お問い合わせ

  1. TOP
  2. ノウハウ・活用法
  3. 【初心者向け】AWS CloudTrailとは? 記録できるイベントや料金体系について解説
最終更新日:2025.02.27

【初心者向け】AWS CloudTrailとは? 記録できるイベントや料金体系について解説

現代、企業に求められているコンプライアンス。もしコンプライアンス違反を起こしてしまうと、企業としての信頼の失墜や事業継続への影響といった深刻なリスクに直面します。そのため、情報システムを運用する際には、セキュリティ対策だけではなく、内部統制も同時に考えなければなりません。

AWS上でシステム運用をする際、内部統制の強化に役立つのが、AWS CloudTrailです。AWS CloudTrailを使えば、「いつ」「誰が」「どのような操作を行ったのか」を記録できるため、コンプライアンス遵守への取り組みをいっそう強化できます。本記事では、AWS CloudTrailの概要や具体的なユースケース、料金体系について解説します。

目次

AWS CloudTrailとは

まずは、AWS CloudTrailのサービスの概要から、確認していきましょう。

AWS CloudTrailとは? どのようなサービス?

AWS CloudTrailは、AWSのアカウントで実行されるさまざまな操作を記録し、その証跡を管理できるサービスです。具体的には、マネジメントコンソールやAWSの操作を行うAPIの呼び出しを対象に、操作した者や時間、操作内容を記録できます。マネジメントコンソールやAPIを介しない操作は、記録することができません。

なお、AWS CloudTrailは、AWSアカウントを作成した時点で有効となっており、直近90日間のイベントが保存可能です。90日間を超えて保存するためには、Amazon S3などを利用する必要があります。

AWS CloudTrailが記録できる3つのイベント

AWS CloudTrailで記録できるイベントは、基本的に以下の3種類です。

※ネットワークアクティビティイベントというプレビューリリースもありますが、ここでは割愛します。

管理イベント

管理イベントは、AWSアカウントのリソースで実行される、管理に関する操作の情報です。「コントロールプレーンオペレーション」とも呼ばれます。管理イベントの具体的な内容は、マネジメントコンソールへのログインやログ記録の設定、ネットワーク構成の変更、コンフィグの参照などです。

データイベント

データイベントは、AWSアカウントのリソースに関する操作の情報です。データイベントの具体的な内容は、Amazon S3バケット内のデータの操作やAWS Lambda関数の実行などが挙げられます。

Insightsイベント

AWS CloudTrail Insightsイベントは、アクティビティの分析情報です。リソースプロビジョニングの急上昇時など、異常な挙動が起きた際に、APIのコール率やエラー率、時間やその他統計情報が記録されます。

AWS CloudTrail Lakeについて

AWS CloudTrail内でデータを検索する方法のひとつとして、AWS CloudTrail Lakeがあります。AWS CloudTrail Lakeは、イベントに対してSQLベースのクエリを実行できるサービスで、AWS CloudTrail標準のダッシュボードよりも、複雑な条件でイベントを検索することができます。

AWS CloudTrailを導入するメリット

AWS CloudTrailを導入するメリットとしては、以下の3点が挙げられます。

セキュリティの強化

AWS CloudTrailを使って詳細な記録を残すことにより、不正アクセスを検出し、迅速に対応できるようになります。また、対応後にもログの分析によって、効果的なセキュリティ対策を検討でき、セキュリティの強化につながります。

迅速なトラブルシューティング

不正アクセス以外にも、AWSでなんらかのトラブルが発生した際にはAWS CloudTrailを使ったログ分析が有効です。事前にアラームを設定しておくと、異常が起きた際には管理者へ通知が送られます。その後は誰が、いつ、どのような操作を行ったのかを追跡でき、原因を早期に特定することができます。

コンプライアンス遵守および内部統制の強化

AWS CloudTrailの証跡管理で、情報自体の信頼性や情報伝達の有効性を担保できるため、内部統制の目的のなかでも、「報告の信頼性」を強化することができます。また、社内周知にAWS CloudTrailを活用すれば、コンプライアンス遵守の意識を社内に持たせることができ、内部不正の抑制にもつながるでしょう。

AWS CloudTrailのユースケース

続いて、AWS CloudTrailの主なユースケースを3つご紹介します。

インシデント発生時の調査

1つ目は、インシデント発生時の活用です。不正アクセスや情報漏えいなどが実際に発生した際、原因を調査するためにAWS CloudTrailのログから特定のAPIの呼び出しやアクションなどを追跡することで、不正な操作をしたユーザー特定が可能です。

規制や基準への対応

AWS CloudTrailによるリソース使用状況の記録は、法による規制や基準への対応にもなり得ます。例として挙げられるのが、クレジットカードに関するセキュリティーの国際基準である「PCI DSS」です。PCI DSSには、満たすべき要件のひとつに、カード会員情報が保管されたデータ環境へのアクセス制限があります。カード会員のデータ環境へのアクセスは最小限にしなければならず、信頼できないネットワークからのアクセスはすべて拒否しなければなりません。そのようなPCI DSSの要件に準拠しているかどうかを、AWS CloudTrailのログ情報から確認できます。

ログの監視および問題が起きた際のアラート設定

ログを監視し、特定のIPアドレス以外からログインがあった場合など、問題となる事象が発生した際に通知を送信するような設定も可能です。この設定には、AWS上のサービスからログを収集して一元管理できる、Amazon CloudWatch Logsとの連携が必要となります。

AWS CloudWatchについてより詳しく知りたい方は、あわせて以下の記事もご参照ください。

AWS運用管理の定番!「Amazon CloudWatch」でできること

【AWS入門】Amazon CloudWatchを活用してシステム監視を自動化しよう!

AWS CloudTrailの料金について

最後に、AWS CloudTrailの料金体系について、概要をお伝えします。

AWS CloudTrailの料金体系

AWS CloudTrailの直近90日間の管理イベントは、無料で記録・検索・ダウンロードが可能です。また、進行中の管理イベントは、1つ無料でAmazon S3へ配信できます。

その他は有料となり、下記の通りの料金設定となります。

  • Amazon S3へ配信された管理イベント:管理イベント 100,000 あたり 2.00 USD(無料枠以降)
  • Amazon S3 に配信されたデータイベント:配信されたデータイベント 100,000 件あたり 0.10 USD
  • Insightsデータ:インサイトタイプごとに分析された 100,000 件のイベントあたり 0.35 USD

また、Amazon S3にログを保存する場合には、Amazon S3の料金もかかります。

AWS CloudTrailの料金の例

AWS CloudTrailの料金の例を、2つご紹介します。

〈料金例1〉AWS CloudTrail Lake を使用して、イベントを取り込んで1年間保存する場合

AWS CloudTrail Lakeを利用する場合には、「データインジェスト(取り込み)」「データの保持」「分析のためのデータクエリ」に対して、それぞれ料金が発生します。料金プランには、1年間の延長するプランと7年間保持するプランの2つがあります。
1年間延長可能となるプランで、1カ月に1TBのデータが発生した場合の試算は、下記の通りです。

(内訳)

  • データインジェスト:1024 GB * 0.75 USD/GB = 768 USD

※1年目のデータ保持の料金は、データインジェストに含まれます。

合計:768 USD

〈料金例2〉AWS CloudTrail Insightsを使用して、異常な事象を特定する場合

300,000,000の管理イベントが Amazon S3に配信され、AWS CloudTrail Insights によって 20,000,000の管理イベントが分析されたとします。管理イベントの配信が最初のコピーとすると、AWS CloudTrail Insightsの費用のみ発生します。

(内訳)

  • 管理イベントの最初のコピー: 0 USD
  • AWS CloudTrail Insightsの利用料は、イベント100,000イベントあたり 0.35 USDであることから、20,000,000 / 100,000 × 0.35 USD = 70 USD

合計:70 USD

今回紹介したのは、2025年1月時点での料金例です。料金は変動する可能性があります。詳しくは、料金|AWS CloudTrail新規ウィンドウで開くをご確認ください。

まとめ

AWS CloudTrailを活用すれば、インシデントが発生した際の原因調査がスムーズになり、内部不正への抑止力にもなります。また、Amazon S3やAWS CloudWatchとの連携で、ログの分析や異常なアクセスが発生した際の通知など、運用の幅も広がります。AWS CloudTrailの無料利用枠を使って、実際に機能の詳細を確認してみてはいかがでしょうか。

AWS CloudTrailの導入を本格的に検討される際は、TOKAIコミュニケーションズまでお気軽にご相談 新規ウィンドウで開くください。数多くのAWS導入実績を誇る当社が、お客様に合った最適なプランを提案いたします。

関連サービス

AWS運用管理

おすすめ記事

導入のお問い合わせはこちら

AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

お問い合わせ

TOPへ戻る