こんにちは、新卒一年目の翔太と申します。
AWS CLFを取得したのですが、同じミスを繰り返しているサービスがあったので、こちらでアウトプットして、覚えていこうと思います。
※何か間違いがあればご指摘してくださると嬉しいです!
AWS ConfifgとAWS CloudTrailとAWS Inspectorについて
AWS Configとは
AWS Configは、AWS、オンプレミス、その他クラウド上のリソースの設定と関係を継続的に評価、監査するサービスで、以下のユースケースにおいて使用されます。
ユースケース
-
運用上のトラブルシューティングと変更管理を合理化する
アカウントに存在するリソースを見つけたり、サードパーティのリソースの設定データをAWS Configに公開したり、その設定を記録したり、変更をキャプチャしたりして、運用上の問題を迅速に解決できます。 -
Compliance-as-Codeフレームワークをデプロイする
コンプラインアンス要件をAWS Configルールとしてコード化し、修復アクションを記述して、組織全体のリソース設定の評価を自動化します。 -
セキュリティのモニタリングと分析を継続的に監査する
潜在的な脆弱性についてリソース設定を評価するとともに、インシデントが発生した場合には、その後に設定履歴を確認して、セキュリティ体制を調べることができます。
上記3点をまとめると、AWS Configは、運用上のトラブルシューティングと、コンプライアンスのルール設定、セキュリティに対しての評価と監査を継続的に行うことがわかります。
参照先:https://aws.amazon.com/jp/config/
AWS CloudTrailとは
AWS CloudTrailは、AWSインフラストラクチャ全体のアクティビティをモニタリングして記録し、ストレージ、分析、および修復アクションをコントロールできるサービスで、以下のユースケースにおいて使用されます。
ユースケース
-
マルチクラウドとマルチリソース
他のクラウドプロバイダー、社内アプリケーション、クラウドな他はオンプレミスで実行されているSaasアプリケーションなど、AWSおよびAWS外リソースからのアクティビティイベントを取り込みます。 -
監査アクティビティ
監査対象イベントを7年間変更せず保存し、アクティビティイベントの信頼性を検証します。内部ポリシーや外部規制で必要とされる監査レポートを簡単に作成できます。 -
異常なアクティビティの特定と分析
SQLベースのクエリを利用して、不正アクセスを検出し、アクティビティログを分析します。ルールベースのEventBridgeアラートと自動ワークフローで応答します。
上記3点をまとめると、AWS CloudTrailは、AWSおよびAWS外のソースからのアクティビティイベントの取り込みと信頼性の検証と監査レポートの作成。
また、SQlベースのクエリを使用した不正アクセスの検出とアクティビティログを分析し、ルールベースのEventBridgeアラートと自動ワークフローでの応答ができることがわかります。
参照先:https://aws.amazon.com/jp/cloudtrail/
AWS Inspectorとは
Amazon Inspectorは、Amazon EC2 インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャンします。
ユースケース
-
コンピュートワークロードにおけるゼロデイ脆弱性をすばやく発見
50を超える脆弱性インテリジェンスソースにより、検出の自動化、脆弱性ルーティングの迅速化、MTTR(Mean Time To Repair:平均修復時間)の短縮を実現できます。 -
パッチの修復を優先順位付け
現在よく見られる脆弱性とエクスポージャー(CVE)情報、およびネットワークのアクセシビリティを基に、状況に応じたリスクスコアを作成して、脆弱なリソースに優先順位を付けて解決します。 -
コンプライアンスの要件に準拠
Amazon Inspector スキャンを使用して、NIST CSF、PCI DSS、およびその他の規制のコンプライアンス要件とベストプラクティスをサポートします。 -
SBOM(Software Bill of Materials)による可視性の向上
モニタリング対象リソースの統合 SBOM を Amazon S3 にエクスポートし、Amazon Athena と Amazon QuickSight のダッシュボードを使用して洞察を得ることができます。
上記4点をまとめると、Amazon Inspectorは、脆弱性の検出の自動化と脆弱性ルーティングの迅速化、MTTR(どれだけ早く直せるか)の短縮をコンプライアンス要件の状況に応じたリスクの高いものから優先して解決すること。またモニタリングリソース統合SBOM(ソフトウェア開発で使用するすべてのコンポーネントや依存関係をリスト化した資料)は、Amazon S3 にエクスポートし、Amazon Athena(標準SQLで直接S3のデータにクエリを投げて解析できるサービス) と Amazon QuickSight(意思決定をする際の参考にするためにデータ分析や分析した結果を得られるBIツールサービス)のダッシュボードを使用して洞察を得ることができることがわかります。
参照先:https://aws.amazon.com/jp/inspector/
AWS Audit Manager
上記の3つのサービスに近いもので、AWS Audit Managerというサービスもついでに紹介しておきます。
AWS Audit Managerは、AWSの使用状況を継続的に監査して、リスクとコンプライアンスの評価を簡素化するサービスで、以下のユースケースにおいて使用されます。
ユースケース
-
手動証拠集から自動証拠集に移行する
自動化された証拠収集により、証拠を収集、レビュー、および管理する必要がなくなります。 -
コンプライアンスを評価するために継続敵に監査する
コントロールを微調整することにより、証拠を自動的に収集し、コンプライアンス体制をモニタリングし、リスクをプロアクティブに減らします。 -
内部リスク評価をデプロイする
事前構築済みのフレームワークをゼロからカスタマイズしてから、評価を開始して証拠を自動的に収集します。
上記3点をまとめると、AWS Audit Managerは、監査に必要な情報(証拠)を自動的にAWSの使用状況を継続的に収集できることがわかります。
参照先:https://aws.amazon.com/jp/audit-manager/
上記の4つのサービス(AWS ConfifgとAWS CloudTrailとAWS InspectorとAWS Audit Manager)の見分け方
Amazon Config
AWS、オンプレミス、その他クラウド上のリソースの設定で、問題文に、ガバナンス、コンプライアンス、脆弱性に関してリアルタイムのモニタリングや、リスク監査のためなどの記述があればAWS Configが有力
AWS CloudTrail
問題文に、AWSサービスの起動・終了などのアクションについての確認や調査などの項目があるとAWS CloudTrail
AWS Inspector
Amazon EC2 インスタンス、コンテナ、Lambda 関数などのサーバーに存在するアプリについて、問題文に事前に定義されたテンプレートに基づいて、脆弱性をチェックするなどの文があるとAWS Inspector
AWS Audit Manager
問題文に、リソースの監査向けに証拠収集を自動化するなどの記載があるとAWS Audit Manager