20240509-S3アクセスログ運用のオトモに

2024/5/9 2024 アイレット 春のホン祭り S3アクセスログ運用のオトモに 著書：AWS継続的セキュリティ実践ガイド アジャイル事業部 データ分析基盤セクション 佐藤 竜也

自己紹介 # 名前 ・佐藤 竜也（ますの） @masno_soy # 出身 ・長野市（エムウェーブの近くで育つ） # 業務内容 ・AWS基盤 運用・保守（インフラ） ・PM # 資格 ・2023 Japan AWS All Certifications Engineers # 最近の活動 ・JAWS-UG配信部

略歴 2010 - 2016年 2017 - 2021年 2022年 - 現在 営業・接客時代 IT業界へ SES： 客先常駐時代 アイレット入社 PM＆インフラエンジニア ・エンプラ企業：情シスで修行 ・グループ会社データレイク基盤 運用保守 - ヘルプデスク ・建設業ソフトウェアの営業で全国を飛び回る （営業範囲：東日本全域） ・自分探しに迷走する - リゾートバイト：スノボ山籠もり - 婚活パーティ：企画 / 運営 / 司会 - 社内インフラ （VM→AWS移行、DX対応など） ・SIer孫請けでエンジニア人生の迷子に - 非機能要件をひたすらドキュメントチェック ・スタートアップ企業のインフラ整備 - AWS環境のインフラ整理 - エンプラ向けにセキュリティ文書回答 - ISMS新規取得対応 - 監査関連ドキュメントの回答 - 顧客要望への回答（既存環境の再設計） - 運用改善対応 - ログはともだち

紹介書籍 AWS継続的セキュリティ実践ガイド ログの収集 / 分析による監視体制の構築 著：日比野 恒 （Hibino Hisashi）

こんな人にオススメ 運用目線の セキュリティを知りたい人に 刺さる一冊

こんな人にオススメ 運用を考慮したセキュリティ設計のヒントが欲しい人 AWSマネージドサービスのアクセスログのヒントが欲しい人 AWSに構築したシステムの管理者やセキュリティ管理者 CloudTrailやSecurity Hubをこれから活用したい人

著者オススメの読み方 クラウドセキュリティの基礎知識から学びたい方は、先に 「AWSではじめるクラウドセキュリティ」を読むと良い

書籍を読むきっかけ 顧客問い合わせでログ運用部分がイマイチ分かってなかったため S3サーバアクセスログと証跡の違い CloudTrail 監査ログの分析方法 S3サーバアクセスログの分析方法 S3のログ運用方法 なんもわからん

日頃業務でよく見ているログ CloudTrail S3アクセスログ ALBアクセスログ CloudWatch Logs（EC2のSyslog、ログインログなど） 主にインシデント対応で利用。 詳細調査や復旧対応での活用が多め。

書籍にもある通り、ステップ01の保存ログは時折活用。 ステップ02に関しては特に意識してなかったので良い機会になる。

S3サーバアクセスログと証跡の違い

S3サーバアクセスログと証跡の違い 項目 証跡 S3サーバアクセスログ フォーマット JSON形式 SSV形式 作成制限 完全性 最大5つ/リージョン ※上限緩和不可 CloudTrailログファイルの整合性 の検証を使用して確認可能 S3アクセスログ取得 設計 基本的には「証跡」が高機能 証跡は作成可能数が決まって 特になし いるため初期設計が重要 証跡は管理イベントのログ取 保障されない 得など、設計で考慮しておか ないと金額が膨らむので注意 リアルタイム性 イベント発生後、数分後に CloudTrailに記録 記録された時間から数時 間以内に配信 料金 イベント10万件あたり0.10USD + S3ストレージ料金 S3ストレージ料金のみ

ログの分析方法一覧 ツール名 対象ログ クエリ方法 CloudTrail Lake CloudTrail SQLベース CloudWatch Logs Insight CloudWatch Logsに格納で きるログ 独自クエリ言語 S3 Select S3に格納できるログ ※CSV,JSON,Perquetのみ SQLベース ※オブジェクト単位 Athena S3に格納できるログ SQLベース ※プレフィックス単位 OpenSearch、Splunk、 Sumo Logicなど ツールによる ツールによる ログ分析方法 CloudTrail、S3サーバアクセス ログ共にAthenaが利用可能 CloudTrail Lakeはマルチアカ ウントでの強みあり AthenaはログをS3に蓄積したま ま転送不要で分析可能 お財布的にはAthenaの方が良さ そうかも？（一概には言えない）

まとめ CloudTrailはAPIコールのログ保存 S3サーバアクセスログはHTTPアクセスログ保存 マルチアカウントで分析をする場合はCloudTrailが有効 取得されるログ内容が異なるため、取得したいログが含まれている か最初に確認して意思決定することが大切 金額面ではS3サーバアクセスログの方が安価

忙しい人向けに 著者の登壇資料もオススメ

Security Lake EC2運用 書籍の一部を使って LT登壇されているので 時短でチェックできておすすめ CloudTrail

Ops-JAWS（2024/5/29） ロギング、ログ管理会開催 著者の日比野さんもLT登壇予定 ハイブリッド開催なので、聞く だけでもログ管理の運用につい て聞ける（かも）

すてきなログ管理ライフを ご清聴ありがとうございました

参考情報 ●AWS継続的セキュリティ実践ガイド ログの収集／分析による監視体制の構築 https://amzn.asia/d/cJ8bMb7 ●【Cyber-sec+】ログの森で出会った CloudTrail との奇妙な旅 https://speakerdeck.com/hssh2_bin/cyber-sec-plus-rogunosen-dechu-hui-tuta-cloudtrail-tonoqi-miao-nalu ●【SecurityJAWS】時間切れで書き切れなかったOCSFの行く末とは https://speakerdeck.com/hssh2_bin/securityjaws-shi-jian-qie-reteshu-kiqie-renakatutaocsfnoxing-kumo-toha ●【OpsJAWS】EC2 のセキュリティの運用と監視について考えてみた件 https://speakerdeck.com/hssh2_bin/opsjaws-ec2-nosekiyuriteinoyun-yong-tojian-shi-nituitekao-etemitajian ●OpsJAWS Meetup29 ロギング、ログ管理 https://opsjaws.connpass.com/event/314570/

• https://amzn.asia/d/cJ8bMb7
• https://speakerdeck.com/hssh2_bin/cyber-sec-plus-rogunosen-dechu-hui-tuta-cloudtrail-tonoqi-miao-nalu
• https://speakerdeck.com/hssh2_bin/securityjaws-shi-jian-qie-reteshu-kiqie-renakatutaocsfnoxing-kumo-toha
• https://speakerdeck.com/hssh2_bin/opsjaws-ec2-nosekiyuriteinoyun-yong-tojian-shi-nituitekao-etemitajian
• https://opsjaws.connpass.com/event/314570/