Amazon Web Servicesにおける監視・監査の管理手法

4.まとめ

4.1 AWSの監視・監査

本稿の目的であるAWSにおける監視・監査については、すべてのリソースに対して網羅的に「変更の証跡を出力するサービス(CloudTrail)」と「挙動のログを出力する各種サービス( CloudWatch 、CloudWatch Logs Agent 、ELB 、CloudFrontなど)」が提供されていることを確認することができた。
また、網羅性とともに着目すべきはリソースに対して変更の証跡を出力するサービスの存在である。
オンプレミスのシステムで同様の機能を提供するためにはプログラム開発の際に要件の一部として開発を伴うことになるのに対して、AWSではフレームワークの中に機能が含まれているため、特に意識することなく高度な機能が提供される点は非常に大きなメリットである。

4.2 今後の課題

4.2.1 監視の統合
本検証においては以下の観点から検証を行った。

  • パブリッククラウドサービスの監視・監査の可能性についての検証
  • 典型的な企業ITシステムにおいて、既存機能だけでは不足しているシナリオの検証

本稿の冒頭においても記載した通り、企業ITシステムは多様化している。その半面、多様性が増しても効率性を損なうことなくそれらを監視・監査することが求められる。現時点で想定されるIT基盤の監視・監査については、それらをどのように集約、統合するべきか検討する必要がある。以下に考慮すべき観点を挙げる。

  • オンプレミスシステムとの監視統合
  • 複数のパブリッククラウドの監視統合

監視の統合を行う際には監視結果データの親和性やデータそのもののセキュリティレベル、統合するためのデータの通信経路など様々な点を考慮する必要がある。その中で優先的に考慮すべきはシステム監視の集約先である。
稼働するシステムのサービスレベルはその特性によってさまざまであるが、システム監視はその中でも高いサービスレベルを求められる。
一般的にサービスレベルは投資する費用に応じて高くなる傾向にあり、オンプレミスに集約した場合は相応の初期投資が必要になり、構成の変更ごとに投資を行う必要性に迫られる。一方、クラウドサービスはもともと拠点災害を想定した構成となっているため、オンプレミスと同等のサービスレベルを実現しようとした場合は費用面で圧倒的に有利である。
一概にパブリッククラウドが集約先としての解ではないが、システム監視のサービスレベルを考えるとパブリッククラウドに統合することが多くのケースにおいて有効であると思われる。

4.2.2 必要に応じた各種ログの長期保管の考慮
今回、検証を行ったAWSで提供されるCloudWatch(Metrics)サービスでは、各種AWSリソースの使用状況の把握が可能である。しかし、提供された履歴は一定期間保存の後に削除される。長期間にわたって保持が必要となるリソースの履歴については既存機能を拡張し、データストア等に保持すべき項目である。要件に応じた対応になると思うが、監視・監査の観点においては実現することが望ましいと考える。

4.2.3 おわりに
パブリッククラウドはその機能や進化のスピードというこれまでに経験することのなかったメリットの反面、企業ITにとって提供するサービスレベルを保持するという副次的な問題が発生することは自明であるが、本検証を通じて、一定のレベルの監視・監査機能が提供され、必要な機能は開発することができる点を確認することができた。今後も継続して提供されていく新技術を採用し、企業ITシステムの糧とするためにはオンプレミス、パブリッククラウドの適切な組み合わせがより一層求められていくことは容易に想像できる。そのような潮流の中で本稿が一考に値することになれば幸いである。

一覧に戻る

関連コンテンツ:CACのAWSサービス