オープンソース活用研究所 | 第三回目「AWSから見た、クラウドとオンプレミスとの使い分けと、クラウドの監視サービスの紹介」

第三回目「AWSから見た、クラウドとオンプレミスとの使い分けと、クラウドの監視サービスの紹介」

オープンソース活用研究所

2017年02月14日
オープンソース活用研究所 所長 寺田雄一

「高機能で安全」なことから、大手企業でも導入が進むAWS (Amazon Web Services)。とはいえ実際には、AWSと従来の自社データセンター(オンプレミス)を併存させるいわゆるハイブリッド環境もよくみられ、このようなハイブリッド環境において押さえておきたいいくつかのポイントがあります。

2016年9月15日に都内で、このようなポイントについて解説する「今時の企業情報システム運用、知らないと損をするオンプレミスとAWSのつきあい方 ~ 情報システム部門の方々に贈るTISからのメッセージ ~」セミナーが開催されました。

本稿では、アマゾン ウェブ サービス ジャパン株式会社 市崎洋平氏によるセッション「AWSから見た、クラウドとオンプレミスとの使い分けと、クラウドの監視サービスの紹介」をレポートします。

数あるAWS のなかでもハイブリッド環境に欠かせないウェブサービスのひとつである「AWS CloudTrail」の活用のポイントを紹介します。

筆者:オープンソース活用研究所 所長 寺田雄一

世界190カ国で、100万ユーザを誇るAWS

2006年よりクラウドサービスの提供を開始したAWSは、着々と実績を積み重ね、現在では世界13か所に拠点を持ち、190か国にて100万人以上のユーザに利用されています。東京での拠点は2011年に開設され、国内でも大手企業での導入が活発化しています。

まず、自社運用型オンプレミスとAWSのようなクラウドサービスの運用について、基本的な考え方を紹介していました。クラウドはハードウェア・ストレージ・ネットワークの部分に代替して導入し、OSやアプリケーションはそのクラウド上で、オンプレミスと同様の方法で導入、構築するというのが一般的とのことです。

オンプレと比較したクラウド運用管理のポイント

ユーザ操作記録を容易に管理する「AWS CloudTrail」

クラウドサービスを活用する上で重要なポイントは、「誰が?」「いつ?」「何を実施したか?」という、クラウドリソースの操作記録です。

この理由は、オンプレミスでは物理的な制約で管理可能なところが、クラウドではそれらの構成の変更や操作がマネジメントコンソールやAPI経由で自由かつ即座にできるため、誤操作や不正操作等、意図しない操作が行われる可能性があるためです。

このようなケースに対してAWSには、ユーザの操作管理を円滑に行う「AWS CloudTrail」という機能があります。

「AWS CloudTrail」とは、ユーザによるマネジメントコンソールでの画面操作やAPI経由の操作、一部の非API経由の操作も含めて全ての操作ログをJSONファイルに記録し、記録されたログファイルを暗号化して Amazon S3 バケットに格納するサービスです。API に関する重要な情報、すなわち「API の名前」、「呼び出し元の ID」、「API 呼び出しの時刻」、「リクエストのパラメータ」、「AWS サービスから返された応答の要素」などを記録しますので、このサービスを活用することでユーザ操作を管理し、アクティビティを可視化することが可能になります。

なお「AWS CloudTrail」の機能そのものは無償ですが、保存先のAmazon S3やAmazon SNSを使用する場合は有償となります。

CloudTrailの特長

「AWS CloudTrail」ログをAWS KMSで暗号化保存

「AWS CloudTrail」のログは、AWS KMS (AWS Key Management Service)で暗号化して保存されます。

AWS KMSとは暗号化キーを簡単に作成および管理できるマネージド型サービスで、キーのセキュリティを保護するために Hardware Security Modules (HSM) を使用します。秘匿性の高い情報を扱う場合に、欠かせない機能です。

KMSを利用し、CloudTrailが転送するログの暗号化が可能

複数アカウントによる「AWS CloudTrail」ログ管理

複数のAWSアカウントを持つ企業におけるログ管理では、ひとつのAWSアカウントに集約してログを管理することが有効とのことです。たとえば「AWS CloudTrail」用のAWSアカウントを持つと、役割の明確化が可能です。

Bucket Policyの設定により複数アカウントのCloudTrailログを集約

CloudTrailログファイルの活用方法

CloudTrailログファイルの活用方法

このように取得したログファイルは、次のような短期・中期・長期の3つの視点からさまざまな活用が可能とのことでした。

■リアルタイムにログを通知

短期的視点では、AWS CloudWatch Logsという機能を使って、リアルタイムに何が起こっているかをアラートとしてAmazon SNSやメールで通知することができます。

■文字列検索で、ユーザの不正利用の発見

中期的視点では、文字列検索することで作業の正当性を検証します。たとえば、閲覧権限しかないユーザが権限を取得しているといったような不正利用を発見することができます。

■JSONファイルを自由にカスタマイズしてログを可視化

長期的視点では、Kibanaというオープンソースを使ってグラフ化や詳細分析を出力することができます。これにより作業の可視化を行います。

上記以外でもJSONファイルを自由にカスタマイズすることで、必要な情報を取得することが可能となります。

ご参考

本コラムの元になっているセミナーの講演資料は、マジセミからダウンロードできます。ぜひご参考ください。

第一回目「オンプレとAWSを組み合わせた運用管理の勘所」

第二回目「サービス型で実現する運用管理のすすめ」


OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【講演資料を公開】11/13 OSSの仮想化基盤(分散仮想化:oVirt と コンテナ仮想化:Kubernetes)の解説(2019年12月13日 09:15)

2019年 11月13日(水)15:30~17:00 AP大阪梅田東 にて「OSSの仮想化基盤(分散仮想化:oVirt と コンテナ仮想化:Kubernetes)の解説」と題したセミナーが開催されました。 当日はおかげ様で、盛況のうちに終了することができました。ありがとうございました。 当日の講演資料を以下に公開しましたので、ご興味のある企業さま、是非ご覧くださいませ。

関連オープンソース

バックナンバー

関連記事

  • オープソース書籍(サイド)

facebook

twitter