Amazon GuardDuty編〜

アクティビティを収集するための機能

次に、数多あるAWSサービスにおけるアクティビティを収集するための機能についてまとめます。

ただし、サービス数があまりにも多いので、（個人的に）一般的に利用する機会が多い以下のサービスに限って機能をまとめます。

• CloudFront
• ELB
• WAF
• RDS
• ECS
• EC2
• VPC
• Route53
• S3
• Lambda
• StepFunctions
• SNS
• Systems Manager (Session Manager)

また、この章においてはCloudTrailで収集できる情報（Management EventsおよびData Events）については基本的に言及しません。

CloudFront

CloudFrontにおいては、以下の様なアクティビティに関する情報を収集できます。

• CloudFront standard logs and real-time logs
• Edge function logs
• CloudFront console reports

CloudFront standard logs and real-time logs

CloudFrontの Distributionに対するアクセスログをS3に収集できます。

• Configuring and using standard logs (access logs)

ログに含まれる情報はドキュメントで確認できます。

• Standard log file format

Real-time logsについては完全性が保障されておらず、リクエストへのアクセスの「傾向」を知るために利用することが推奨されているので、ここでは説明を割愛します。

• Real-time logs

Edge function logs

Lambda@EdgeおよびCloudFront Functionsのログを収集できます。

ログは、CloudWatch Logsに保存されます。

• Edge function logs

アプリケーションで出力するべきログについては各所で議論されていると思うのでここでは割愛します。

• 参考情報
  • Writing Best Practices For Application Logs

CloudFront console reports

CloudFrontへのアクセスに関する統計情報を確認することができます。

• View CloudFront reports in the console

基本的にはアクセスログの情報に基づいているのですが、傾向を手早くつかむのには活用できるでしょう。

ELB

アクセスログ（および接続ログ）

ALB / NLB / CLBではアクセスログを取得する事ができます。

• Access logs for your Application Load Balancer
• Access logs for your Network Load Balancer
• Access logs for your Classic Load Balancer

アクセスログはS3に保存することができます。

• Enable access logs for your Application Load Balancer

各ログのフォーマットはドキュメントで確認できます。

• ALB
  • Access log entries
• NLB
  • Access log entries
• CLB
  • Access log entries

また、ALBに関しては接続ログを取得することも可能になっています。

• Connection logs for your Application Load Balancer

接続ログが具体的にどの様なものかは以下の記事が参考になると思います。

• ALBの接続ログ (Connection logs)を試してみた

WAF

WAFを経由するトラフィックに関するログを取得することが可能です。

• Logging AWS WAF web ACL traffic

出力先には、CloudWatch Logs / S3 / Kinesis Firehoseを選択できます。

• AWS WAF logging destinations

出力するログは、フィルターしたり指定した項目を削除することも可能です。

• Web ACL logging configuration

ログに含まれる項目や具体例はドキュメントを参照してください。

• Log fields
• Log examples

RDS

監査ログ

各データベースエンジンにおいては監査ログを取得することが可能です。

データベースエンジンによって設定方法が異なり、個人的にはややこしいなーと思っています。

Aurora for MySQL / PostgreSQLの場合、パラメーターグループを利用してログの出力を有効化できます。

• Using Advanced Auditing with an Amazon Aurora MySQL DB cluster
• Using pgAudit to log database activity

監査ログは、CloudWatch Logsに配信することが可能です。

• Publishing Amazon Aurora MySQL logs to Amazon CloudWatch Logs
• Publishing Aurora PostgreSQL logs to Amazon CloudWatch Logs

そのほかのデータベースエンジンに関してもそれぞれサポートされているようです。

• DB2
  • Db2 audit logging
• MariaDB
  • MariaDB Audit Plugin support
• SQL Server
  • SQL Server Audit
• MySQL
  • MariaDB Audit Plugin support for MySQL
• Oracle
  • Oracle database log files
• PostgreSQL
  • Using pgAudit to log database activity

Database Activity Streams

リアルタイムの監視を実現したい場合にはActivity Streamという選択肢もあります。

• Overview of Database Activity Streams

具体的な構成方法については以下の記事が参考になるかと思います。

• Aurora PostgreSQLでpgAuditを有効にして監査ログを取得する

イベント通知

RDSで事前定義済の各種イベントをAmazon SNSを介して通知することができます。

• RDS
  • Working with Amazon RDS event notification
• Aurora
  • Working with Amazon RDS event notification

具体的にどのようなイベントが定義されているかもドキュメントで確認できます。

• RDS
  • Amazon RDS event categories and event messages
• Aurora
  • Amazon RDS event categories and event messages for Aurora

ECS

Log driver

AWSのドキュメントにおいては、ログの収集方法としてawslogsとFirelensの2つのログドライバーが示されています。

• Send Amazon ECS logs to CloudWatch
• Send Amazon ECS logs to an AWS service or AWS Partner

柔軟にログルーティングを行いたい場合にはFirelensの利用を検討してください。

• [アップデート] ECS/Fargateでログ出力先をカスタマイズできる「FireLens」機能がリリースされました

EC2

OS / Middleware / Application logs

EC2インスタンスにおいては、OS / Middleware / Application等様々な要素がログを出力します。 これらのログは一旦ファイルとして出力されます。 CloudWatch Agentを利用する事で、指定したログファイルを収集することができます。

• Collect metrics, logs, and traces with the CloudWatch agent

設定ファイルの書き方や具体例はドキュメントを参照してください。

• Manually create or edit the CloudWatch agent configuration file

要件次第ではサードパーティのツールを利用するのもいいでしょう（逆に、特に要件がないのであれば技術サポートを得やすいCloudWatchが良いのでは？）。

• Getting Started with Fluent Bit
• Filebeat quick start: installation and configuration

VPC

VPC Flow Logs

VPC内のトラフィックをVPC Flow Logsとして記録することができます。

• Logging IP traffic using VPC Flow Logs

ログはCloudWatch Logs / S3 / Kinesis Firehoseに出力することが可能です。

• Publish flow logs to CloudWatch Logs
• Publish flow logs to Amazon S3
• Publish flow logs to Amazon Data Firehose

特に指定しなければDefault format (version 2 fields)が含まれるログが出力されます。 必要であればECSのメタデータなどのフィールドを追加できます。

• Flow log records

Route53

DNS Query logging

VPC内で発生したDNSクエリとその応答を記録することができます。 C&Cサーバーとの通信の痕跡などを確認できる可能性があります。

• Resolver query logging

ログはCloudWatch Logs / S3 / Kinesis Firehoseに出力することが可能です。

• AWS resources that you can send Resolver query logs to

ログのフォーマットやサンプルはドキュメントで確認できます。

• Values that appear in Resolver query logs
• Route 53 Resolver query log example

S3

アクセスログ

CloudTrailのData Eventsとは別にS3独自でアクセスログを収集することが可能です。

• Logging requests with server access logging

CloudTrailのログとはフォーマットが異なるので、要件を満たせるいずれかを利用すれば良いでしょう。

• Amazon S3 server access log format

こちらの比較表も参考になると思います。

• Logging options for Amazon S3

Lambda

アプリケーションログ

LambdaではアプリケーションログをCloudWatch Logsに収集することができます。

• Using Amazon CloudWatch logs with AWS Lambda

ランタイム毎に適切な方法でログを出力してください。

• AWS Lambda function logging in Node.js
• AWS Lambda function logging in TypeScript
• AWS Lambda function logging in Python
• AWS Lambda function logging in Ruby
• AWS Lambda function logging in Java
• AWS Lambda function logging in Go
• Lambda function logging in C#
• AWS Lambda function logging in PowerShell
• Lambda function logging in Rust

StepFunctions

ワークフローの実行履歴

ワークフローの実行履歴をCloudWatch Logsに記録することができます。

• Logging using CloudWatch Logs

SNS

メッセージのアーカイブ

Kinesis firehoseを利用してメッセージのアーカイブを行うことが可能です。

• Amazon SNS message archiving, replay, and analytics

ドキュメントではユースケースも紹介されています。

• Example use case for message archiving and analytics

Systems Manager (Session Manager)

イベント通知

Event Bridgeを利用してセッションの開始・再開・終了のイベントを通知することが可能です。

• Auditing session activity

操作ログ

Session Managerを利用して接続した環境での操作を記録することができます。

• Enabling and disabling session activity logging

収集とは別に考えること

以上のように、様々なレイヤーでAWS上に構築した環境のアクティビティを取得することが可能です。 ただし、何も考えずにすべての設定を有効にすればいいわけではありません。

最後に、これらの設定を実施する際に考慮するべき点を整理してみます。

アクティビティの分析について

収集されたアクティビティは様々なタイミング・契機で参照・分析されます。 しかし、事前に分析する手段を用意しておかないと、いざという時に有効に活用できない可能性があります。 実現したいことや予算に応じて対応を検討しましょう。

いくつか具体的な例を紹介します。

Detective

Detectiveを利用する事で、セキュリティ的に疑わしいアクティビティの根本原因を調査・特定を支援することができます。

• What is Amazon Detective?

GuardDutyで検出したイベントを調査する際、Deectiveを事前に有効化しておく必要があります。

• Integration with Amazon Detective

Athena

S3に保存されているログファイルのうち、適切に構造化されているものはAthenaを利用して分析することが可能です。

分析する際にはテーブルを作成する必要がありますが、AWSサービスは生成するログに対してはその方法がドキュメントに記載されています。

• Querying AWS service logs

Opensearch Service

OpenSearch Serviceを利用したログの可視化を実現するソリューションも提供されています。

• siem-on-amazon-opensearch-service

データの保護

悪意を持った攻撃者は、各種アクティビティが記録されたログファイルを削除することで問題の発見・調査・復旧等を妨害するでしょう。

そのため、以下の様な対策を検討すると良いでしょう。

• データの上書き・削除権限やIAMの管理権限の最小化
• Permission boundaryの活用
  • Permissions boundaries for IAM entities
• Resource based policy（S3のバケットポリシーなど）の活用
  • Bucket policies for Amazon S3
  • Preventing users from deleting objects
• S3 Object Lockの活用
  • Using S3 Object Lock

CloudWatch Logsに配信されたデータをS3等で保護したい場合には、サブスクリプションフィルターを利用するとよいでしょう。 配信先としてKinesis Data Stream / Kinesis Data firehose / Lambdaをサポートしていますが、Firehoseを利用するのが簡単だと思います。

• Example 3: Subscription filters with Amazon Data Firehose

コストの最適化

アクティビティの収集を行うことで、ストレージにデータを保存したり、保存するまでの処理でコストが発生します。

アクティビティの多い大規模なワークロードほどコストが無視できなくなってしまうので、不必要なコストが発生しないよう考慮する必要があります。

ログの保存期間

適切なログの保存期間については、その根拠を明確にするのはまとまった情報が少なく非常に困難です。 とはいっても、無期限に保存するのもお金の無駄です。

以前は、IPAが2016年に公開した「企業における情報システムのログ管理に関する実態調査」なる資料にまとまった情報が記載されていてとても参考になったようなのですが、現在は参照できなくなってるようでした。

• 企業における情報システムのログ管理に関する実態調査
  • 記載されたURLにアクセスすると、

あれこれ探したところ、国立国会図書館がアーカイブしているのを発見しました。

• https://warp.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/security/fy28/reports/log_kanri/index.html

ここで公開されている資料の「表 4-2： ログ保存期間の目安」が目安になるでしょう。 ただし、資料自体は2016年に公開されたものなので、法改正などで現状との乖離がある可能性もあります。 必要に応じて一次資料を確認しましょう。 以下のブログ記事も非常に参考になります。

• ログの保持期間の目安についてまとめられている資料があるので2023年2月時点で照らし合わせる

S3のストレージクラス

S3では様々なストレージクラスを提供しており、それぞれで保存のコストや読み書きのコストが変わってきます。

• Comparing the Amazon S3 storage classes

様々なログファイルのうち、何も問題が無ければ1度もアクセスされないものもあれば、分析のために定期的にアクセスされるものもあるでしょう。 運用の実態に合わせて選択してみてください。

Storage Lensを利用してアクセス頻度の少ないバケットを特定したり、ライフサイクル管理機能を利用してストレージクラスを自動的に移行する事が可能です。

• Using Amazon S3 Storage Lens to optimize your storage costs
• Example 3: Tiering down storage class over an object's lifetime

CloudTrailで収集するData Events

CloudTrailでData Eventを収集する際、Advanced Event Selectorを利用して収集対象を細かく指定する事ができます。

機密情報を扱うイベントに限定するなど、必要な対象を限定することでコストを最適化できるはずです。

• Filtering data events by using advanced event selectors

Configの配信頻度

従来のConfigでは継続的な構成変更の記録のみをサポートしていたため、運用次第ではConfigのコストが高額になる場合がありました。 現在は日次での記録をサポートしており、要件次第ではコストを削減できる可能性があります。

• Recording Frequency

AthenaのPartition Projection

Athenaの料金はスキャンするデータの量に比例します。 時間の経過と共にログの量が増えることでクエリの料金が増加してしまう可能性があります。

AthenaのPartition Projectionを利用する事で、パーティショニングによるスキャンデータの削減 / パーティショニングの自動化を実現できます。

• ALBのアクセスログの例
  • Creating the table for ALB access logs in Athena using partition projection

まとめ

AWS上に構築されるワークロードは様々なレイヤーの様々なコンポーネントが連携して動作しています。 AWSではそれぞれの要素でアクティビティの収集をサポートしています。

アクティビティの収集に関する設計を行うにあたっては、ワークロードに対してどのようなアクセスが行われ、その際にどのようなデータが扱われるのかを理解した上で重要なアクティビティについては記録をするとよいでしょう。 また、通常のユースケースだけで無く、悪意を持った攻撃者がどのような方法・何を狙って攻撃を試みるのか考え、それを検知・防御するためには何が必要かを考えてみる必要もあるでしょう。

とは言っても、セキュリティに対する投資にも限度がありますので、コストに関しても意識する必要があります。

考えることが多く、かつ正解が1つじゃないので本当に難しいですが、チョットずつ改善できるとよいのではないでしょうか。

現場からは以上です。