[レポート]Amazon Security Lake ではじめるセキュリティデータの統合と分析 – AWS Security Forum Japan 2023 #aws #awssecurity

皆さん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(＠ashi_ssan)です。

今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。

Amazon Security Lake ではじめるセキュリティデータの統合と分析

近年、サイバー攻撃は増加の一途をたどり、その手法も巧妙化を続けています。それに伴い、攻撃の検知、侵入経路や影響範囲の調査といった「発見的統制」の重要性もますます高まっています。一方、こういった調査・分析の基礎となるデータソースは多種多様です。データフォーマット、保管場所、保管期限などのポリシー、管理者など、どれもそれぞれで異なっており、組織横断で統合的にセキュリティデータを分析するための環境を整えるのは、簡単なことではありませんでした。Amazon Security Lake は、簡単なセットアップで、組織全体にまたがる様々なデータソースのセキュリティデータをオープンフォーマット「OCSF」に正規化し、一元的に集約・管理することを可能にする新しい AWS サービスです。本セッションでは、Amazon Security Lake の概要とその活用方法を解説します。

アマゾン ウェブ サービス ジャパン合同会社

技術統括本部 インターネットメディアソリューショングループ ソリューションアーキテクト

駒原 雄祐

3行まとめ

• Amazon Security Lakeはセキュリティデータ調査などの労力削減、分析に時間をかけるためのサービスで、2stepで組織のログの正規化・保存・一元化ができるデータレイクを実装できます。
• Amazon Security LakeのログはOCSFという統一フォーマットをサポートする最初のデータレイクサービスです。
• Amazon Security Lakeの活用によって、データのサイロ化などデータ分析にまつわるさまざまな課題から解放されます。

セッション概要

• スピーカーについて
  • SIer 出身、Web系バックエンドエンジニアを経て、AWSのSAに
• Key TalkAway
  • Security Lakeはセキュリティデータ調査などの労力削減、分析に時間をかけるためのデータレイクサービス
  • 統一フォーマット、分析サービスとの連携が可能で、ユースケースごとにさまざまな環境の分析が可能に
• データの分析以外に多くの時間を費やしている
  • 分析以外にもやることがたくさんあって分析に２０％の時間しか使えていない
• なぜ分析に時間を使えないのか？ = セキュリティ部門がなぜそうなっているのか
  • データを分析する前に、データを保存している部署にデータをもらうようにお願いしないといけない
  • データ量が日々増えている
  • データの形式がそれぞれなので変換しないといけない
  • など、分析以外に多くの課題やタスクがあるから
• Amazon Security Lake
  • セキュリティデータを２ステップで一元管理できるようになるサービス
  • セキュリティデータに特化したデータレイクを素早く簡単に構築できる
• データレイクとは？
  • 一元化された唯一真となるデータ置き場
  • 複数のデータソースにあるデータを集約し、データ分析の信頼できるソースに
  • オープンな形式で保存されている
  • その後活用しやすいように
  • データの保存に特化している
  • その後のデータ活用、処理系に選択肢を与えるため。
  • 進化のライフサイクルが早い処理系が進化してもついていけるように。
• Security Lakeでできること
  • セキュリティログの正規化
  • セキュリティログの保存
  • データの重複を減らすことができる
  • データの可視性を一元化する
  • 一貫したソリューションにより、さまざまなパートナーソリューションからデータを収集できる。
• Security Lake以前の世界
  • 異なる部署が異なるソースから個別にデータを収集。データの処理を個別に実装しているため重複している。
  • データのサイロ化が生まれてしまっている
• Security Lakeデータモデル
  • Security Lakeにデータが集約されるので、個別に実装する必要がない。
  • 統一フォーマットでS3に保管され、長期保管が可能に
  • データの利用者データレイク管理者に申請し、サブスクライブすることでデータが利用できる
• OCSF(Open Cybersecurity Schema Framework)
  • セキュリティデータの簡素化、ベンダーに依存しないフォーマットを提供するオープンソースプロジェクト
  • OCSF準拠のソースからデータを組み合わせ、サイロ化を解消
  • オープンスタンダードになる位置づけを目指している
  • SplunkやSalesForceなどさまざまなベンダーのコントリビューターが在籍している
• Security LakeはOCSFをサポートする最初のデータレイク
• さまざまな活用方法
  • Amazon Athenaによるクエリ
  • SQLライクの構文でセキュリティデータを分析できる
  • SIEM on Amazon Opensarch Service
  • Security LakeのデータでSIEMを構築できる
  • ログだけでなく、地理的な情報を利用してさまざまな角度でデータを可視化できる
  • その他さまざまな分析環境を選択できる
• まとめ
  • Security Lakeはセキュリティデータ調査などの労力削減、分析に時間をかけるためのデータレイクサービス
  • 統一フォーマット、分析サービスとの連携が可能で、ユースケースごとにさまざまな環境の分析が可能に

最後に

個人的にこれから推したいサービスである、Amazon Security Lakeについてのセッションでした。

Security　Lakeの概要だけでなく、サービス登場以前の課題や活用によってデータ分析の運用がどう変わるのか？がわかりやすく紹介されていて、サービスを知らない方でもよく理解できるようなセッションだと感じました。

以上、芦沢(＠ashi_ssan)でした。