DEA-4.4監査用のログを準備する。

ヒントボタン

直近 90 日の全 API コールや VPC Flow Logs を 5 秒以内に横断 SQL で検索するには、インデックスレスでも列指向でメタデータを保持し高速クエリを提供する CloudTrail Lake が適しています。Organizations と連携して一括集約でき、ETL やパーティション設計を不要にしながら、ピーク 1 万行/秒の取り込みも自動スケールで吸収できるため性能と運用の両面で要件に合います。

金融監査で求められる 7 年間の改ざん不可保管には S3 Object Lock の Compliance モードが効果的です。バージョニングや SSE-KMS と併用しても追加操作なく WORM を実現でき、ライフサイクルルールで 90 日後を Intelligent-Tiering に自動移行すればコスト最適化も図れます。クロスリージョンレプリケーションを併用すると RPO 1 時間以内の耐障害性も確保でき、期間満了後はアーカイブ階層への自動遷移で運用負荷を抑えられます。

12 アカウントを AWS Organizations で統合するなら、組織トレイルを 1 回設定するだけで全イベントを共通 S3 と CloudTrail Lake に集約でき、手動 ETL や個別スケジュール監視が不要になります。S3 をマルチ AZ に置けば可用性が高まり、Lake はフルマネージドでメタデータを再構築するため RTO 15 分以内の復旧が容易です。構成要素の少なさが追加運用・コストを最小化するという複数要件の総合バランスを意識して選択すると良いでしょう。

ヒントボタン

複数アカウントの API コールを集約する最小工数の方法として、AWS Organizations の統合トレイルを監査専用アカウントに作成し、Amazon CloudTrail が単一の S3 バケットへ直接書き込む形にすると、各アカウントで個別にトレイルを管理せずに済み、毎分三万イベント規模でも自動でスケールするため運用が楽になります。
横断検索を一時間以内に終えるには、Athena 用の Glue Crawler を定期実行して外部テーブルを作るより、CloudTrail Lake のイベントデータストアを七年間保持に設定しておき、ネイティブ SQL で即時クエリを実行する方がインデックス済みメタデータを活用でき待ち時間とメンテナンスが大幅に削減されます。
SSE-KMS 暗号化と S3 Object Lock コンプライアンスモードを CloudTrail 配信時に有効にすれば改ざんリスクを排除し、ライフサイクルポリシーで Intelligent-Tiering や Glacier Deep Archive に段階移行すれば長期七年保持のコストを抑えられるので、セキュリティ・保守性・パフォーマンス・コストの全要件を俯瞰してもっともサービス間連携がシンプルな構成を選ぶ視点が大切です。

ヒントボタン

CloudTrailをAWS Organizationsの統合トレイルで集中管理し、S3バージョニングとObject Lock COMPLIANCEを組み合わせると、改ざん不能で7年間の保持義務を満たせます。WORM属性はサーバ側で強制され削除も不可、署名付きハッシュでログ完全性も確保でき、Glueカタログ自動登録を有効にすればメタデータ管理も最小化できます。
別リージョンへの冗長化とRTO24時間以内というDR要件は、S3 Cross-Region Replicationを設定するだけで数分遅延の非同期コピーが自動化され、Object Lock設定も引き継がれます。CloudTrail自体はリージョン障害の影響を受けてもS3とAthenaがあれば復元できるため、追加のパイプラインやETLジョブを持たずに運用負荷を抑えられます。
1日300回程度の検索なら、Glueで時刻ごとにパーティションを切りAthenaでクエリすれば生成後5分以内に結果取得が可能です。スキャン量課金のAthenaと標準S3単価を合わせても500GB/日のボリュームで月2USD/GB以内に収まり、CRR費用も許容範囲です。完全性、DR、検索速度、コスト、運用の全観点を俯瞰すると、統合トレイル＋S3 Object Lock＋CRR＋Glue/Athenaの組み合わせが最も要件適合度と実装容易性に優れています。