🔍 CloudTrail ログファイル整合性検証機能(Log File Integrity Validation) とは?
AWS CloudTrail の ログ改ざん検出機能 のことです。
CloudTrail が生成したログファイルが、
保存後に変更・削除・差し替えられていないか を検証できる仕組みです。
🧩 背景
CloudTrail は、AWSアカウントでの操作履歴(誰が・いつ・何をしたか)を記録します。
ただし、もしログが改ざんされてしまったら、監査証跡としての信頼性がなくなります。
→ そのために導入されたのが 「整合性検証機能」 です。
⚙️ 仕組みの概要
-
CloudTrail は定期的に ログファイル(.gz) を S3 に出力します。
-
一定間隔ごと(例:15分〜5分単位)に、
署名ファイル(digest ファイル) を別途出力します。 -
digest ファイルには以下が含まれます:
- 署名対象のログファイル一覧
- 暗号学的ハッシュ(SHA-256)
- AWS が発行した署名データ
-
これにより、後から検証すると:
- ログが改ざん・削除されていないかを確認可能
- 証拠性を保証できる(監査・セキュリティ対策向け)
🔐 有効化方法
CloudTrail 作成時または更新時に、
「ログファイル整合性検証を有効にする(Enable log file integrity validation)」
のチェックをONにするだけでOKです。
AWS CLI 例:
aws cloudtrail update-trail \
--name MyTrail \
--enable-log-file-validation
🧠 検証方法
S3に保存されたログを検証するには、
次のコマンドを使用します:
aws cloudtrail validate-logs \
--trail-arn arn:aws:cloudtrail:ap-northeast-1:123456789012:trail/MyTrail \
--start-time 2025-10-01T00:00:00Z
これで、各ログが整合性を保っているか(改ざんなし)が確認できます。
✅ まとめ
| 項目 | 内容 |
|---|---|
| 機能名 | CloudTrail ログファイル整合性検証(Log File Integrity Validation) |
| 目的 | ログ改ざん・削除の検知 |
| 仕組み | AWS署名付きの digest ファイルで検証 |
| 有効化方法 | CloudTrail作成時に「Enable log file validation」をON |
| 主な用途 | 監査証跡の保全、法令遵守、セキュリティ対策 |
つまり:
CloudTrail のログ整合性検証機能は、
ログが改ざんされていないことを暗号的に保証するための仕組み です。