翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の検出とモニタリングのベストプラクティス AWS KMS
<a name="monitoring"></a>

検出とモニタリングは、 AWS Key Management Service (AWS KMS) キーの可用性、状態、使用状況を理解する上で重要な部分です。モニタリングは、 AWS ソリューションのセキュリティ、信頼性、可用性、パフォーマンスを維持するのに役立ちます。 には、KMS キーと AWS KMS オペレーションをモニタリングするためのいくつかのツール AWS が用意されています。このセクションでは、これらのツールを設定して使用して環境の可視性を高め、KMS キーの使用状況をモニタリングする方法について説明します。

**Topics**
+ [による AWS KMS オペレーションのモニタリング AWS CloudTrail](#monitoring-cloudtrail)
+ [IAM Access Analyzer を使用した KMS キーへのアクセスのモニタリング](#monitoring-access-analyzer)
+ [AWS のサービス を使用した他の の暗号化設定のモニタリング AWS Config](#monitoring-config)
+ [Amazon CloudWatch アラームによる KMS キーのモニタリング](#monitoring-alarms)
+ [Amazon EventBridge によるレスポンスの自動化](#monitoring-eventbridge)

## による AWS KMS オペレーションのモニタリング AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS KMS は、 ユーザー[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)、ロール、その他 AWS KMS による へのすべての呼び出しを記録できるサービスである と統合されています AWS のサービス。CloudTrail は、 へのすべての API コールをイベント AWS KMS としてキャプチャします。これには、 AWS KMS コンソール、 AWS KMS APIs、 AWS Command Line Interface (AWS CLI) AWS CloudFormation、および からの呼び出しが含まれます AWS Tools for PowerShell。

CloudTrail は、 `ListAliases`や などの読み取り専用 AWS KMS オペレーションを含むすべてのオペレーションをログに記録します`GetKeyRotationStatus`。また、 `CreateKey`や や などの KMS キーを管理するオペレーションもログに記録し`PutKeyPolicy, and cryptographic operations, such as GenerateDataKey`ます`Decrypt`。また、、、、 `DeleteExpiredKeyMaterial` `DeleteKey`など`SynchronizeMultiRegionKey`、 が AWS KMS 呼び出す内部オペレーションもログに記録されます`RotateKey`。

CloudTrail は、作成 AWS アカウント 時に で有効になります。デフォルトでは、[イベント履歴](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)は、 で過去 90 日間に記録された管理イベント API アクティビティの表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードを提供します AWS リージョン。90 日間を超える KMS キーの使用状況をモニタリングまたは監査するには、 の [ CloudTrail 証跡を作成する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)ことをお勧めします AWS アカウント。で組織を作成した場合は AWS Organizations、[その組織内のすべての のイベントをログに記録する組織の証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)またはイベント[データストア](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html)を作成できます。 AWS アカウント 

アカウントまたは組織の証跡を確立したら、他の を使用して、証跡に記録されたイベント AWS のサービス を保存、分析、および自動的に応答できます。例えば、次のオペレーションを実行できます。
+ 証跡内の特定のイベントを通知する Amazon CloudWatch アラームを設定できます。詳細については、このガイドの「[Amazon CloudWatch アラームによる KMS キーのモニタリング](#monitoring-alarms)」を参照してください。
+ 証跡でイベントが発生したときにアクションを自動的に実行する Amazon EventBridge ルールを作成できます。詳細については、このガイドの[「Amazon EventBridge によるレスポンスの自動化](#monitoring-eventbridge)」を参照してください。
+ Amazon Security Lake を使用して AWS のサービス、CloudTrail を含む複数の からログを収集して保存できます。詳細については、Amazon [Security Lake ドキュメントの「Security Lake AWS のサービス での からのデータ収集](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)」を参照してください。
+ 運用アクティビティの分析を強化するために、Amazon Athena で CloudTrail ログをクエリできます。詳細については、Amazon Athena ドキュメントの[「クエリ AWS CloudTrail ログ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)」を参照してください。

CloudTrail による AWS KMS オペレーションのモニタリングの詳細については、以下を参照してください。
+ [を使用した API コールのログ記録 AWS KMSAWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)
+ [AWS KMS ログエントリの例](https://docs.aws.amazon.com/kms/latest/developerguide/understanding-kms-entries.html)
+ [Amazon EventBridge で KMS キーをモニタリングする](https://docs.aws.amazon.com/kms/latest/developerguide/kms-events.html)
+ [CloudTrail と Amazon EventBridge の統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-eventbridge)

## IAM Access Analyzer を使用した KMS キーへのアクセスのモニタリング
<a name="monitoring-access-analyzer"></a>

[AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) は、外部エンティティと共有されている組織およびアカウント (KMS キーなど) 内のリソースを識別するのに役立ちます。このサービスは、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスや過度に広範なアクセスを特定するのに役立ちます。IAM Access Analyzer は、ロジックベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析することで、外部プリンシパルと共有されているリソースを識別します。

IAM Access Analyzer を使用して、KMS キーにアクセスできる外部エンティティを特定できます。IAM Access Analyzer を有効にすると、組織全体またはターゲットアカウントのアナライザーが作成されます。選択した組織またはアカウントは、アナライザー*の信頼ゾーン*と呼ばれます。アナライザーは、信頼ゾーン内のサポートされているリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼されたと見なされます。

KMS キーの場合、IAM Access Analyzer は[キーに適用されるキーポリシーと許可を分析します](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html#access-analyzer-kms-key)。キーポリシーまたは許可が外部エンティティにキーへのアクセスを許可する場合、結果が生成されます。IAM Access Analyzer を使用して、外部エンティティが KMS キーにアクセスできるかどうかを判断し、それらのエンティティがアクセスする必要があるかどうかを確認します。

IAM Access Analyzer を使用して KMS キーアクセスをモニタリングする方法の詳細については、以下を参照してください。
+ [AWS Identity and Access Management Access Analyzerの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [外部アクセス用の IAM Access Analyzer リソースタイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html)
+ [IAM Access Analyzer リソースタイプ: AWS KMS keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html#access-analyzer-kms-key)
+ [外部アクセスと未使用のアクセスの検出結果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html)

## AWS のサービス を使用した他の の暗号化設定のモニタリング AWS Config
<a name="monitoring-config"></a>

[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) は、 内の AWS リソースの設定の詳細ビューを提供します AWS アカウント。を使用して AWS Config 、KMS キーを使用する AWS のサービス で暗号化設定が適切に設定されていることを確認します。例えば、[暗号化されたボリューム](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) AWS Config ルールを使用して、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されていることを検証できます。

AWS Config には、リソースを評価するルールをすばやく選択するための*マネージド*ルールが含まれています。 AWS Config AWS リージョン で、必要なマネージドルールがそのリージョンでサポートされているかどうかを確認します。利用可能なマネージドルールには、Amazon Relational Database Service (Amazon RDS) スナップショットの設定のチェック、CloudTrail 証跡の暗号化、Amazon Simple Storage Service (Amazon S3) バケットのデフォルトの暗号化、Amazon DynamoDB テーブルの暗号化などが含まれます。

*カスタムルール*を作成し、ビジネスロジックを適用して、リソースが要件に準拠しているかどうかを判断することもできます。多くのマネージドルールのオープンソースコードは、GitHub [AWS Config のルールリポジトリ](https://github.com/awslabs/aws-config-rules)で入手できます。これらは、独自のカスタムルールを開発するための出発点として役立ちます。

リソースがルールに準拠していない場合は、応答アクションを開始できます。 AWS Config には、[AWS Systems Manager 自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)が実行する修復アクションが含まれます。例えば、[cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) ルールを適用し、ルールが`NON_COMPLIANT`結果を返した場合、 は CloudTrail ログを暗号化することで問題を修正する自動化ドキュメントを開始 AWS Config できます。

AWS Config では、リソースをプロビジョニングする前に AWS Config 、ルールへの準拠を事前にチェックできます。[プロアクティブモードで](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes)ルールを適用すると、クラウドリソースが作成または更新される前に、その設定を評価するのに役立ちます。デプロイパイプラインの一部としてプロアクティブモードでルールを適用すると、リソースをデプロイする前にリソース設定をテストできます。

を通じて AWS Config ルールをコントロールとして実装することもできます[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。Security Hub CSPM には、 に適用できるセキュリティ標準が用意されています AWS アカウント。これらの標準は、推奨プラクティスに照らして環境を評価するのに役立ちます。[AWS Foundational Security Best Practices](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 標準には、保管時の暗号化が設定されていること、および KMS キーポリシーが推奨プラクティスに従っていることを確認するための[保護コントロールカテゴリ内のコントロール](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html#control-category-protect)が含まれています。

を使用して の暗号化設定をモニタリング AWS Config する方法の詳細については AWS のサービス、以下を参照してください。
+ [AWS Configの開始方法](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)
+ [AWS Config マネージドルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Config custom rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)
+ [を使用した非準拠リソースの修復 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Amazon CloudWatch アラームによる KMS キーのモニタリング
<a name="monitoring-alarms"></a>

[Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) は、 AWS リソースと で実行されるアプリケーションを AWS リアルタイムでモニタリングします。CloudWatch を使用して、測定できる変数である*メトリクス*を収集および追跡できます。

インポートされたキーマテリアルの有効期限切れ、またはキーの削除は、意図しない、または適切に計画されていない場合、致命的なイベントになる可能性があります。これらのイベントが発生する前に警告するように [CloudWatch アラーム](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html)を設定することをお勧めします。また、重要なキーの削除を防ぐために、 AWS Identity and Access Management (IAM) ポリシーまたは AWS Organizations [サービスコントロールポリシー (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) を設定することをお勧めします。

CloudWatch アラームは、キーの削除のキャンセルなどの修正アクションや、削除または期限切れのキーマテリアルの再インポートなどの修正アクションを実行するのに役立ちます。

## Amazon EventBridge によるレスポンスの自動化
<a name="monitoring-eventbridge"></a>

[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) を使用して、KMS キーに影響する重要なイベントを通知することもできます。EventBridge は、 AWS リソースへの変更を記述するシステムイベントのほぼリアルタイムのストリーム AWS のサービス を配信する です。EventBridge は CloudTrail と Security Hub CSPM からイベントを自動的に受信します。EventBridge では、CloudTrail で記録されたイベントに対応するルールを作成することができます。

AWS KMS イベントには以下が含まれます。
+ KMS キーのキーマテリアルが自動的にローテーションされました
+ KMS キーのインポートされたキーマテリアルの有効期限が切れました
+ 削除がスケジュールされていた KMS キーが削除されました

これらのイベントは、 で追加のアクションを開始できます AWS アカウント。これらのアクションは、イベントが発生した後にのみ処理できるため、前のセクションで説明した CloudWatch アラームとは異なります。たとえば、キーが削除された後に特定のキーに接続されているリソースを削除したり、キーが削除されたことをコンプライアンスチームまたは監査チームに通知したりできます。

EventBridge を使用して CloudTrail に記録された他の API イベントをフィルタリングすることもできます。つまり、キーポリシー関連の API アクションが特に懸念される場合は、それらをフィルタリングできます。たとえば、EventBridge で `PutKeyPolicy` API アクションをフィルタリングできます。より広くは、 `Disable*`または で始まる API アクションをフィルタリング`Delete*`して、自動レスポンスを開始できます。

EventBridge を使用すると、 (検出コントロールである) をモニタリングし、（応答コントロールである) 調査して、予期しないイベントや選択したイベントに対応できます。たとえば、IAM ユーザーまたはロールが作成された場合、KMS キーが作成された場合、またはキーポリシーが変更された場合、セキュリティチームに警告し、特定のアクションを実行できます。指定した API アクションをフィルタリングし、ターゲットをルールに関連付ける EventBridge イベントルールを作成できます。ターゲットの例には、 AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) 通知、Amazon Simple Queue Service (Amazon SQS) キューなどがあります。ターゲットへのイベントの送信の詳細については、[「Amazon EventBridge のイベントバスターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)」を参照してください。

EventBridge AWS KMS によるモニタリングとレスポンスの自動化の詳細については、 AWS KMS ドキュメントの[「Amazon EventBridge による KMS キーのモニタリング](https://docs.aws.amazon.com/kms/latest/developerguide/kms-events.html)」を参照してください。