AWS

ログが正しいか検証するための“ハッシュ値”などをまとめたファイル。これがあれば、ログが一部でも書き換えられたらおかしいと気づける。まさに改ざん防止の役割を果たす重要なピースなんだ。

クラウドトレイルのログを専用に貯めておいて、SQLっぽく簡単に検索や分析ができる機能。巨大なログでもささっと探したり統計を取ったりできるようになるから、監査や調査がずっとやりやすくなるんだ。

CloudTrailのログ情報をSecurity Hubというセキュリティ状況まとめサービスにも送って、他の脆弱性やアラートと一緒に見れる。包括的なセキュリティ監視が可能で、運用負荷を大きく下げられるんだ。

ログをCloudWatch Logsに送ってリアルタイムでチェックしたり、アラートを作ったりできる連携機能。たとえば“ルートアカウントが使われたら通知”といったルールを組むと、怪しい操作にすぐ気づけるんだ。

AWS全体の“体調”をモニタリングするサービスだよ。EC2のCPU使用率が高いとかS3にアクセスが多いとか、いろいろな数字(メトリクス)を集めて、グラフやアラームを設定できるから、システムが元気かすぐわかる。

複数のリージョンで行われた操作もまとめて1つのS3バケツに保存できる。いちいちリージョンごとにログを確認する手間がなく、どこで操作しても中央に集まるので監査しやすいんだ。

AWSのサービスが“今どんな感じ？”と定期的に報告してくれる数値データだよ。CPUやメモリ、ネットワーク通信量などを、CloudWatchが集めてグラフにしてくれるから、変化を見ればトラブルも把握しやすいんだ。

IAMやSTSなどの“グローバルサービス”の操作も記録してくれる。これを有効にしないと、認証まわりのイベントがログに残らず見落とす可能性がある。セキュリティ上、大事な設定なんだ。

メトリクスがある一定のラインを超えたら“警報”を出し、SNS通知を送ったりオートスケールを起動したりする仕組み。CPUが80%を超えたら新しいインスタンスを増やすとか、メモリが足りなくなったらメールするなど自由に設定できるよ。

ログをS3に保存する際、KMSなどで暗号化できる。万が一誰かがそのログを盗んでも、鍵がなければ読めない。操作ログには結構機密なことが書いてあるから守る必要があるんだ。