CloudTrail ログファイルの整合性の検証 - AWS CloudTrail
使用する理由仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail ログファイルの整合性の検証

CloudTrail 配信後にログファイルが変更、削除、または変更されていないかどうかを判断するには、 CloudTrail ログファイルの整合性検証を使用できます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。を使用して AWS CLI 、 がファイルを CloudTrail 配信した場所にあるファイルを検証できます。

使用する理由

検証されたログファイルは、セキュリティおよびフォレンシック調査で非常に重要です。たとえば、検証されたログファイルを使用すると、ログファイル自体が変更されていないこと、または特定のユーザーの認証情報が特定の API アクティビティを実行したことを確実にアサートできます。また、 CloudTrail ログファイルの整合性検証プロセスでは、ログファイルが削除されたか変更されたか、または一定期間にアカウントにログファイルが配信されなかったかを肯定的にアサートできます。

仕組み

ログファイルの整合性検証を有効にすると、 は配信するログファイルごとにハッシュ CloudTrail を作成します。 CloudTrail また、 は 1 時間ごとに、過去 1 時間のログファイルを参照し、それぞれのハッシュを含むファイルを作成して配信します。このファイルはダイジェストファイルと呼ばれます。 は、パブリックキーとプライベートキーのペアのプライベートキーを使用して各ダイジェストファイル CloudTrail に署名します。配信後、パブリックキーを使用してダイジェストファイルを検証できます。 は、 ごとに異なるキーペア CloudTrail を使用します AWS リージョン。

ダイジェストファイルは、 CloudTrail ログファイルと同じ証跡に関連付けられた Amazon S3 バケットに配信されます。ログファイルがすべてのリージョンまたは複数のアカウントから 1 つの Amazon S3 バケットに配信される場合、 CloudTrail はそれらのリージョンとアカウントからのダイジェストファイルを同じバケットに配信します。

ダイジェストファイルは、ログファイルとは別のフォルダに格納されます。このようにダイジェストファイルとログファイルを分離することで、細かいセキュリティポリシーを適用することができ、既存のログ処理ソリューションを変更せずに引き続き運用することができます。各ダイジェストファイルには、存在する場合、前のダイジェストファイルのデジタル署名も含まれます。現在のダイジェストファイルの署名は、ダイジェストファイル Amazon S3 オブジェクトのメタデータプロパティにあります。ダイジェストファイルの内容の詳細については、「CloudTrail ダイジェストファイル構造」を参照してください。

ログおよびダイジェストファイルの保存

CloudTrail ログファイルとダイジェストファイルは、Amazon S3 または S3 Glacier に、無期限に安全かつ永続的に、かつ安価に保存できます。Amazon S3 に保存されているダイジェストファイルのセキュリティを強化するために、Amazon S3 MFA Delete を使用することができます。

検証の有効化とファイルの検証

ログファイルの整合性検証を有効にするには、 AWS Management Console、、 AWS CLIまたは CloudTrail API を使用できます。ログファイルの整合性検証を有効にする CloudTrail と、 はダイジェストログファイルを Amazon S3 バケットに配信できますが、ファイルの整合性は検証されません。詳細については、「のログファイルの整合性検証を有効にする CloudTrail」を参照してください。

CloudTrail ログファイルの整合性を検証するには、 を使用する AWS CLI か、独自のソリューションを作成します。 AWS CLI は、 がファイルを CloudTrail 配信した場所にあるファイルを検証します。Amazon S3 または他の場所のいずれかで、別の場所に移動したログを検証する場合、独自の検証ツールを作成することができます。

を使用してログを検証する方法については AWS CLI、「」を参照してくださいを使用した CloudTrail ログファイルの整合性の検証 AWS CLI。 CloudTrail ログファイル検証のカスタム実装の開発については、「」を参照してください CloudTrail ログファイルの整合性検証のカスタム実装