ある企業が、AWS Organizations で管理する複数のアカウントで AWS CloudTrail を有効化し、すべてのAPI アクティビティログを中央の監査アカウントの S3 バケットに集約したい。メンバーアカウントの管理者がCloudTrail を無効化したり、ログを削除したりできないようにしたい。最も適切な設定はどれか。
- A. AWS Security Hub を使用してすべてのアカウントのセキュリティイベントを集約し、CloudTrail の代わりに使用する。
- B. 各アカウントで個別に CloudTrail を設定し、ログを S3 バケットに送信する。IAM ポリシーで CloudTrail の無効化を制限する。
- C. CloudTrail Insights を有効化して異常な API アクティビティを検知する。
- D. AWS Organizations の管理アカウントから組織トレイル(Organization Trail)を作成する。組織トレイルはメンバーアカウントから無効化できず、ログは管理アカウントまたは専用の監査アカウントの S3 バケットに集約される。
解答と解説を見る
正解: D
AWS Organizations の管理アカウントから作成する組織トレイル(Organization Trail)は、Organizations 内のすべてのアカウントに自動的に適用され、メンバーアカウントの IAM 管理者は組織トレイルを無効化・削除できない(読み取り専用)。ログは指定した S3 バケット(監査アカウント)に集約される。S3 バケットのオブジェクトロックを有効にすることでログの改ざん・削除も防止できる。選択肢Bは各アカウントへの個別設定で管理コストが高く、IAM ポリシーによる制限は SCP や組織トレイルほど強制力がない(管理者はポリシーを変更できる場合がある)。選択肢AのSecurity Hub はセキュリティ所見の集約ダッシュボードであり、CloudTrail のログ収集を代替するものではない。選択肢CのCloudTrail Insights は API コールパターンの異常検知機能であり、ログの集約・保護には関係しない。
📚 関連サービスの解説: AWS Organizations ・ Amazon S3