AWSを利用する企業が増えるなか、「誰が、いつ、どの設定を変更したのかわからない」「コンプライアンス違反を見逃してしまった」といった課題が出てきています。
AWS Config(コンフィグ)は、AWSリソースの設定変更を自動で記録・監査し、コンプライアンス違反を検知するサービスです。本記事では、AWS Configの基本機能から設定方法、料金体系、実際の活用ポイントまで実践的に解説します。
本記事で解決できることは、以下の通りです。
- リソース設定変更の記録・追跡方法がわかる
- コンプライアンス違反の検知と対応方法を理解できる
- 適切な料金設定とコスト最適化の方法を学べる
- AWS CloudTrailとの適切な使い分けが明確になる
最後には、AWS MSP認定を受けたAWSパートナーであるCloudCREW byGMO提供の、AWS Config運用時の課題を解決する「AWSマネージドセキュリティ」も紹介いたしますので、導入を検討している方はぜひ参考にしてください。
AWS Configとは
AWS Configは、AWSリソースの設定を継続的に記録・評価・監査できるサービスです。クラウド利用におけるコンプライアンス監査やセキュリティ分析をサポートし、リソースの設定変更を自動的に追跡します。
AWS Configは、Amazon EC2(Amazon Elastic Compute Cloud)インスタンスやAmazon S3(Amazon Simple Storage Service)バケット、セキュリティグループ、Amazon VPCなど、520種類以上のリソースに対応しています(2026年4月時点)。さらに、サポート対象リソースは頻繁に追加されており、多くの主要なAWSサービスをカバー可能です。最新の対応状況は、AWSの公式ドキュメントである「AWS Configデベロッパーガイド」を参照してください。
AWS Configの最大の特長は、リソースの設定が「いつ」「何が」「どのように」変わったかを時系列で追跡できる点です。任意の時点での設定状態を確認でき、変更前後の比較も可能なため、トラブル発生時の原因特定や監査対応を効率化できます。設定履歴はデフォルトで約7年間(30~2,557日の範囲で変更可)保持され、Amazon S3バケットに自動保存されます。
AWS Configでできること
AWS Configは、AWSリソースの設定管理を効率化する機能を複数提供しています。ここでは、主要な4つの機能について詳しく解説します。
リソース設定変更の自動記録と履歴管理
AWS Configを使用すると、リソースに加えられた設定変更を自動で追跡し、変更履歴として保管することができます。
AWSマネジメントコンソール、API、CLIといった各種インターフェースから、リソースの設定状態を過去の任意のタイミングまで遡って確認することが可能です。
また、任意の時点でのリソース設定の状況を確認でき、変更前後の状態比較ができるため、変更による問題やエラーの原因特定が容易になるでしょう。設定履歴ファイルは、構成変更が発生している場合に、最大6時間ごとにユーザーが指定したAmazon S3バケットへ自動配信されます。これにより、履歴の管理を効率よく自動化できます。
この機能により、手動での設定監視にかかる時間や手間を大幅に削減可能です。
ルールによる継続的な評価
AWS Configは、定義したルールに基づいてリソース設定を自動評価します。プロジェクトのポリシーやベストプラクティスをルールとして設定することで、組織固有のポリシーに対応できるでしょう。
AWS Lambdaで作成したカスタムルールを使用すれば、カスタムルールに準拠しているかどうかを確認可能です。ルールに準拠していない場合、AWS Configはリソースとルールに非準拠のフラグを付けます。また、コンプライアンス状態が変化すると、Amazon Simple Notification Service(以下、Amazon SNS)トピックなどを通じてAWS Configから通知が発行され、必要時には自動的に修復アクションが実行されます。
この機能により、設定ミスや誤操作による脆弱性の発生を防げます。
マルチアカウント・マルチリージョンの一元管理
AWS Configは、複数のアカウントやリージョンのリソース設定を、単一のアカウントやリージョンに集約できます。
AWS Configのコンソール画面には、組織全体でコンプライアンスルールに合っていないルールの総数や、非準拠リソース数が多い上位10個のルール、非準拠ルール数が多い上位10個のAWSアカウントが表示されます。
この機能により、不正な設定を素早く見つけられ、企業全体のセキュリティやコンプライアンスの監視を効率的に行うことが可能です。
リソース間の関係性を自動検出し、依存関係を追跡
AWS Configは、アカウント内のAWSリソース間の関係を自動的に検出し、依存関係を追跡します。例えば、新しいAmazon EC2セキュリティグループを作成した場合、そのセキュリティグループと関連するAmazon EC2インスタンスを自動的に検出し、その関係を追跡可能です。
このリソース間の依存関係をAWS Configコンソール上に可視化できるため、設定変更の影響がおよぶ範囲を事前に確認できます。これにより、リソースの設定変更に関するガイドラインを作成できるため、複雑なシステムでも把握しやすくなります。さらに、依存関係の変更があった場合も、リソースの設定が常に最新であることを確認でき、AWSリソースの管理がより効率的になるでしょう。
AWS Config導入のメリット
AWS Configを導入することで、リソース管理の効率化やセキュリティ強化など、さまざまなメリットが得られます。ここでは、主要な3つのメリットについて解説します。
管理者の負担を軽減できる
AWS Configがサポートする各種リソースを常時監視することで、管理者が手動で設定変更を監視する必要がなくなります。AWS内で設定変更が行われた場合、管理者へ即時通知が送られるため、適切な対応を迅速に行うことが可能です。
従来は、AWSリソースの設定変更を把握しようとすると、各リソースの設定内容を都度チェックしなければなりませんでした。しかし、AWS Configを使用すれば、リソースの設定変更に関する通知を自動的に受信できるため、手動での設定変更の監視にかかる時間や手間を大幅に削減できます。
またAWS Configは、AWS 上で利用している複数のサービスにまたがるリソース設定を一元的に管理できます。そのため、複数のサービスを使用している場合でも統一的な設定管理が可能になり、管理者の負担軽減につながります。多数のAWSリソースを管理している環境では、特にその効果を実感できるでしょう。
トラブル発生時の影響を最小化できる
AWS Configは、サポートしている各リソースの設定変更履歴を常に監視しているため、トラブルが生じた際の影響を最小限に抑えることができます。
例として、特定のAmazon EC2インスタンスの設定を変えた後に問題が起きた際、その設定変更が問題の要因になっている可能性が考えられます。AWS Configがあれば、該当するAmazon EC2インスタンスでどのような設定変更が行われたかの履歴を参照でき、トラブル発生前の設定内容を確認することが可能です。
ただし、AWS Config自体にはリソースを直接変更・ロールバックする機能はありません。設定の是正には、AWS Systems Manager Automationによる自動修復や手動での対応が必要です。
これらの手順を組むことで、迅速かつ正確な対応が可能になり、業務の停止時間を最小限に抑えられます。
社内コンプライアンスを確保できる
AWS Configの活用により、社内のコンプライアンス管理を簡単に実現できます。ポリシーやベストプラクティスの設定が可能で、規定に反したリソースには自動で非準拠マークが付与されます。
例えば、特定のリージョンへのリソース作成が規制されている場合、AWS Configを使用してそのリージョンにリソースを作成すると、非準拠のフラグが付けられるため、即座に違反したリソースへの対応が可能です。こうすることで、ルール違反の確認が即座にでき、すぐに対応できる仕組みが整います。
また、設定変更の履歴が自動的に記録されるため、監査証跡を自動生成でき、監査対応が大幅に効率化されます。
AWS Configを導入することで、社内コンプライアンスの確保を容易にし、適切な管理を継続的に行うことが可能です。
AWS Config Rulesと自動修復の仕組み
AWS Config Rules(コンフィグ ルールズ)は、リソースが準拠すべき設定ルールを定義し、自動評価する機能です。リソースの新規作成時、既存リソースに対する設定変更時、定義した定期実行のタイミングで評価が行われます。
マネージドルールとカスタムルール
AWS Config Rulesには、マネージドルールとカスタムルールの2種類が存在します。
マネージドルールは、AWSによって事前定義されたルールで、主要なセキュリティ要件をカバーしています。多くのルールが用意されており、「Amazon EC2インスタンスで使用されているAMIが指定したものか確認」「Amazon EBSボリュームが暗号化されているか確認」「Amazon S3バケットでパブリック読み取りアクセスが拒否されているか確認」といった、一般的なベストプラクティスに対応可能です。
一方、カスタムルールは、AWS Lambda関数を利用して自身で定義するルールです。組織固有のポリシーや特殊な要件に対応でき、タグ付けルールや社内独自のセキュリティポリシーなどを実装できます。
自動修復機能
自動修復機能は、ルール違反時に自動的に設定を修正する機能です。非準拠リソースの修復には、ルール種別(マネージド/カスタム)に関係なく、AWS Systems Manager Automationのドキュメント(Runbook)を使用します。
AWS Systems Manager Automationのドキュメント(Runbook)は、AWS上の作業を自動で実行するための「手順書」です。内容はYAML/JSONで書かれ、Amazon EC2の再起動やバックアップ作成などを自動化できます。複数の作業を順番に実行でき、運用の効率化や作業ミス防止に役立ちます。
修復設定では、監視インターバルや再試行回数を指定できます。これにより、一時的なエラーと継続的な違反を区別し、適切なタイミングでの修復アクションが実行可能です。
自動修復機能を活用することで、設定ミスや誤操作による脆弱性の発生を防ぎ、予防的な運用ができます。
AWS CloudTrailとの違いと連携
AWS ConfigとAWS CloudTrail(クラウドトレイル)は、どちらもAWS環境の監視を行うサービスですが、監視対象と目的が異なります(表1)。
| 項目 | AWS Config | AWS CloudTrail |
|---|---|---|
| 監視対象 | リソースの設定状態 | ユーザーの操作・API呼び出し |
| 主な目的 | 構成管理・コンプライアンス監査 | 操作履歴の記録・監査証跡 |
| 記録内容 | リソースがどう変更されているか | 誰がいつ何をしたか |
AWS ConfigとAWS CloudTrailの役割
AWS Configは、リソースの設定状態を監視し、「ルールに沿っているか」を確認するサービスです。例えば、セキュリティグループの設定が社内ポリシーに準拠しているか、Amazon S3バケットが適切に暗号化されているかなどを評価します。
一方、AWS CloudTrailは、ユーザーの操作を監視し、「誰がいつ何をしたか」を記録するサービスです。「どのユーザーが、どのAPI呼び出しを実行したか」といった操作記録を残します。
AWS ConfigとAWS CloudTrailを連携するメリット
例えば、セキュリティグループの設定が突然変更され、インスタンスへアクセスできなくなった場合、AWS Configで設定変更を検知し、AWS CloudTrailで操作者と時刻を特定可能です。Configが「何が変わったか」を示し、AWS CloudTrailが「誰がいつ変更したか」を明らかにすることで、問題の根本原因を迅速に特定し、適切な対応を取ることができます。
AWS Configの設定方法
AWS Configの設定は、AWSマネジメントコンソールから5つのステップで完了します(図1)。初めての方でも、画面の指示にしたがって進めることで、適切な設定が可能です。
まず、AWS Configで記録するリソースタイプを選択します。「このリージョンでサポートされているすべてのリソースを記録する」を選択すると、サポートされている全リソースが自動的に記録対象になります。特定のリソースのみを記録したい場合は、「特定のリソースタイプを記録する」を選択し、リソースカテゴリとリソースタイプを個別に指定しましょう。
グローバルリソース(AWS IAMリソースなど)を含める場合は、対応するオプションにチェックを入れます。AWS Configはリージョンレベルのサービスですが、この設定を有効化すると、指定したリージョンとグローバルリソースの両方が記録対象となります。
AWS Configが他のAWSサービスを呼び出すために、必要なIAMロールを設定します。「既存のAWS Configサービスにリンクされたロールを使用」を選択すると、AWSによって事前に定義されたロールが使用され、必要なすべてのアクセス許可が自動的に付与されます。
独自のロールを使用したい場合は、「アカウントからロールを選択」を選び、作成済みのIAMロールを指定しましょう。
設定履歴ファイルが保存されるAmazon S3バケットを選択します。新規にバケットを作成することも、既存のバケットを選択することも可能です。AWS Configは、 リソースタイプごとに6時間ごとの設定履歴ファイルをAmazon S3へ送信します。
必要に応じて、Amazon SNSトピックを設定します。設定変更をAmazon SNSトピックに通知する場合は、チェックボックスにチェックを入れ、通知先のトピックを選択します。リソースに変更が発生した際、指定したAmazon SNSトピック経由で通知を受け取ることが可能です。
最後に、AWS Configで適用するマネージドルールを選択します。評価モードは、「すべての変更」を選択すると、リソースの変更があるたびに評価が実行されます。
自動修復を有効にする場合は、修復方法を選択し、監視インターバルと再試行回数を設定します。修復アクションの詳細では、AWS Systems Manager AutomationのRunbookを指定し、必要なパラメータ(SNSトピックのARN、メッセージ内容、IAMロールのARNなど)を入力します。
設定内容を確認したら、「確認」ボタンをクリックして設定を実行します。これでAWS Configが有効化され、リソースの監視が開始されます。
AWS Configの料金体系
AWS Configの料金は、実際に利用した分のみに課金される従量課金制です。最低利用料金や前払いはなく、使用した分だけコストが発生します。
基本料金
AWS Configには2つの記録モードがあり、それぞれ料金が異なります。
連続記録(Continuous Recording)は、リソースの設定変更が発生するたびに記録するモードです。1構成項目当たり0.003USDが課金され、リアルタイムでの監視が必要な環境に適しています。
定期記録(Periodic Recording)は、1日1回の頻度で記録するモードです。1構成項目当たりUS$0.012と連続記録より割高ですが、変更頻度の低いリソースでは記録回数が少なくなるため、トータルコストを削減できる可能性があります。
また、AWS Config Rulesとコンフォーマンスパック(適合パック)によるAWS Config Rulesは、評価件数に基づく階層料金制が適用されます。最初の100,000件が1評価当たりUS$0.001で、100,001件から500,000件まではUS$0.0008、500,001件以上はUS$0.0005 です。なお、Detective モードも有効な場合、プロアクティブモードの評価はUS$0.00(無料)です。これらは、評価件数が多くなるほど、単価が安くなる仕組みです。
コストを抑えるポイント
AWS Configの基本料金に加えて、連携サービスであるAmazon S3、Amazon SNS、AWS Lambdaの各サービスの標準料金が追加で発生します。
コストを効果的に抑えるには、まず不要な設定項目を削除し、記録対象を最適化することが重要です。全リソースを記録するのではなく、本当に監視が必要なリソースに絞り込みましょう。
また、不要なルールを無効化して評価件数を減らすことも有効です。オンデマンド評価を制限し、定期的な評価を行うように設定することで、料金の上昇を防止できます。さらに、定期的に設定を見直し、実際の運用に合わせて最適化することが、長期的なコスト削減につながります。
AWS Config導入時の注意点
AWS Configを導入する際には、いくつかの重要な注意点があります。事前に理解しておくことで、効果的な運用が可能になります。
サポートリソースと通知の仕組み
AWS Configは520種類以上のサービスに対応(2026年4月時点)していますが、すべてのAWSリソースがサポートされているわけではありません。導入前に、監視したいリソースがサポート対象かどうかを、AWSの公式ドキュメントである「AWS Configデベロッパーガイド」で確認することが重要です。
また、通知の仕組みには重要な制約があります。AWS Configの通知は、コンプライアンス状態が「変化した時」にのみ送信されます。具体的には、準拠状態から非準拠状態に変わった時と、非準拠状態から準拠状態に戻った時には通知が届きますが、非準拠のまま継続している場合は追加通知がありません。
この仕様により、ルール違反が続いていても新たな通知は来ないため、運用側は違反の修正を素早く行う必要があります。継続的な再通知が必要な場合は、Amazon EventBridgeと定期評価ルールを組み合わせたり、独自の通知ロジックを構築したりしましょう。
Amazon EventBridge は、AWS や自作アプリ、SaaS などから発生するイベントを受け取り、別のサービスへ自動で連携させる仕組みです。条件に応じて処理を起動でき、システム間の連携や自動化を簡単に実現します。
予防機能ではない
AWS Configは、ルール違反を「検知」するサービスであり、ルール違反自体を「防止」する機能ではありません。リソースが作成・変更されたあとに評価が行われるため、一時的にでもルール違反の状態が発生します。
ただし、自動修復機能を活用することで、違反を検知後すぐに、自動で修正することが可能です。AWS Systems Manager Automationと連携した自動修復を設定することで、予防に近い形で運用できます。
適切な対応や予防策を実施することで、セキュリティリスクやコンプライアンスの問題発生を最小限に抑えられます。
専門知識とコスト管理が必要
AWS Configを適切に設定・運用するには、AWSサービスとセキュリティに関する深い理解が必要です。どのリソースを監視すべきか、どのルールを適用すべきか、自動修復をどこまで設定するかなど、組織の要件に応じた判断が求められます。
また、AWS Configは従量課金制のため、計画的な導入とコスト管理が重要です。記録対象リソースやルールの数が増えると、それに比例してコストも増加します。不要な設定項目を削除し、記録対象を最適化することで、コストを適切に管理しながら効果的な監視体制を構築できます。定期的に設定を見直し、実際の運用状況に合わせて調整することがおすすめです。
AWS Config運用をプロに任せる「AWSマネージドセキュリティ」
AWS Configの適切な運用には、AWSサービスとセキュリティに関する専門知識が必要です。設定を誤ると、かえってセキュリティリスクが増大したり、コストが予想以上に膨らんだりする可能性があります。
AWSマネージドセキュリティは、東証プライム上場企業であるGMOグローバルサイン・ホールディングス株式会社が提供するAWSのセキュリティ監視・運用サービスです。組織のポリシーに基づいた最適なAWS Config設定をサポートし、効果的なリソース管理を実現します。ルール違反が検知された際は、24時間365日対応により、迅速な問題解決も可能です。
また、定期的な設定レビューを実施し、運用状況に応じた改善提案も行います。さらに、記録対象リソースやルールの最適化によるコスト削減提案も実施しています。
AWSマネージドセキュリティ
AWSのセキュリティサービスを使って、24時間365日、AWS上にあるクラウド環境のセキュリティ監視を行います。脆弱性などの脅威、インシデント発生前の予兆、ベストプラクティスにあわない設定変更などを検知・通知いたします。
30年以上のクラウド運用実績とAWSパートナーとしての豊富な経験を活かし、設定最適化・運用負荷軽減・セキュリティ強化を実現します。サーバーの監視・運用保守から、AWS Configの導入・運用支援まで、AWS環境の包括的なサポートが必要な方は、ぜひAWSマネージドセキュリティをご検討ください。
まとめ
AWS Configは、AWSリソースの設定変更を自動で記録・評価し、コンプライアンス違反を検知するサービスです。400種類以上のリソースに対応し、設定履歴の追跡、ルールによる継続的な評価、マルチアカウント管理、リソース間の依存関係追跡が可能です。
導入により、管理者の負担軽減やトラブル時の影響最小化、コンプライアンス確保といったメリットが得られます。ただし、通知の仕組みに制約があり、予防できるわけではない点に注意が必要です。適切な運用には専門知識が求められるため、不安な場合はAWSマネージドセキュリティなどの運用サービスの活用も検討しましょう。AWS ConfigとAWS CloudTrailを連携させることで、より効果的なAWS環境の監視と管理を実現できます。
参考文献
当記事の監修
GMOグローバルサイン・ホールディングス株式会社が運営するCloudCREW byGMOでご紹介する記事は、AWSなど主要クラウドの認定資格を有するエンジニアによって監修されています。
