OCSFに対応するSecurity Lake について解説します！ 大規模ログ収集・分析基盤構築とセキュリティ運用を効率化する機能は必見です😎

セキュリティデータ分析基盤の構築とログ収集・分析は、セキュリティ運用において非常に重要です。セキュリティ侵害の調査や対策、コンプライアンス対応などに役立つ一方で、大規模な環境では膨大なログデータの収集、正規化、分析、管理が課題となります。

本記事では、Amazon Security Lake と Open Cybersecurity Schema Framework (OCSF) を活用して、セキュアで効率的なログ収集・分析基盤を構築する方法と、そのメリットについて解説します。

セキュリティデータ管理の課題

セキュリティデータを大規模に管理する場合、以下のような課題に直面することがあります。

アカウントとリソースの変動への対応

組織の拡大やクラウドサービスの利用状況の変化に伴い、AWS アカウントやリソースは頻繁に変動します。既存のログ収集基盤では、新しいアカウントやリソースを追加する度に、手動で設定変更やコードの更新が必要になるケースが多く、運用負荷が高まります。

カスタム Lambda 関数やパーティションの作成など、煩雑な作業が発生し、エンジニアの時間と労力を奪ってしまいます。

ライフサイクルとアクセス制御のポリシー管理

セキュリティデータは、その種類や重要度に応じて適切なライフサイクル管理とアクセス制御が必要です。コンプライアンス要件を満たすために、特定のログデータを長期間保存する必要がある場合もあります。

従来のログ収集基盤では、データの保存期間やアクセス権限の設定が複雑で、管理が煩雑になりがちです。標準クラス、Glacier Deep Archive など、データの利用頻度に合わせて適切なストレージクラスを選択し、効率的に管理することが求められます。

データからの価値創出

ログデータは、セキュリティインシデントの調査や対策だけでなく、セキュリティ態勢の改善やビジネス上の意思決定にも活用できる貴重な情報源です。

しかし、従来のログ収集基盤では、データの形式が統一されていなかったり、分析に必要なツールやスキルが不足していたりするため、ログデータから価値を引き出すのが難しい場合があります。

ログデータから有用な情報を効率的に抽出するためには、データの正規化、分析、可視化、アラート機能などが重要となります。

OCSF: セキュリティデータ正規化の標準規格

Open Cybersecurity Schema Framework (OCSF) は、セキュリティデータの正規化を簡素化するために策定されたオープンな標準規格です。AWS を含む 200 以上の組織が参加するオープンソースプロジェクトによって開発されており、ベンダーや環境に依存しない統一的なデータスキーマを提供します。

OCSF を採用することで、以下のようなメリットが得られます。

• 迅速なデータ取り込みと分析: 事前に正規化されたデータスキーマを使用することで、時間のかかる正規化作業を削減し、データ取り込みと分析を迅速化できます。
• OCSF 準拠ソースからのデータ結合: 異なるソースから収集した OCSF 準拠データを容易に結合し、セキュリティチーム全体で一貫性のある分析を実現できます。
• サイロ化されたデータの解消: OCSF に準拠することで、複数のソースから収集したデータのサイロ化を防ぎ、セキュリティチーム全体の可視性を向上させます。

Amazon Security Lake: 統合ログ管理と分析基盤

Amazon Security Lake は、セキュリティ関連のログや検知結果を、アカウントやリージョンをまたいで一元的に収集・管理できるサービスです。AWS ネイティブのサービスや SaaS アプリケーション、サードパーティ製品など、様々なソースからログデータを自動的に収集し、OCSF に準拠した形式で Amazon S3 に保存します。

Security Lake を導入するメリットは以下の点が挙げられます。

• 簡素化されたログ収集: Security Lake は、AWS の各種サービスやサードパーティ製品から OCSF 形式のログデータを自動的に収集します。そのため、従来のようなカスタム Lambda 関数や複雑な設定が不要になり、ログ収集基盤の構築と運用が大幅に簡素化されます。
• 一元管理と可視性の向上: Security Lake は、アカウントやリージョンをまたいでログデータを一元管理するため、セキュリティチーム全体で一貫性のある可視性を確保できます。
• コスト効率: Security Lake は、データの圧縮やストレージクラスの自動階層化などの機能を提供し、ログデータの保存コストを削減します。また、使用した分だけ課金される従量課金制なので、コスト効率の高い運用が可能です。
• 拡張性と柔軟性: Security Lake は、膨大な量のログデータを処理できる拡張性と、様々な分析ツールやサービスと連携できる柔軟性を備えています。
• セキュリティ: Security Lake は、AWS のセキュリティベストプラクティスに基づいて設計されており、ログデータの安全な保存とアクセス制御を保証します。

まとめ

Security Lake と OCSF を活用することで、大規模なセキュリティデータ分析基盤を効率的かつセキュアに構築し、セキュリティ運用を強化することができます。これらのサービスは、ログの収集、正規化、分析、管理を自動化することで、セキュリティチームの負担を軽減し、より重要な業務に集中できる環境を実現します。

Security Lake は、セキュリティデータ管理の課題を解決する強力なツールであり、セキュリティ態勢の強化に大きく貢献します。

データ分析基盤構築とデータ活用支援、基幹業務システムのUI.UX刷新はお気軽にお問い合わせください。