旅行会社の新規事業開発部では、旅行写真をS3に保存して新サービスを進めていました。ところが「保存場所が増えすぎて、誰がどこまで見られるか曖昧」という状態になり、監査対応で指摘されそうになっています。
月末会議まで時間がないのに、手作業で全バケットの設定を点検するのは現実的ではありません。ケンイチは焦りながら課長に駆け込みました。
ケンイチ:
「課長、写真データの管理体制で困っています。
保存場所が増えすぎて、権限もバラバラで…監査で指摘されそうです」
課長:
「それならAWS Configを入れよう。
AWSの“設定が変わった瞬間”を記録して、ルール違反を見つける番人だ」
ケンイチ:
「ルール違反を見つける番人??…すみません、それは一体どういうことでしょうか?」
課長:
「ひとことで言うと、AWSリソースの設定を記録して、ルールで評価するサービスだ。
たとえばS3バケットが“公開設定”になったら、すぐ分かる」
ケンイチ:
「つまり、AWSの設定変更をずっと見張ってくれる…という理解でよいでしょうか?」
課長:
「そう。ポイントは2つある。
ケンイチ:
「でも、それがどうして“監査に強い”んですか?」
課長:
「監査でよく聞かれるのはこれだ。
『今の設定はルール通り?』『誰が変えた?』『いつから?』
Configがあると、証拠(履歴)と判定(評価結果)を出しやすい」
ケンイチ:
「すごい…。じゃあConfigが見つけたら、自動で直してくれるんですか?」
課長:
「そこは誤解しやすい。
Configは基本、監視と評価まで。自動修正は“別チーム”の仕事だ」
ケンイチ:
「アラートを出して、直すのは人…ということですね?」
課長:
「人でもいいし、自動化もできる。
たとえば、Configで違反を検知 → Systems ManagerやLambdaで修正、が王道だ」
ケンイチ:
「最初は何からやるのが良いでしょうか?」
課長:
「全部を一気にやると挫折する。
今日は“写真の守り”に直結するところから。
S3の公開設定と暗号化、それからログの有無をルールで見張ろう」
ケンイチ:
「優先順位をつける、ですね。まずはS3から始めます!」
| 用語 | ひとことで | 何を見る? | 向いている用途 |
|---|---|---|---|
| AWS Config | 設定の番人 | リソース設定の変化・適合 | 監査、ルール違反の検知 |
| AWS CloudTrail | 操作の記録係 | 誰がどのAPIを叩いたか | 原因調査、追跡(犯人探しに強い) |
| AWS Trusted Advisor | ざっくり健康診断 | AWS環境のおすすめ改善点 | コスト/セキュリティの一般的改善 |
| AWS Systems Manager | 運用の自動化 | パッチ適用・設定作業 | Configの検知後の自動修正 |
AWS Configを明記した企業事例は公開情報では確認できませんでした(非公開のケースもあります)。その代わり、AWS公式が示している典型的な使い方を、実例の代替として具体化します。
例1:S3バケットの“うっかり公開”を早期発見
「公開設定になっていないか」「暗号化が有効か」などのルールで評価し、違反を見つけたら通知。写真や個人情報を扱うサービスで特に効果が大きいです。
例2:セキュリティグループの危険な変更を検知
「特定ポートを0.0.0.0/0に開けない」などのルールを作り、設定変更を検知。必要ならSystems Manager/Lambdaと連携して是正も可能です。
AWS Configが得意なのはどれ?
A:設定の変更履歴を残して、ルールで評価する
B:アプリの画面を自動で作る
C:動画を高速に配信する
「Configは自動で直してくれる」と言われたら正しい反応はどれ?
A:その通り。Configだけで修正まで完結する
B:違う。Configは検知・評価が中心で、修正は別の仕組み
C:違う。Configは画像編集ソフト
「誰が変更したか」を追うのに相性が良いのはどれ?
A:AWS CloudTrail
B:AWS Snowcone
C:Amazon S3 Glacier
1-A:(設定の変更履歴を残して、ルールで評価する)(監査に強い)
2-B:(違う。Configは検知・評価が中心で、修正は別の仕組み)(連携で自動化)
3-A:(AWS CloudTrail)(操作の記録係)
解説:Configは「設定の番人」。CloudTrailは「操作の記録係」。両方あると“何が変わった”と“誰が変えた”をセットで追いやすくなります。