① ログ設定(出力元:AWSサービスが生成するログ)
AWS の各サービスは「セキュリティ」「監査」「ネットワーク」「アプリケーション」など複数カテゴリでログを出力する。
■ セキュリティ・監査系ログ(AWS 基盤の最重要領域)
| サービス | 記録内容 |
|---|---|
| CloudTrail | API コール履歴(誰が、どこから、何を実行したか)※必須 |
| Config | リソース構成の変更履歴(差分追跡) |
| GuardDuty | 脅威検知結果(異常通信 / 不審なアクセス) |
| Security Hub | セキュリティ基準(CIS 等)に対する Findings 統合 |
| Inspector | EC2 / Lambda の脆弱性スキャン結果 |
| Macie | S3 の機密データ検出(PII / 個人情報) |
| Shield Advanced | DDoS 監視・検知イベント |
■ ネットワーク系ログ
| サービス | 記録内容 |
|---|---|
| VPC Flow Logs | サブネット / ENI の通信ログ(許可/拒否) |
| ALB / NLB Access Logs | ロードバランサーのアクセスログ |
| API Gateway Logs | API 実行ログ・エラー |
| CloudFront Logs | CDN アクセスログ・WAFエラー |
■ 認証・ユーザー操作ログ
| サービス | 記録内容 |
|---|---|
| Cognito | 認証ログ、AuthChallenge、MFA イベント |
| IAM | ロールの AssumeRole、MFA、STS 署名発行 |
| Account Activity Logs | Root アカウント使用などの重要イベント |
■ OS / アプリケーションログ
| サービス | 記録内容 |
|---|---|
| CloudWatch Agent | EC2 / コンテナ / On-Prem の OS アプリログ |
| Systems Manager(SSM) | Session Manager の操作履歴 |
| Lambda Logs(CW Logs) | Lambda 実行ログ(stdout) |
② ログ運送(ルーティング・中継)
ログをどのストレージ・分析基盤へ配送するかを決定する層。
■ AWS の主要ログ配送サービス(中心機能)
| サービス | 役割 |
|---|---|
| Kinesis Data Firehose | 高速ログ転送(S3 / OpenSearch / Splunk) |
| CloudWatch Logs Subscription | CloudWatch Logs → Firehose / Lambda |
| EventBridge | Findings・イベントのルール配送 |
| SNS | 通知配信用(Slack / メール) |
| SQS | ログのバッファリング / 非同期処理キュー |
| Lambda | ログ整形・マスキング・フィルタリング |
■ ログ運送の典型パターン(※実務で標準)
(1)CloudTrail 系
CloudTrail
→(オプション)CloudWatch Logs
→ Firehose
→ S3(ログレイク)
(2)ネットワークログ
VPC Flow Logs
→ CloudWatch Logs
→ Firehose
→ OpenSearch(検索UI)
(3)セキュリティログ
GuardDuty
→ EventBridge
→ SNS(通知) / Security Hub(統合) / Lambda(自動処理)
(4)認証系ログ
Cognito
→ CloudWatch Logs
→ Athena / QuickSight で分析
③ ログ保管(蓄積・暗号化・保持期間管理)
ログを安全かつ永続的に保管し、改ざんを防ぎ、保持期間を管理する領域。
■ ログ保存のメインストレージ
| サービス | 説明 |
|---|---|
| S3(ログレイク) | すべてのログを集約。Object Lock で WORM 保護 |
| S3 Glacier / Deep Archive | 長期保管用。コスト最適化 |
| CloudWatch Logs | 運用系アプリログの短期保持 |
| CloudTrail Lake | 構造化された API ログの長期クエリ |
| OpenSearch | 検索・ログ可視化 |
■ セキュアな保管のベストプラクティス
- S3 + Object Lock(改ざん防止)
- S3 バージョニング + MFA Delete
- KMS CMK による暗号化(CloudTrail / LogGroup / S3)
- Lifecycle によるアーカイブ(Standard → IA → Glacier)
- すべてのログを “ログ専用アカウント(Security Account)” に集約
→ マルチアカウント統合ログ基盤の前提
④ ログ利用(分析 / 可視化 / インシデント対応)
保存したログを活用して、分析・監視・自動化に応用するフェーズ。
■ 分析 / 検索
| サービス | 説明 |
|---|---|
| Athena | S3ログを SQL で分析(CloudTrail / ALB / VPC) |
| CloudTrail Lake | API 操作の高度検索 |
| OpenSearch | フリーテキスト検索 / 可視化 |
■ 可視化 / ダッシュボード
| サービス | 説明 |
|---|---|
| QuickSight | BIレポート(経営層向け) |
| CloudWatch Dashboard | 運用監視 |
| OpenSearch Dashboards | 開発・運用向けログUI |
■ 通知・インシデント対処
| サービス | 説明 |
|---|---|
| SNS / Slack 通知 | GuardDuty・WAF・Error などを即通知 |
| Security Hub | 全セキュリティ Findings の統合管理 |
| Lambda Automation | 悪意あるIPの自動遮断など SOAR 的処理 |
▼ AWS ログアーキテクチャ:全体の流れ(完全図解テキスト)
図に変換しやすいよう“矢印付きフロー”として再構成。
【① ログ出力】
CloudTrail / Config / GuardDuty / Inspector / Macie / Shield
VPC Flow Logs / ALB / API GW / CloudFront
Cognito / IAM / SSM / CloudWatch Agent
↓
【② ログ運送】
CloudWatch Logs → Firehose → S3(ログレイク)
CloudTrail → S3 / CloudWatch Logs
VPC Flow Logs → CloudWatch Logs → Firehose → OpenSearch
GuardDuty → EventBridge → SNS / Lambda / SecurityHub
↓
【③ ログ保管】
S3(Object Lock + KMS) / Glacier / CloudTrail Lake / OpenSearch
ログ専用アカウント(Security Account)に集約
↓
【④ ログ利用】
Athena(SQL分析) / QuickSight(可視化) / OpenSearch Dashboards
GuardDuty / SecurityHub / SNS / Lambda Automation
コメント