「玄関の鍵はかけたのに、裏口から丸見え?」ログ管理で実現する、クラウドの最強防犯術
こんにちは!セキュリティの世界へようこそ。
日々、クラウドインフラを構築している皆さん、お疲れ様です。「AWSやAzureを使っているから、クラウド事業者が守ってくれるはず」なんて思っていませんか?
実は、クラウドのセキュリティは「責任共有モデル」といって、クラウドの設備は事業者が守りますが、「その上で動くアプリの防御」や「誰が何をしたかの記録」は、皆さん自身の責任なんです。
今日は、家の防犯に例えながら、「ログ」を使ってどうやってサイバー犯罪者から身を守るのか、その基本を一緒に学んでいきましょう。
—
ログは「家の防犯カメラと警備員」
想像してみてください。あなたは立派なセキュリティシステムを備えた家を持っています。でも、もしその家で「誰がいつ玄関を開けたのか」「誰が裏口をこじ開けようとしたのか」を記録する防犯カメラがなかったらどうでしょう?
泥棒が入っても、犯人が何を持って行ったのか、どこから逃げたのか全く分かりませんよね。クラウドにおける「ログ」は、まさにこの防犯カメラの映像です。
狙われる盲点:ログがないと「やられ放題」
攻撃者は、一発でシステムを破壊しようとはしません。まずは「玄関の鍵は緩くないか?」「裏口に隙はないか?」と、コツコツと偵察をしてきます。
- CloudTrail(AWSの例): 誰がどの設定を変更したかの「出入り記録」
- VPC Flow Logs: どこからどの通信が飛んできたかの「通行人リスト」
これらを個別に眺めていても、忙しいエンジニアには気づけません。そこで登場するのが、SIEM(シーム)という存在です。
—
SIEM(シーム)で「怪しい動き」を自動検知する
SIEMとは、バラバラの防犯カメラ映像を一つの部屋に集め、AIやルールを使って「怪しい動きを自動で見抜く警備員」のことです。
例えば、「深夜3時に、普段は海外からアクセスがないはずの管理画面へ、連続してログイン失敗が起きている」という事象。
防犯カメラ(ログ)をそれぞれ見ても分かりませんが、SIEMに集約すれば「これはブルートフォース攻撃(総当たり攻撃)だ!」と瞬時に警報を鳴らしてくれます。
—
実践:AWSのログをSIEMへ送る仕組み(基本のキ)
まずは、CloudTrailのログをS3(保存箱)に集め、そこからSIEM(SplunkやMicrosoft Sentinelなど)へ転送する流れをイメージしましょう。
1. CloudTrailの設定(ログの記録を開始)
まずは、すべての操作を記録する設定を入れます。
{
“TrailName”: “my-security-trail”,
“IsLogging”: true, // ログ記録を開始する
“IncludeGlobalServiceEvents”: true, // IAMなどグローバルな操作も記録
“EnableLogFileValidation”: true // ログが改ざんされていないかチェックする機能(重要!)
}
※ `EnableLogFileValidation`は非常に大切です。泥棒が証拠隠滅のためにログを書き換えるのを防ぐ「封印」のような役割を果たします。
2. SIEMへの連携(データの流れ)
クラウドのログは、そのままではSIEMが読めないことが多いので、「配送業者」を使います。
1. S3へ出力: CloudTrailがログをS3バケットに保存。
2. S3イベント通知: S3に新しいファイルが来たら、SIEMに「新しいデータが届いたよ!」と通知。
3. SIEMが取り込み: 通知を受け取ったSIEMがデータを吸い上げ、解析開始。
—
一歩ずつ対策を学んでいきましょう!
初めてのインフラ構築で、最初から完璧なログ環境を作るのは大変です。まずは、以下のステップで進めてみてください。
- STEP 1: CloudTrailを有効にし、最低でも90日間はログを保存する設定にする。
- STEP 2: 「rootアカウントが使われた」「IAMポリシーが変更された」などの重要イベントだけを、Slackやメールに通知する仕組みを作る。
- STEP 3: その通知が定着したら、SIEM(Splunkの無料版やCloudWatch Logs Insightsなど)を使って、データの相関分析に挑戦する。
最後に:セキュリティは「完璧」を目指さない
セキュリティ対策に「終わり」はありません。完璧な鍵を作っても、泥棒は窓を割るかもしれません。でも、「監視されている」「異常があればすぐバレる」という事実が、実は一番の抑止力になります。
最初は難しく感じるかもしれませんが、まずは「自分のクラウド環境で何が起きているか」をのぞき見ることから始めてみませんか?
何か分からないことがあれば、またいつでも聞きに来てくださいね。一歩ずつ、強固な防衛ラインを築いていきましょう!

コメント