💡 結論ファースト:3つの操作を30秒で理解
CloudTrailはAWS上のすべての操作を記録する監視カメラシステムです。 3つの主要操作は「カメラの録画停止」「カメラの撤去」「カメラの設定変更」に対応します。 セキュリティ上、これらの操作は攻撃者に悪用される可能性が高いため、監視が必須です。
カメラは設置したまま
再開可能(StartLogging)
Trail設定自体を削除
再作成が必要
録画先・対象を変更
録画は継続
🏢 たとえ話:オフィスビルの監視カメラシステム
CloudTrailは、AWSアカウント内のすべての操作を記録する「監視カメラシステム」です。
誰が、いつ、何をしたかを24時間365日記録し、セキュリティ監査に活用します。
🏢 AWS オフィスビル(あなたのAWSアカウント)
監視カメラシステム = CloudTrail
すべての操作を監視
ログの保存先
何を記録するか
🔧 3つの操作を詳しく解説
- Trail設定は保持される
- StartLoggingで再開可能
- 停止中の操作は記録されない
- 攻撃者がよく使う手口
- Trail設定が完全に削除
- 既存ログ(S3)は残る
- 再度CreateTrailが必要
- 最も危険な操作
- S3バケット先を変更可能
- 対象リージョンを変更可能
- 暗号化設定を変更可能
- 不正な設定変更に注意
📊 各操作の影響を視覚化
StartLoggingで再開可能
CreateTrailで再作成が必要
新しい設定で稼働
📋 3つの操作を比較
| 操作 | Trail設定 | ログ記録 | 既存ログ | 復旧方法 | 危険度 |
|---|---|---|---|---|---|
| ⏸️ StopLogging | 保持 | 停止 | 保持 | StartLogging | 中 |
| 🗑️ DeleteTrail | 削除 | 停止 | 保持 | CreateTrail | 高 |
| ⚙️ UpdateTrail | 変更 | 継続 | 保持 | UpdateTrail | 低〜中 |
🚨 セキュリティ上の重要な警告
⚠️ 攻撃者の常套手段
攻撃者がAWSアカウントに侵入した際、最初に行うのがCloudTrailの無効化です。 証拠隠滅のため、StopLoggingやDeleteTrailを実行して足跡を消そうとします。
🔔 必須の対策:CloudWatch Alarms
これらの操作をCloudWatch Alarmsで監視してください。 StopLogging、DeleteTrail、UpdateTrailが実行されたら即座にアラートを発報する設定が必須です。
🔐 IAMポリシーで制限
cloudtrail:StopLogging、cloudtrail:DeleteTrail の権限は、 最小限の管理者にのみ付与してください。SCPでの制限も推奨です。
📦 S3バケットの保護
DeleteTrailを実行されても、S3のログは別途保護されます。 S3バケットポリシー、オブジェクトロック、MFA Deleteで証拠を守りましょう。
💼 正当なユースケース
🔧 StopLogging の正当な用途
大量のログが発生するテスト中に一時停止、コスト削減のための一時的な停止など。ただし、本番環境では推奨されません。
🗑️ DeleteTrail の正当な用途
アカウントの廃止、Trail設定の再構築、テスト用Trailの削除など。本番環境での実行には二重承認が推奨されます。
⚙️ UpdateTrail の正当な用途
新しいS3バケットへの移行、暗号化設定の変更、マルチリージョン設定の有効化など。日常的な運用で使用されます。
💻 AWS CLI コマンド例
aws cloudtrail stop-logging \
--name "my-trail"
# ログ記録を再開
aws cloudtrail start-logging \
--name "my-trail"
aws cloudtrail delete-trail \
--name "my-trail"
# ⚠️ この操作は取り消せません
# S3のログは削除されません
aws cloudtrail update-trail \
--name "my-trail" \
--s3-bucket-name "new-bucket"
# マルチリージョンを有効化
aws cloudtrail update-trail \
--name "my-trail" \
--is-multi-region-trail