[レポート] 「クラウドをセキュアに運用するためは、これっきゃない」 AWS をより効率的に運用するための Sumo Logic とは? – Developers.IO 2019 in TOKYO #cmdevio

先週末 (11/1) 東京・日本橋にて開催された弊社主催イベント「Developers.IO 2019 TOKYO」。そのスポンサーセッションである、Sumo Logic ジャパン株式会社の川上様によるセッションをレポートします。
2019.11.05

先週末 (11/1) 東京・日本橋にて開催された弊社主催イベント「Developers.IO 2019 TOKYO」。そのスポンサーセッションである、Sumo Logic ジャパン株式会社の川上様によるセッションをレポートします。

クラウドベースのログ分析 SaaS である Sumo Logic は SIEM にとどまらない、非常に適用範囲の広い製品ではありますが、本セッションでは(時間の都合もあり)セキュリティに軸足を置いたプレゼンテーションとなっておりました。デモも多く見応えのあるセッションでした。

なお、セッションの最後には Sumo Logic のトレードマークでもあるお相撲さんの人形(ソフトビニール製)が多数客席に投げ込まれておりましたw
宙を舞った力士をお土産を受け取られた方々、おめでとうございました。

AWS をより効率的に運用するための Sumo Logic とは?

スピーカー

  • タイトル「クラウドをセキュアに運用するためは、これっきゃない」
    • クラウドといっても、Sumo はオンプレも出来る
    • 当初は「AWS を」という限定したタイトルにしていた
  • セキュリティ重視のデモンストレーションも

Sumo Logic とは

  • Sumo = 日本の「相撲」
    • 別にスーモと発音してもいい
  • 10 年くらい前に西海岸で設立された会社
    • 日本法人は 2018 年
  • 昔ながらのオンプレ SIEM の課題を解決するために設立した
    • 相撲の由来 = ファウンダーの飼い犬の名前
    • 欧米人にとっては相撲取り(スモウレスラー)は力強くスピーディーだ
    • この会社もそうありたい、と願って付けた
  • ログもろもろ = 「マシンデータ」
    • ためているけど何も出来ていない
    • これを大衆化する
      • Democratizing machine data
      • 簡単に取り込み
      • 簡単に可視化
      • 何か脅威がせまっている状態を簡単に気付けるように
  • Cloud Native のマシンデータ分析プラットフォーム
    • オンプレではない
      • ここがミソ
    • 何かハードやストレージを用意する必要がない、スケーラビリティも利用者は一切考える必要はない
    • すぐさま利用開始可能、データ以外何も用意する必要がない
    • 仮に、いま 10GB のデータが 1 年後 100GB になった、として、
      • 10 倍をオンプレで捌くのは大変
      • Cloud Native -> キャパシティは考えなくていい
  • ワールドワイド

コインチェック株式会社は、2018年1月の仮想通貨NEM不正流出事故を受け、仮想通貨取引所サービスのシステムをインフラから再構築し、セキュリティの強化に取り組んでいる。その1つとして、ログのモニタリングの強化を行った。(snip)
モニタリングのシステムには、「Sumo Logic」を採用。SaaS型ゆえに短期導入が可能な点、優れたユーザインターフェース、充実したサポートが決め手となった。クラウドサービスのサーバ、オンプレミスのネットワークセキュリティ機器、エンドポイントの端末類のログをSumo Logicに集約。あらゆる事態を想定し、セキュリティ事故の原因になり得る事象が検出されれば、アラートをあげる仕組みを構築した。

Cloud Native Platform

  • 全てのデータをひとつの UI で分析
    • このデータとこのデータで相関分析、突き合わせが可能
  • エラスティックスケール
    • 100ペタバイト以上の可用性
    • 20億サーチ/日
    • 突発的な処理増にも対応
  • クラウドエコノミクス
    • Pay as glow、AppCatalog
    • 課金は月間平均のログ量課金、何のデータの種類なのかは課金対象ではない
  • 機械学習を活用した分析
    • 瞬時に 100 万件のログの中から root corse を数秒で探せる
  • セキュア
    • 日本リージョンにも基盤がある、顧客のデータが日本から出ない
    • コンプラ基準はきびしいものを取得している
      • 国防総省が求めるような基準
    • 冗長化もちゃんとやってる(AZ障害にも耐える)

  • Operations and Analytics
    • インフラ、認証基盤
    • 異常値を検知 -> まず Slack に通知、なんてこともできる
      • 閾値、外れ値
  • マシンデータ(生データ)をインテリジェンス(知識データ))にリアルタイム変換
    • テキストデータであれば何でも
    • 構造化・非構造化データ
    • 性能データ
    • Operation : Monitor and TroubleShoot
    • Security : Cloud SIEM & コンプライアンス
    • Business Insights : Business Outcome
  • Collections and Ingests フロー図
    • 左側 Installed Collectors:イメージ的にはオンプレ
    • 右側 Hosted Collector:クラウド、SaaS
      • 例:
      • 認証基盤が最初に狙われる
      • そこへのアタックを起点にして他の SaaS に異常が無いかをしらべる

Appカタログ

  • 1 分で可視化
  • ログを集める(Ingest
  • プログラミング・クエリ作成等の作り込みは不要
    • AppCatalog にないものも、いちどクエリを書けばあとは使い回せる
  • アプリケーションと統合 | Sumo Logic

(デモ 1)

  • Sumo を使うにはブラウザだけあればいい
  • AppCatalog
  • SaaS ベンダなので市場ニーズに従って増えていく
  • メールアドレスだけでトライアルが始められる、始めたら AppCatalog が見られる
  • ダッシュボード

分析

  • All your data. All your Insights. Together.
  • grep 職人がうんざりする仕事
    • あるいは、新入社員がやらされる仕事
  • メトリクスとログ数の相関を視覚的に把握できる(オーバーレイ表示)
    • 性能データも Sumo にいれてみてほしい

  • LogReduce
    • 機械学習をつかって砂場の中から「ダイアに近いもの」を探してくれる
    • ノイズの排除
    • 40586 件/1624 ページを 35 種類 3 ページに圧縮
    • Root Cause をクイックに発見
  • LogCompare
    • 比較元先を任意に指定、差異を簡単に発見
    • 今日新たに出たログ、今日なくなったログ
    • 本番環境と開発環境
  • CrowdStrike も使える
    • 脅威情報をお客様のログと突き合わせ
    • 潜在的な脅威と震害の兆候を可視化
    • CrowdStrike 社との契約は不要、無償で利用可能

  • Use Case
    • On-premise, Cloud Platform, SaaS
    • 全てのログを、単一手製品では到底出来ない多角的・相関ビューを獲得
    • 一つの画面で「全ての事象:を同時に把握することが可能

(デモ 2)

  • Apache の生ログと CrowdStrike との突き合わせ
  • 実在するビジネス攻撃者:125 くらいある
  • CrowdStrike は脅威情報を的確に入手できる唯一の情報源
    • 他のところだと普通に数千万とかかかりかねない

(※編集注 : IPアドレスはSumo Logic社のデモ用IPアドレスであり公開可能と確認しております)

  • SIEM 的な使い方
    • 地図のヒートマップ
    • Intel = 脅威情報
      • CrowdStrike との突き合わせ
    • Suspicious Login
      • 通常あり得ない移動時間で移動している(US -> Egypt を数分とか
    • トラフィックのスパイク
    • 社内のマルウェアや改ざん
    • IOC Security : high = 何か悪いことが起きてる
  • GuardDuty
    • Rare Threat = 他の GuardDuty を使っているところと比べて、どれだけ自社にレア製のあるアクセスが来ているか
      • うちがやられてるんじゃないの?

所感

会場もほぼ満員に近く、注目度の高いセッションでした。

個人的にも Sumo Logic は製品としてさわったことがあるのですが、セッションを聞いて「え、そんな機能あった?」と思うこともあり、後から調べて先月追加されていたことを知りました。動きの速い SaaS ならではですが、紹介する側としては勉強が怠れない悩ましい製品ですw

セキュリティに不安を覚えている方だけでなく、ログを扱う全てのシステムに Sumo Logic はオススメです。弊社でもハンズオンを定期的に行っておりますので、興味を覚えられた方は是非お申し込みください!

【11/12(火)東京】「Sumo Logicハンズオンセミナー 〜ログ収集、監視、分析を触って体感しよう!〜」を開催します