AWS CloudTrail とは？API 呼び出し監査ログの活用

AWS API 呼び出しを記録する監査ログサービス。「誰が・いつ・何を」を追跡する。

---

1. 概要（端的に）

AWS CloudTrail は AWS アカウント内の全 API 呼び出しを記録する監査ログサービス。「誰が（IAM ユーザー / ロール）・いつ・どの API を・どこから（IP）・何の結果で」を追跡し、セキュリティ・コンプライアンス・トラブルシュートの基盤となる。デフォルトで 90 日間の管理イベントを保持。

---

2. 何ができるか

• API 呼び出し記録：マネコン・CLI・SDK・他 AWS サービス経由全て
• 3 種のイベント：管理イベント / データイベント / インサイトイベント
• S3 / CloudWatch Logs 配信：長期保管・分析
• マルチリージョン Trail：全リージョンの API を一元集約
• 組織 Trail：Organizations 全体を集約
• ファイル整合性検証：改ざん検知

---

3. 特徴

観点	特徴
追加料金	管理イベント：1 つ目の Trail は 無料 / データイベント：$0.10/10 万
デフォルト保持	90 日（イベント履歴）
長期保管	S3 出力で任意期間
対応サービス	全 AWS サービス
レイテンシ	通常 5〜15 分の遅延

3 種のイベント

種類	内容	例
管理イベント	コントロールプレーン操作	EC2 起動・S3 バケット作成
データイベント	データプレーン操作（高頻度）	S3 GetObject・Lambda Invoke
インサイトイベント	異常パターン検知	通常と異なる API 呼び出し量

---

4. 仕組み

CloudTrail は AWS の API 呼び出しを自動的に記録し、JSON 形式のログとして保存する。

構成要素

• Trail：ログ収集の設定単位
• イベント：1 つの API 呼び出し記録
• ログファイル：5 分ごとに集約された JSON
• 配信先：S3 / CloudWatch Logs / EventBridge

動作の流れ

1. AWS API 呼び出し（マネコン / CLI / SDK / サービス間）
2. CloudTrail がイベント生成
3. 90 日間のイベント履歴に保存（無料）
4. Trail 設定があれば：S3 / CloudWatch Logs に配信
5. Athena / Insights で分析

ログ JSON 例

{
  "eventTime": "2026-05-06T12:00:00Z",
  "eventSource": "ec2.amazonaws.com",
  "eventName": "RunInstances",
  "userIdentity": {
    "type": "IAMUser",
    "userName": "alice"
  },
  "sourceIPAddress": "203.0.113.1",
  "requestParameters": {...}
}

改ざん検知

• ログファイルにハッシュ + デジタル署名
• aws cloudtrail validate-logs で検証

---

5. ユースケース

ユースケース 1：監査・コンプライアンス

SOC 2 / PCI DSS 等の監査要件で「全 API ログ保管」を満たす。

ユースケース 2：セキュリティインシデント調査

不正アクセス時に「誰が何をしたか」を特定。

ユースケース 3：運用トラブルシュート

リソースが意図せず変更された原因を特定。

ユースケース 4：マルチアカウント集約

組織 Trail で全アカウントのログを 1 箇所に。

ユースケース 5：異常検知

CloudTrail Insights で通常と異なる動きを検知。

---

6. 関連用語

• S3 — ログの長期保管先
• CloudWatch-Logs — リアルタイム分析
• Athena — S3 上のログ分析
• Security-Hub — セキュリティ統合
• Config — 構成変更追跡（補完関係）

---

7. 関連サイト

AWS 公式

• AWS CloudTrail
• CloudTrail 開発者ガイド

---

🎓 試験での出題傾向

試験	重要度	主な出題パターン
CLF	高	監査ログの概念
SAA	高	セキュリティ・監査設計
DVA	中	API ログの活用
SOA	高	運用監査・トラブルシュート

---