Amazon Web Services ブログ

Amazon FSx for Windows File Serverでファイルアクセス監査が可能になりました

このブログは2021年6月8日にMartin Beeby (Principal Advocate)によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。

Amazon FSx for Windows File Server は、業界標準のSMB(Server Message Block)プロトコルでアクセス可能なフルマネージドファイルストレージを提供します。Windows Server上に構築され、豊富なエンタープライズストレージ機能を、AWSの持つ拡張性、信頼性、および低コストと共に提供します。

ユーザークォータ、シャドウコピーを使用したエンドユーザーによるファイルのリストア、Microsoft Active Directoryとの統合などの主要機能に加え、今回、Windowsイベントログを使用したファイル、フォルダ、ファイル共有へのエンドユーザーのアクセス監査に対応しました。

ファイルアクセス監査の御紹介
ファイルアクセス監査では、対応した他のAWSサービスにログを送信し、ログの照会、処理、保存ができるようになります。企業のストレージ管理者やコンプライアンス監査担当者は、ファイルアクセス監査を利用することで、セキュリティやコンプライアンスの要件を満たしつつ、時間とともに増加するログに対応するためのストレージ管理の必要性を排除することができます。ファイルアクセス監査は、金融サービスやヘルスケア業界など、規制を受けるお客様にとって特に重要になるでしょう。

監査イベントをWindowsイベントログ形式で使用する際に、イベントの送信先を選択することができます。送信先の選択肢は、Amazon CloudWatch LogsへのロギングまたはAmazon Kinesis Data Firehoseへのストリーミングです。そこから、CloudWatch Logsでのログの表示やクエリ、Amazon Simple Storage Service (Amazon S3)へのログのアーカイブ、SplunkやDatadogなどのAWSパートナーソリューションを使用してログを監視することができます。

また、新しい監査イベントによってトリガーされるLambda関数を設定することもできます。例えば、不正なアクセスが発生した際に、データセキュリティ担当者に通知を送信するように、AWS LambdaAmazon CloudWatch アラームを設定することができます。

新しいファイルシステムでのファイルアクセス監査の使用
新しいファイルシステムでファイルアクセス監査を有効にするために、Amazon FSxコンソールを開き、Create file systemを選択します。Select file system typeページで、Amazon FSx for Windows File Serverを選択し、ファイルシステムの他の設定を行います。監査機能を使用するには、ここに示すように、Throughput Capacityが少なくとも32MB/sでなければなりません:

Screenshot of creating a file system

Auditingの設定で、File access auditingがデフォルトでオンになっていることがわかります。Advancedの設定のChoose an event log destinationでは、ユーザーアクセスイベントの送信先を変更できます。この例ではCloudWatch Logsを選択し、アカウント内のCloudWatch Logsロググループを選択しています。

Screenshot of the Auditing options

ファイルシステムの作成が完了したら、新しいAmazon Elastic Compute Cloud (Amazon EC2)インスタンスを起動して、Active Directoryに参加させます。インスタンスが利用可能になったら、リモートデスクトップクライアントを使ってインスタンスに接続します。File Explorerを開き、ドキュメントに従って新しいファイルシステムをマッピングします。

Screenshot of the file system once mapped

Windowsエクスプローラーでファイルシステムを開き、右クリックしてPropertiesを選択します。SecurityAdvancedAuditingを選択し、Addを選択して新しい監査エントリを追加します。監査エントリのページで、Principalの中のSelect a principalをクリックします。これは、監査対象の人になります。Everyoneを選択します。次に、Typeで、監査の種類(Success/Fail/All)を選択します。Basic permissionsでは、監査対象への権限としてFull controlを選択します。

Screenshot of auditing options on a file share

監査がセットアップされたので、試しにいくつかのフォルダを作成し、いくつかのファイルを作成・変更しました。これらの活動はすべて監査され、ログはCloudWatch Logsに送られています。

Screenshot of a file share, where some files and folders have been created

CloudWatch Logs Insightsコンソールでは、監査ログに対してクエリを開始することができます。下の図は、特定のファイルに関連するすべてのログを検索する簡単なクエリを実行した様子です。

Screenshot of AWS CloudWatch Logs Insights

継続的な改善
ファイルアクセス監査は、多くの機能が近年リリースされているAmazon FSx for Windows File Serverの最新機能です。今まで次の様な機能を追加して来ました:自己管理ADのサポートネイティブ Multi-AZ ファイルシステムSQL Serverサポートシャドウコピーを使ったファイル単位のリストアオンプレミスからのアクセスリモート管理 CLIデータ重複排除パワーシェルコマンドによるファイル共有設定転送データの強制暗号化容量とスループットの動的変更ストレージクォータ

価格
ファイルアクセス監査は、Amazon FSx for Windows File Serverでは無料です。Amazon CloudWatch LogsAmazon Kinesis Data Firehose、その他連携するAmazon RedshiftS3AWS Lambdaなどの関連AWSサービス、SplunkやDatadogなどのAWSパートナーソリューションの利用には、標準価格が適用されます。

本日より使用可能
ファイルアクセス監査は、Amazon FSx for Windows File Serverが利用可能なすべてのAWSリージョンにおいて、すべての新しいファイルシステムで本日より利用可能です。詳細はドキュメントをご確認ください。