Cloud Logging & Monitoring

クラウドログ監視（Cloud Logging & Monitoring）とは、クラウド環境で発生するすべてのアクティビティ、APIコール、リソース変更、ネットワークトラフィックなどのログを収集・分析・監視し、セキュリティ上の脅威や異常を検出する取り組みです。AWS CloudTrail、Azure Monitor、GCP Cloud Loggingといったクラウドネイティブのログサービスを中核に、クラウド環境の可視性を確保することがその目的です。

オンプレミス環境と異なり、クラウドではインフラの物理的なアクセスログが存在しないため、APIレベルのログがセキュリティ監視の最も重要な情報源となります。誰が、いつ、どのリソースに対して、どのような操作を行ったかを正確に記録・追跡することで、不正アクセスの検出、インシデント対応、コンプライアンス監査に対応できます。ログが適切に収集・保管されていなければ、セキュリティインシデントの発生を検知できず、被害の全容把握やフォレンジック調査も不可能になります。

近年では、SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）との連携により、ログの自動分析・相関分析・インシデント対応の自動化が進んでいます。膨大なクラウドログから真の脅威を効率的に検出するため、機械学習を活用したUEBA（User and Entity Behavior Analytics）による異常行動検知も重要な技術です。

クラウドプロバイダーのログサービス

主要なクラウドプロバイダーは、包括的なログサービスを提供しています。AWS CloudTrailはAWSアカウント内のすべてのAPI呼び出しを記録し、管理イベント（コントロールプレーン操作）とデータイベント（S3オブジェクトアクセス等）を分離して管理できます。VPCフローログはネットワークトラフィックのメタデータを記録し、不審な通信パターンの検出に活用されます。

Azure MonitorはAzure Activity Log（管理操作）、Resource Log（リソース固有のログ）、Azure AD Sign-in Log（認証ログ）を統合的に管理します。GCP Cloud Loggingは管理アクティビティログ、データアクセスログ、システムイベントログを収集し、Log Explorerによるリアルタイム検索が可能です。

SIEMとの連携とログ集約

マルチクラウドやハイブリッド環境では、各クラウドプロバイダーのログをSIEM（Splunk、Microsoft Sentinel、Elastic Security、Sumo Logic等）に集約することが不可欠です。SIEMはログの正規化・相関分析を行い、単独のログでは検出できない高度な攻撃パターンを識別します。

例えば、「通常と異なる地域からのログイン」と「大量のS3バケットへのアクセス」が同時に発生した場合、個別のログでは正常に見えても、相関分析によりアカウント侵害後のデータ窃取として検出できます。ログの集約にはAmazon EventBridge、Azure Event Hubs、GCP Pub/Subなどのメッセージングサービスを活用します。

アラートルールと脅威検出

クラウドログ監視の効果を最大化するには、適切なアラートルールの設計が重要です。代表的な検出ルールとして、ルートアカウントの使用検出、MFAなしのコンソールログイン、セキュリティグループの全ポート開放、CloudTrailの無効化、IAMポリシーの大幅な権限変更、大量のAPIエラー（AccessDenied）の連続発生などがあります。

AWS GuardDuty、Azure Defender for Cloud、GCP Security Command Centerなどのクラウドネイティブ脅威検出サービスは、機械学習ベースの異常検出を提供し、既知の攻撃パターンだけでなく未知の脅威にも対応します。これらのサービスとカスタムアラートルールを組み合わせることで、多層的な脅威検出体制を構築できます。

ログの保管とコンプライアンス

セキュリティログの保管期間と保護は、コンプライアンス要件に直結する重要な要素です。PCI DSSでは監査ログの1年間保管（直近3か月はすぐにアクセス可能な状態）が要求され、SOC 2やISO 27001でもログの完全性と可用性が評価されます。

ログの改ざん防止のために、WORM（Write Once Read Many）ストレージやS3 Object Lockの活用が推奨されます。また、CloudTrail Log File Validationを有効にすることで、ログファイルのハッシュチェーンによる整合性検証が可能になります。コスト最適化のため、古いログはS3 Glacier等の低コストストレージに自動アーカイブする仕組みも重要です。

インシデント対応とフォレンジック

セキュリティインシデント発生時、クラウドログはフォレンジック調査の根幹を成します。攻撃者がいつアクセスを獲得し、どのリソースに対してどのような操作を行い、どのデータを窃取したかを時系列で再構築するためには、包括的なログの存在が不可欠です。

Amazon Detectiveは、CloudTrail、VPCフローログ、GuardDuty Findingsを自動的に統合し、グラフ分析によるインシデントの根本原因調査を支援します。インシデント対応のプレイブックには、関連するログの即座の保全（証拠保全）、タイムラインの構築、影響範囲の特定、復旧手順が含まれ、事前に定期的な訓練を実施しておくことが重要です。

• 01
  全アカウント・全リージョンでのCloudTrail有効化：AWS CloudTrailをすべてのリージョンとアカウントで有効にし、管理イベントとデータイベントの両方を記録してください。組織レベルのトレイル（Organization Trail）を使用することで、新規アカウント作成時も自動的にログ収集が開始されます。
• 02
  ログの改ざん防止と完全性検証：CloudTrail Log File Validationを有効にし、ログファイルの整合性を検証できるようにしてください。ログ保存先のS3バケットにはObject Lockを設定し、WORM保護により攻撃者によるログの削除や改ざんを防止しましょう。
• 03
  リアルタイムアラートの設計と運用：ルートアカウントの使用、CloudTrailの無効化、セキュリティグループの変更、IAMポリシーの変更などの重要イベントに対して、CloudWatch AlarmsやEventBridgeルールを設定してリアルタイム通知を行ってください。
• 04
  SIEMへのログ集約と相関分析：すべてのクラウドアカウントとサービスのログをSIEMに集約し、相関分析ルールを構築してください。単独のログでは検出困難な高度な攻撃（ラテラルムーブメント、権限昇格チェーン等）を検出する相関ルールを継続的に改善しましょう。
• 05
  ログ保管ポリシーの策定とコスト最適化：コンプライアンス要件に基づいたログ保管期間を定め、ライフサイクルポリシーにより古いログを自動的に低コストストレージへ移行してください。重要なセキュリティログは最低1年以上保管し、直近90日分は即座に検索可能な状態を維持しましょう。
• 06
  インシデント対応プレイブックの整備と訓練：ログベースのインシデント対応プレイブックを策定し、証拠保全手順、タイムライン構築方法、影響範囲特定プロセスを文書化してください。四半期ごとにテーブルトップ演習を実施し、対応チームのスキルと手順の有効性を検証しましょう。