セキュリティ OU — ログアーカイブアカウント - AWS 規範ガイダンス
一元化されたログストレージAmazon Security Lake

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ OU — ログアーカイブアカウント

アンケート

ご意見をお待ちしています。簡単なアンケートに回答して、PRA AWS に関するフィードバックを提供してください。

ログアーカイブアカウントは、インフラストラクチャ、サービス、アプリケーションのログタイプを一元化する場所です。このアカウントの詳細については、AWS 「セキュリティリファレンスアーキテクチャ (AWS SRA)」を参照してください。ログ専用のアカウントを使用すると、すべてのログタイプに一貫したアラートを適用し、インシデント対応者がこれらのログの集計に 1 か所からアクセスできることを確認できます。セキュリティコントロールとデータ保持ポリシーをすべて 1 か所から設定できるため、プライバシー運用のオーバーヘッドが簡素化されます。次の図は、 AWS ログアーカイブアカウントで設定されているセキュリティおよびプライバシーサービスを示しています。

AWS のサービス セキュリティ組織単位のログアーカイブアカウントにデプロイされました。

一元化されたログストレージ

ログファイル ( AWS CloudTrail ログなど) には、個人データと見なされる可能性のある情報が含まれている場合があります。一部の組織は、可視性の目的で、アカウント間 AWS リージョン およびアカウント間で CloudTrail ログを 1 つの一元的な場所に集約するために、組織の証跡を使用することを選択します。詳細については、このガイドの「AWS CloudTrail」を参照してください。CloudTrail ログの一元化を実装する場合、通常、ログは 1 つのリージョンの Amazon Simple Storage Service (Amazon S3) バケットに保存されます。

組織における個人データの定義、顧客に対する契約上の義務、および適用される地域のプライバシー規制によっては、ログ集約に関してクロスボーダーデータ転送を検討する必要がある場合があります。さまざまなログタイプ内の個人データがこれらの制限に該当するかどうかを判断します。例えば、CloudTrail ログには組織の従業員データが含まれている場合がありますが、顧客の個人データが含まれていない場合があります。組織が制限されたデータ転送要件に準拠する必要がある場合は、以下のオプションがサポートに役立ちます。

  • 組織が のサービスを複数の国の AWS クラウド データセットに提供している場合は、データレジデンシー要件が最も厳しい国のすべてのログを集約することを選択できます。たとえば、ドイツで運用していて、最も厳しい要件がある場合は、 の S3 バケットにデータを集約eu-central-1 AWS リージョン して、ドイツで収集されたデータがドイツの境界を離れないようにすることができます。このオプションでは、CloudTrail で 1 つの組織の証跡を設定して、すべてのアカウントからターゲットリージョン AWS リージョン にログを集約できます。

  • データがコピーされて別のリージョンに集約される AWS リージョン 前に、 に保持する必要がある個人データを編集します。たとえば、ログを別のリージョンに転送する前に、アプリケーションのホストリージョンの個人データをマスクできます。個人データのマスキングの詳細については、このガイドのAmazon Data Firehose「」セクションを参照してください。

  • 厳格なデータ主権に関する懸念がある場合は、これらの要件を適用する別のマルチアカウントランディングゾーン AWS リージョン を に維持できます。これにより、 リージョンのランディングゾーン設定を簡素化して、一元的なログ記録を行うことができます。また、インフラストラクチャの分離に関する追加の利点があり、ログを独自のリージョンにローカルに保持するのに役立ちます。法律顧問と協力して、対象となる個人データと許可されるRegion-to-Region転送を決定します。詳細については、このガイドの「グローバル拡張の戦略」を参照してください。

サービスログ、アプリケーションログ、オペレーティングシステム (OS) ログを通じて、Amazon CloudWatch を使用して、対応するアカウントとリージョンの AWS のサービス または リソースをデフォルトでモニタリングできます。多くの は、これらのログとメトリクスを複数のアカウントとリージョンから 1 つのアカウントに一元化することを選択します。デフォルトでは、これらのログは、対応するアカウントと発信元のリージョンに保持されます。一元化のために、サブスクリプションフィルターAmazon S3 エクスポートタスクを使用して、一元化された場所にデータを共有できます。クロスボーダーデータ転送要件があるワークロードからログを集約するときは、適切なフィルターを含め、タスクをエクスポートすることが重要です。ワークロードのアクセスログに個人データが含まれている場合は、それらのログが特定のアカウントやリージョンに転送または保持されていることを確認する必要がある場合があります。

Amazon Security Lake

SRA で推奨されているように、Amazon Security Lake AWS の委任管理者アカウントとして Log Archive アカウントを使用できます。これを行うと、Security Lake は、他の SRA が推奨するセキュリティログと同じアカウントの専用の Amazon S3 バケットで、サポートされているログを収集します。

プライバシーの観点からは、インシデント対応者が AWS 環境、SaaS プロバイダー、オンプレミス、クラウドソース、サードパーティーソースのログにアクセスできることが重要です。これにより、個人データへの不正アクセスをより迅速にブロックして修復できます。ログストレージに関する考慮事項は、Amazon Security Lake 内のログレジデンシーとリージョン移動にも適用される可能性が最も高いです。これは、Security Lake が、サービスを有効にした AWS リージョン からセキュリティログとイベントを収集するためです。データレジデンシーの要件に準拠するには、ロールアップリージョンの設定を検討してください。 ロールアップリージョンは、Security Lake が 1 つ以上の寄与するリージョンのデータを統合するリージョンで、ユーザーが選択します。Security Lake リージョンとロールアップリージョンを設定する前に、組織がデータレジデンシーのリージョンコンプライアンス要件に合わせる必要がある場合があります。