ある金融機関が AWS Organizations を使用して本番環境と開発環境を分離管理しています。コンプライアンス要件により、本番環境のすべての API 呼び出しは暗号化された CloudTrail ログとして最低 7 年間保存し、ログの改ざんを検出できる整合性検証を有効にする必要があります。また、ログへのアクセスは特定のセキュリティチームのみに制限する必要があります。最も適切な実装はどれですか?
- A. AWS Backup を使って CloudTrail ログを毎日バックアップし、バックアップコピーを別リージョンにも保存する。バックアッププランで 7 年間の保持期間を設定する
- B. CloudWatch Logs にログを送信し、CloudWatch Logs Archive で 7 年間保存する。CloudWatch Logs の暗号化とアクセス制御で要件を満たす
- C. 各本番アカウントで個別に CloudTrail を設定し、S3 バケットにログを保存する。S3 Lifecycle ポリシーで 7 年後に自動削除する
- D. Organizations で組織レベルのトレイルを作成し、中央のセキュリティアカウントの S3 バケットにログを送信する。CloudTrail ログファイルの整合性検証を有効化し、S3 バケットに Object Lock(COMPLIANCE モード、7 年間の保持期間)を設定する。バケットポリシーでセキュリティチームのみにアクセスを制限し、KMS CMK で暗号化する
解答と解説を見る
正解: D
組織レベルの CloudTrail により全本番アカウントのログを中央集約できます。S3 Object Lock の COMPLIANCE モードは保持期間中のオブジェクト削除・変更をルートユーザーを含むすべてのユーザーから防止し、改ざん防止に最適です。CloudTrail ログファイル整合性検証により改ざん検出が可能です。KMS CMK 暗号化でデータの機密性を確保し、バケットポリシーでセキュリティチームのみのアクセスを実現します。 C: 各アカウントでの個別設定は管理が分散し、S3 Lifecycle は削除を制御しますが WORM(Write Once Read Many)による改ざん防止は提供しません。 B: CloudWatch Logs は CloudTrail の長期保存に設計されておらず、7 年間の WORM 保存には Object Lock を持つ S3 が適切です。また整合性検証機能も CloudWatch Logs には組み込まれていません。 A: AWS Backup は EC2/EBS/RDS などのバックアップが主目的であり、CloudTrail ログの WORM 保護には対応していません。S3 Object Lock と CloudTrail 整合性検証の組み合わせが金融規制要件には最適です。
📚 関連サービスの解説: AWS Organizations ・ Amazon S3