AWS Security Lakeとは？その重要性とベストプラクティス

AWS Security Lakeは、オンプレミスとクラウドのソースと連携し、すべてのセキュリティデータを自動的に一元化する、導入が容易なソリューションです。この独自サービスは、セキュリティデータをOpen Cybersecurity Schema Framework（OCSF）に準拠した形式で標準化・正規化するため、分析作業を簡素化、迅速化、かつ洞察に富んだものにします。

AWS Security Lakeがサイバーセキュリティにおいて果たす重要性は、いくら強調しても過言ではありません。急速に進化するサイバー脅威を迅速に識別するには、セキュリティインシデントの迅速な検知、調査、対応が極めて重要です。AWS Security Lakeを通じて強力な分析機能を備えた標準化された形式で統合されたセキュリティデータにより、セキュリティチームは拡大し続ける脅威環境をより広範にカバーできるようになります。

AWS Security Lake 概要

AWS Security Lakeは、組織がアラートやその他のセキュリティ固有のユースケースに関連するすべてのログを一元管理できるAWSセキュリティデータレイクを構築するのを支援するサービスです。このプラットフォームは、AWS サービスおよびサードパーティ製アプリケーションからのアクティビティデータを収集、保存、分析するための共通の方法を提供することを目的としています。これは設定だけでなく、カスタムログデータなどのセキュリティログも含まれます。

Security Lake により、組織は AWS の規模と費用対効果を活用できるため、セキュリティ運用を簡素化すると同時に、迅速な検出と対応能力のための広範な可視性を提供することができます。

AWS Security Lake は、セキュリティデータが標準化され、さまざまな情報源から分析および相関付けができるよう、Open Cybersecurity Schema Framework (OCSF) と連携しています。この標準化により、多様なセキュリティログの処理にかかるオーバーヘッドが軽減され、組織は自社のセキュリティに関する知見を効率的に活用できるようになります。

従来のセキュリティ関連データ保存方法と比較すると、Amazon Security Lakeは大きく異なります。従来の方法における主な課題は、ログが各所に分散して保存される（サイロ化されたシステム）ことです。最初に挙げられた問題はツールの断片化であり、これによりインシデントへの検知・対応時間が遅延し、セキュリティリスクが増大します。

AWS Security Lakeは、セキュリティチームが異なるソースからデータを収集できる共通の場所を提供し、分析と迅速な対応を容易にします。対照的に、従来の手法ではデータの収集、正規化、分析に多大な手作業が必要です。

さらに、従来のセキュリティソリューションでは、増加するセキュリティデータを処理するのに必要なスケーラビリティと俊敏性が不足している場合があります。旧式システムを導入している組織は、データストレージの拡張や新規データセットの取り込みに苦労することが多いです。このアプローチに基づき、AWS Security Lakeは強力なAWSインフラストラクチャと統合されるように設計されており、増加するデータ負荷に対応する豊富なスケーラビリティと多様なデータソースの柔軟性を提供します。

AWS Security Lakeのアーキテクチャ

AWS Security Lakeは、AWSクラウド内でセキュリティデータを効果的に一元管理・統制するために特別に設計されたセキュアなアーキテクチャに基づいています。このアーキテクチャの主要コンポーネントは以下の通りです：

1. データ取り込み層: この層は、AWSサービス、サードパーティアプリケーション、カスタムログソースなど、多様なソースからセキュリティデータを収集します。
2. データ正規化レイヤー: このレイヤーは、OCSF（Open Cybersecurity Schema Framework）メカニズムを使用して、取り込まれたすべてのデータがソースに関係なく共通の形式で標準化されることを保証します。
3. ストレージ層: この層ではAmazon S3を使用して正規化されたセキュリティログを保存し、制限のない安全なストレージを提供します。
4. クエリおよび分析層:Security LakeはAmazon AthenaやAWS QuickSightなどの分析ツールと連携します。S3に保存されたセキュリティデータを組織がクエリできるようにすることを目的としています。
5. プレゼンテーションおよびレポート層:このレイヤーは、セキュリティチームがセキュリティ態勢を把握し、傾向や異常を発見するためのダッシュボードと可視化機能を提供します。

データ取り込みリアルタイムデータとバッチ処理の両方において、スムーズかつ低遅延なオプションを提供します。例えばAmazon Kinesis Data StreamsやAWS Lambdaなどのサービスを活用し、セキュリティログをタイムリーに収集することで、時間依存性の高いアプリケーションをリアルタイム処理できます。緊急性の低いデータについては、バッチ取り込み方法をスケジュール設定し、ログの収集とアップロードを実行可能です。

取り込まれたデータは、相互に一貫性と互換性を保つよう正規化されます。これはOpen Cybersecurity Schema Framework（OCSF）によって実現され、セキュリティデータを共通フォーマットに成形することで、異なるソースの分析や相関付けが可能になります。

このデータは正規化され、Amazon S3に保存されます。Amazon S3はオブジェクトストレージサービスであり、現代のIT環境で生成される大量のセキュリティログに対して、耐久性、可用性、スケーラビリティを提供します。

AWS Security Lakeにおけるデータの統合と分析

AWS Security Lake は、他の多くの AWS サービスと連携し、データ管理機能などを提供します。AWS Security Lake をサポートする主なサービスは次のとおりです。

1. AWS CloudTrail: AWS アカウント内で実行されたすべてのリクエストをログに記録する機能を提供します。これにはリソースの変更や、個々のユーザーが日常的に行う操作も含まれます。
2. Amazon VPC Flow Logs:仮想プライベートクラウド（VPC）内のネットワークインターフェースとの間で送受信されるIPトラフィックに関する情報を記録し、セキュリティ監視とコンプライアンス要件の達成を支援します。
3. AWS Security Hub: Security Hubは、お客様がAWS環境全体に展開するポリシーを適用するための中央管理ポイントを提供します。
4. AWS Lambda:Lambda関数はサーバーレスコンピューティングを実現し、インフラストラクチャの管理を伴わないリアルタイムデータ処理やセキュリティワークフローの自動化を可能にします。
5. Amazon Kinesis: リアルタイムセキュリティログ収集など、ストリーミングデータの取り込みと処理に使用されます。

カスタムログソースとデータ保持ポリシー

AWS Security Lakeは、サポート対象のAWSサービスと統合されているだけでなく、カスタムソースからのログソースも取り込むことができます。この機能の重要な用途は、オンプレミスシステム、ファイアウォール、エンドポイントセキュリティソリューション、さらにはサードパーティ製アプリケーションからのデータ統合です。AWS Security Lakeは多様なログソースをサポートし、組織がセキュリティエコシステムを集約ベースで可視化することを可能にします。

組織はセキュリティデータの保持期間を定めるデータ保持ポリシーを設定することも可能です。これらのポリシーはコンプライアンスの遵守と運用要件を満たすようカスタマイズでき、監査や調査に必要なログを保存しつつ、ストレージコストを制限内に抑えることが可能です。

Amazon AthenaによるSQLクエリの実行

Amazon Athenaは、データをAmazon S3から移動させることなく直接SQLクエリを実行できるため、迅速かつ機敏な分析作業を実現します。セキュリティアナリストやエンジニアは、特定のインシデントや異常を調査する際にアドホッククエリを実行できるため、潜在的な脅威の調査においてより迅速に対応できます。

Athenaはサーバーレス特性によりコスト効率にも優れており、クエリでスキャンしたデータ量のみ課金されるため、様々な理由で情報を分析する必要があるユーザーを大幅に支援することが可能です。

AWS QuickSightとの統合

AWS QuickSightはクラウドネイティブのビジネスインテリジェンスサービスであり、セキュリティデータから得られた知見を可視化するのに役立ちます。豊富な機能を備えたQuickSightは、Amazon Athenaを使用してAWS Security Lakeから取得したデータに対してインタラクティブなクエリを実行するためのダッシュボードや可視化を作成する機能を提供します。

この統合により、セキュリティチームは自社のセキュリティリスクをより深く理解し、可視性を明確に特定してステークホルダーに伝達することが可能になります。QuickSightのセッション単位課金モデルにより、組織は有用なレポートを共有しつつコスト管理が可能です。

Security Lake SchemaとOCSFとは？

AWS Security Lakeの中核をなすのは、セキュリティデータの管理方法を標準化するOpen Cybersecurity Schema Framework（OCSF）です。これは複数のソースからのセキュリティイベントを分類、保存、分析する方法を再定義します。OCSFを活用することで、セキュリティレイクはサイバーセキュリティ分野で頻発する「データのすり替え」や「データ間の同期不全」といった課題を解決します。

OCSFの中核には、セキュリティイベントを分類するための階層構造があります。これはより細かい粒度を提供するカテゴリ、クラス、拡張機能を指します。たとえば、ネットワークフローイベントは「ネットワーク」カテゴリと「ネットワークフロー」クラスに分類されます。標準化されたフィールドには、送信元IPアドレス、宛先IPアドレス、プロトコルが含まれます。この階層的枠組みにより、セキュリティアナリストは膨大なデータ量を処理し、情報量に圧倒されることなく関連性のある洞察を得ることが可能となります。

AWS Security Lakeでは、OCSF向けの複雑な正規化プロセスが実施されています。異なる場所から取り込まれたデータは、解析され、OCSF属性へマッピングされ、追加のコンテキスト情報で補完され、スキーマに対して検証されます。この自動変換プロセスにより、入力ログの多様なフォーマットが統一され、これまで困難またはほぼ不可能だったクロスソース分析が可能になります。OCSFは、さまざまな組織のニーズを満たす拡張性を提供しながら、定義済みのフィールドをすべて備えています。カスタムフィールドはOCSF拡張メカニズムを通じて実装され、Parquetファイルでは追加カラムとして、Athenaテーブル定義では対応する定義として単純に追加可能です。これにより組織は標準化の利点を損なうことなく、固有のセキュリティ要件に沿ってスキーマを調整できます。OCSFの強みの一つは、後方互換性を維持しながら変更できる点です。既存のクエリやデータ構造を損なうことなくこの成長を管理するため、Security Lakeはスキーマ更新に対応可能なバージョン管理システムを実装しています。これにより組織は、過去の非セキュリティデータを有用な状態で保持しつつ、スキーマの改善や新たなセキュリティイベントの種類を活用できます。

AWS Security Lakeの主な利点とは？

AWS Security Lakeの主な利点は以下の通りです：

1. セキュリティデータの集中管理:AWS Security Lakeは、AWSサービス、オンプレミスシステム、サードパーティ製アプリケーションなど、多様なソースからのログやイベントを一元化することで、異なるツールに分散したセキュリティデータの課題を解消します。この一元化により、複数のデータサイロを個別にナビゲートする時間を浪費することなく、統合されたセキュリティダッシュボードとアラートビューを実現します。
2. 脅威検知の強化: Open Cybersecurity Schema Framework（OCSF）により、多様な形式のセキュリティデータを標準化・正規化できるため、脅威への事前対応が可能になります。この一貫性により脅威検知能力が向上し、高性能な分析や機械学習アルゴリズムを活用できます。
3. コンプライアンス対応の容易化: コンプライアンスは多くの企業にとって最重要課題であり、業種を問わず常に準拠した運用が求められます。AWS Security Lakeは構造化されたセキュリティデータを単一の中央リポジトリに集約することで、監査とレポート作成を容易にします。&
5. 低コストなストレージ: AWS Security LakeはAWSのスケーラブルなインフラストラクチャ上に構築されているため、組織は年間支出を大幅に削減できます。AWS Security Lakeの価格設定では柔軟なデータ保持ポリシーを提供しているため、予算を超過することなく重要なセキュリティイベントログを保持できます。
6. 深い統合性: AWS Security Lakeはデータセットに深く組み込まれており、他の主要なセキュリティ制御や多くのサードパーティソリューションと緊密に連携します。