この記事の目次
AWSクラウドへの脅威を狙い撃ちするAWS SIEMサービスとは?
Amazonの代表的なクラウドサービスAWS(Amazon Web Service)は、複数のサーバーをVPCで連携しているため、外部からサイバー攻撃を受けたときのインパクトは計り知れないものとなってしまいます。
AWSには、WAF(Web アプリケーションファイアウォール)や、Amazon GuardDutyなど、セキュリティ対策サービスもあります。
毎日、私たちのクラウド全体を守ってくれているのが、AWS SIEM(Security Information and Event Management)サービスです。
AWS SIEMサービスは、クラウド中のシステムログやオペレーションログなどを効率よく集め、分析して見える化することにより、脅威となる敵を見つけて撃退してくれます。
これから、Amazon ES(Elasticsearch Service)をさらに拡張するAWS SIEMサービスの全容についてお話しします。
AWS SIEMサービスは、どのような仕組みでクラウドのセキュリティを保ってくれているのか?
AWS SIEMサービスは、クラウド全体のセキュリティを高めるため、外部からの脅威の元を突き止めてくれるソリューションです。
AWSクラウドのような複数のアカウントが共存する環境で、日々集められたさまざまなログを分析し見える化を進めることによって、不正なアクティビティを検出し、セキュリティを維持するための適切な対応に繋げています。
AWS SIEMサービスで繰り広げられる、ログの収集から始まり、不正なアクティビティ検出から分析・見える化で完結する、適切なセキュリティ確保までの流れを見ていきましょう。
AWS SIEMを使い始めましょう!
AWS SIEMサービスは、AWS CloudFormationを使ってデプロイすることができます。デプロイの作業はとても簡単で、約20分で完了します。
Amazon ES を Amazon VPC 内に設置または必要に応じてカスタマイズする場合のデプロイには、AWS Cloud Development Kit(AWS CDK)を使います。
デプロイのあと、分析対象のAWSサービスおよびAWSサービス以外のログが、 S3 バケットにエクスポートされることがトリガーとなり、自動的に Amazon ES に取り込まれるようになります。
このようにAmazon ESに取り込まれたいろいろな種類のログに対して、相関分析の結果や作成済みのAmazon CloudWatch Dashboardによる見える化が可能になります。
AWS SIEMの機能は?
AWS SIEMサービスは、AWSクラウドの中にあるシステムのオペレーションやセキュリティのログを収集および一元的に管理し、分析・見える化することによって、外部からの脅威を検出し、適切な防御対応を実現するサービスです。
同じAWSのサービスを使っていても、それぞれの運用状況により目的が異なってきます。
例えば、次のような場面はありませんか?
・Amazon GuardDutyで検知した悪意のあるイベントを発生させている原因を分析したい
・複数のログから、不正侵入に関係するログだけ抽出して相関分析したい
・AWS CloudTrailで保存したアクセスログについて、見える化して状況把握したい
このような場面でいかんなく力を発揮するのがSIEM on Amazon ESで、分散ネットワークの中のセキュリティ情報とイベントを一元管理してくれます。
AWS SIEMサービスを実現するためのAWSサービスは何か?
AWS SIEMサービスの機能を実現するためには、集められたセキュリティログを保管するAmazon S3、ログを分析するために様式を標準化するAWS Lambdaおよびログについて見える化と相関分析をするAmazon ES・Kibanaが必要となります。
この中で、Amazon ESとKibanaは機能的に統合されています。
それぞれの働きについて見ていきましょう。
Amazon S3(Simple Storage Service)
Amazon S3は、データの収集から管理までを行うストレージサービスです。
Object Lambda:AWS Lambdaを使う場所を特定し、集めたデータをLambdaが使える状態にしてから分析するアプリケーションに渡します。
Storage Lens:S3に保管されているデータ使用とアクティビティの状況を見える化します。
Intelligent Tiering:アプリケーションへのアクセス状況により、頻度による4つのアクセス階層に分け、高頻度のものから優先して処理の効率化を図ります。
Access Points:共有データセットの個別アクセスポイントを作ることによって、クラウドの中で膨大なアプリケーションが動いても、VPCを経由してリクエストに従ったサービスを運用します。
Batch Operation:作業の個別ジョブを作り、優先順位をつけて作業を進めるとともに、作業証跡などのレポートを作ります。
AWS Lambda
AWS Lambdaは、イベントが発生した時にだけ、コード(AWS Lambda関数)を実行するサーバーレスサービスで、リソースの維持管理は自動化されているため必要ありません。
データ処理:ユーザーのリクエストや、S3、CloudWatchなどのデータやシステムログなどがトリガーとなり、Lambdaが直接起動され、既存のファイルシステムからワークフローに繋がっていきます。
ファイル処理:S3に画像がアップロードされたことがトリガーとなり、公開プラットフォームの種類(Webページ、モバイルフォン、タブレットなど)に見合うようなサイズに変えて公開することができます。
機械学習:Lambdaによって前処理されたデータは、機械学習モデルに流し込まれます。データサイズは大きな幅を持ちますが、Amazon EFS(Elastic File System)にアクセスされるので、適正なサイズに調整されます。
Amazon ESとKibana
AWSクラウド上のサーバーからは、ログファイル、テキストデータ、定量化されたデータやシステムのモニタリングデータなどが、VPCを経由してAmazon ESに流され、規定されたプロセスで分析されます。
Amazon ESと、データの見える化を進めるツールであるKibanaとは堅固に統合されていることから、Kibana はElasticsearch保管データを見える化する第一選択となっています。
ログファイルや、システムのモニタリングデータを分析および見える化することにより、システムへの不正アクセスをはじめとする脅威を検出し防止することで、セキュリティを強化しています。
AWS SIEMサービスの仕組みは?
AWS SIEMサービスは、AWSのサービスやAWS以外のサービスいずれも、ログデータがAWS S3バケットにエクスポートされることでLambdaにトリガーされ、自動的に Amazon ES に取り込まれて分析されるようになります。
この分析の結果は、リアルタイムに脅威の予知に使われ、将来的な脅威の防止にも繋がっています。
なお、SIEM on Amazon ESは、完全なマネージドシステムであるElasticsearchとKibanaを統合したサービスと、Amazon Lambdaというサーバーレスサービスだけで動く仕組みのため、ユーザーのシステム運用の負担が軽減されています。
AWS SIEMサービスは、外部からのサイバー攻撃を防いでくれます!
複数のサーバーをVPCで有機的に連携しているAWSクラウドが、外部からのサイバー攻撃を受けたときのインパクトは計り知れないほど大きいものです。
こうしたネットワークへの不正侵入を分析・見える化してくれるのが、AWS SIEMサービスです。
これから、AWS SIEMサービスがあなたのネットワークの強力な味方になります!
