ゲーム、仮想通貨で導入が進むSumoLogicのリアルタイムログ分析とAWSセキュリティについて

Transcript

1. ゲーム、仮想通貨で導入が進む SumoLogicのリアルタイムログ分析と AWSセキュリティについて SumoLogicジャパン株式会社 パートナー・セールス・ダィレクター 古根川哲也 クラスメソッド株式会社 ソリューションアーキテクト 臼田佳祐

2. 自己紹介 臼田 佳祐 ・クラスメソッド株式会社 ・AWS事業本部 ソリューションアーキテクト セキュリティチーム ・Security-JAWS運営 ・好きなサービス: AWS

   WAFマネージドルール

3. SumoLogicの話の前に 昨今のAWSを取り巻く ログとセキュリティについて イントロダクションします

4. ログがあふれる時代 • オンプレミスからクラウドに代わりインフラもAPI で操作するようになりました • 多くの作業が機械的・自動的に実行でき、これまで ログがなかった部分でログがたくさん出ています • アプリケーションもデプロイサイクルが短くなり、 様々なコンポーネントを組み合わせる事によりログ

   が増大 + 複雑化しています • 合わせてクラウドのメリットを享受して、無限のス トレージにとりあえず貯めるようになりました

5. ログ活用できていない現状 • とりあえず貯めることのハードルが少なくなったお かげで貯めていますが、ログが眠っていることも少 なくありません • ログにフォーカスを当てましたが、メトリクスやイ ベントもこれに含まれます

6. AWSセキュリティ面でのログ セキュリティ的な面では日々AWSアカウントへの攻撃 やパブリックIPへの攻撃を受けており、大量の CloudTrailなどで取得されるAPIログの中からそれを 見つけ、対処する必要があります。 AWSでログを扱うにはCloudWatchなどがあります。 これは非常に簡単に使い始めることができ一通りのロ グ・メトリクスの確認に役に立ちます。

7. AWSセキュリティログ分析の課題 ただし、先述のようにログ量の増加や多数のフォーマッ トのログを扱うにはややシンプルすぎます。 あっちのページでログを見て、こっちのページでメトリ クスを見て、そっちの別のログを見て……辛いですね これらのログやメトリクスを楽に扱うには、従来泥臭く 人がやっていたログをまとめる、ログの中から異常を見 つけることから脱却することが必要です。

8. そこでSumoLogic SumoLogicはログ・メトリクス・イベントを一つのプ ラットフォームでまとめて管理することができる 機械学習でログの絞り込みをうまいことやってくれる 何よりAWSサービスのログ分析ダッシュボードがデ フォルトで用意されていて、すぐにログ分析を始めるこ とができる インテグレーションに優れている

9. それではSumoLogicさん よろしくおねがいします

10. Thank You Sumo Logic Confidential この度はお忙しい中 お集まりいただき ありがとうございます

11. Thank You Sumo Logic Confidential この度はお忙しい中 お集まりいただき ありがとうございます 何故 『Sumo

    Logic 』 スモウ？

12. Thank You Sumo Logic Confidential この度はお忙しい中 お集まりいただき ありがとうございます 何故 『Sumo

    Logic 』 スモウ？ 『相撲取り』 のようにパワフル・俊敏 にデータを分析できる ログ管理サービス

13. Thank You Sumo Logic Confidential この度はお忙しい中 お集まりいただき ありがとうございます 何故 『Sumo

    Logic 』 スモウ？ 『相撲取り』 のようにパワフル・俊敏 にデータを分析できる ログ管理サービス 「SUUMO(スーモ)」 ではなく 「Sumo（スモウ）」です

14. ゲーム、仮想通貨で導入が進むSumoLogic リアルタイムログ分析とAWSセキュリティ SumoLogicジャパン株式会社 パートナー・セールス・ダィレクター 古根川哲也

15. Sumo Logic Confidential Agenda • クラウド上にログ管理を迅速に構築 • ログの統合 • クラウドシステムへの移行、パフォーマンスと可用性の改善

    • セキュリティーの強化 • コンプライアンスとレポーティングの改善

16. Sumo Logic Confidential ユースケース１ クラウド上にログ管理を迅速に構築 • 背景・課題 – クラウドにログ管理を構築したいがAWSのアプリケーションの設定を含めその 構築スキルと時間が不足している

    – 短期間にログ管理環境を構築したい • ソリューション – SumoLogicはAWSアプリケーションに対応したアプリケーションカタログを多数 用意しており、検索条件、ダッシュボード等を作成しなくても直ぐ実装可能

17. Sumo Logic Confidential Amazon CloudFront AWS Lambda Amazon GuardDuty Amazon

    VPC Flow Amazon S3 AWS ELBC & ELBA AWS CloudTrail AWS Config ネイティブにAWSと連携 AWSアプリケーションやインフラのオペレーションとセキュリティ状態をリアルタイムに 可視化できます。 Amazon Inspector Amazon ECS AWS PCI Amazon RDS

18. 『CloudTrailのセキュリティ監視をちょー簡単にやってみた』 https://dev.classmethod.jp/cloud/aws/cloudtrail-security-analytics-with-sumologic/ 使い始めるのはちょー簡単でログを取り込む設定だけで終わり、その後多機能なダッシュボードで様々なセキュリティ監 視を行うことができます。 もちろんCloudTrailのログを手で頑張って分析してもいいですが、これだけ充実したダッシュボードがあるSumo Logicを 利用しない手はないと思います。このダッシュボードで見る場所は沢山ありますが、逆にCloudTrailを分析するための手 法が一通り揃っているので、Sumo Logicに任せてしまえば構築・検証などを通り越してすぐに1つのシステムで監視を始 めることができるのはかなりのメリットだと思います。

    ぜひこれを利用してAWS環境のセキュリティ監視を始めてみてはいかがでしょうか？ AWSとの連携アプリケーションを検証されたSumoLogicパートナー様のブログ をご紹介します。 ブログからの抜粋

19. Sumo Logic Confidential ユースケース２ ログの統合 • 背景・課題 – 直近のアプリケーションはクラウドベースで運用 –

    しかしオンプレミスで導入したログ管理は依然として存在 – 容易にクラウドに移行できない状況 – データのサイロ化を生み出し、システム全体の可視化を疎外 • ソリューション – 可視化に必要なオンプレミス、クラウドのログデータをSumoLogicで集中管理 – サイロ化したデータの集中管理・分析、システム全体の可視化を実現

20. Sumo Logic Confidential ありとあらゆるプラットフォームからログを収集 オンプレミスで稼働するアプリケーションのログだけではなくクラウドサービスのログも収 集し、リアルタイムに解析できるツールです。

21. Sumo Logic Confidential ユースケース３ クラウドシステムへの移行 • 背景・課題 – オンプレミスログ管理の性能、拡張性、可用性に課題 –

    拡張時のダウンタイム、ピークに合わせたサーバーサイジングのコスト負担、 アクセスが集中した場合の性能低下を改善したい • ソリューション – データ保護とセキュリティ – 大容量のログデータへの対応と性能 – 想定の１０倍以上にデータがスパイクしても停止することなくデータを取り込み – データのスパイクを吸収する柔軟な課金体系

22. Sumo Logic Confidential 運用コスト • サービス利用料 • 設定作業 • トレーニング

    運用コスト • パッチ適用 • ダウンタイム対応 • IT運用担当者 • パフォーマンスチューニング • アプリケーションカスタマイズ • アプリケーションアップグレード • ハードウェアアップグレード • ネットワークアップグレード • セキュリティアップグレード • データベースアップグレード クラウド オンプレミス コスト構造

23. Sumo Logic Confidential クラウド・セキィリティ検討事項への対応 No セキュリティ課題 対応 １ データ保管場所 データはAWSのインフラストラクチャに保持

    ２ データ保全 データセンター間で６回／日のデータレプリケーション ３ 通信の安全 SumoLogicとの通信はHttpsプロトコルで保護 ４ 認証 ログイン時、PKI認証 （例 OneLogin等のSSOで認証) ５ データアクセス データアップロードは認証済ソース以外アクセス不可 ６ リソースアクセス リソースへのロールベースのアクセスコントロール ７ データ暗号 暗号化されたデータのアップロード可 ⇒復号化はアプリケーションで対応 ８ サービス解約時 SumoLogic上のデータの削除を証明する、証明書の発行

24. Sumo Logic Confidential 2 許容量 拡張性 2,000+ 顧客 3億 +

    日々の検索数 150 PB + 日々のデータ分析 500兆+ 日々のクエリー数 業界トップのマシンデータ分析・許容能力

25. Sumo Logic Confidential 柔軟なクラウド・ライセンスを提供

26. Sumo Logic Confidential ユースケース４ セキュリティの強化 • 背景・課題 – 社内外からの不正アクセスやインターネットからの攻撃によるシステム障害と いったインシデントの原因特定には、ログ情報が不可欠

    – ログを調査したくても、量が多すぎるとすべてのログを確認することは困難 – 不正アクセスなどのセキュリティイベントを自動的に把握し、外部のIOC（脅威 が存在することを示す痕跡）とマッチングして脅威判定、アラートをあげる仕組 みが必要 • ソリューション – SumoLogicの機械学習機能で、大量のログから迅速に例外パターンを検出 – CrowdStrikeなどSumoLogicが提供しているアプリケーションカタログを使って 外部のIOC（脅威が存在することを示す痕跡）とマッチングし脅威判定と対処

27. Sumo Logic Confidential 大量のログデータから ノイズを除去し少数の 問題パターンに縮減 Log Reduce 問題を調査・解決するた めの平均時間

    （MTTI/MTTR）を 90%削減 正常時と異常時の ログを比較し、その差 を調査・分析 Log Compare 過去のある時点の ログと比較 Outlier Detection ログの傾向から異常値 を検索 外れた数値を検知した とき、異常値として通知 Predictive Analytics 時系列データから将来 の数値を予測 プロアクティブにリスク を削減 高度な検索： 特許権を持つ機械学習分析機能

28. Sumo Logic Confidential デモ Log Reduce ＆ Log Compare https://help.sumologic.com/Search/LogReduce

    上記の動画を御覧ください

29. Sumo Logic Confidential Out-of-Boxで、取り込み・分析・ダッシュボードが即使えます アプリケーションカタログ 構成管理 コンテナー 負荷分散ネットワーク SaaS アプリケーション

    インフラ コンプライアンス& セキィリティ IaaS & PaaS

30. Sumo Logic Confidential

31. Sumo Logic Confidential ユースケース５ コンプライアンスとレポーティングの改善 • 背景・課題 – コンプライアンス（法令順守）、ガバナンス（内部統制）の観点から、システム監 査の重要な情報であるログについても、改ざんされることなく確実に収集・保存

    されるのはもちろん、有事に迅速な対応を取るため、解析の上、関係者へ通知 するような仕組みが必要 • ソリューション – クラウド上のデート保護とセキュリティ – SumoLogicのログ管理機能 – 短期間に実装・リリース

32. Sumo Logic Confidential Sumo Logicのサービス DEVOPS ITインフラと オペレーション コンプライアンスと セキュリティ

    収集と集中化：数テラバイトものデータを収集し取り込み 検索と分析：リアルタイムに履歴検索を実行しイベントを相関付け 検知と予測：パターン、例外、異常検知 モニタリングと視覚化：アプリケーション、インフラを可視化 プロアクティブなアラート：リスク低減、問題の原因を可視化

33. Sumo Logic Confidential

34. 即使え、短期間で価値を生み出す 使いたい！ Free Trial 申し込み ご導入 無償ライセンス に移行 有償ライセンス に移行

    スタート • 30分ほどで申し込みが完了します。 • 30日間、無償で全ての機能が使えます。 • チュートリアルに沿って機能を確認できます。 • 必要に応じて、評価作業（POC)をご支援いたします。 • もしご要件の実現が確認できましたら即、有償ライセンスに移行 し、本番運用を開始できます。 • サーバープロビジョニング等は不要です。 • 30日間のFree Trialが終了しますと自動的に、機能が制限され た無償ライセンスに移行されます。 Yes Sumo Logicを使いたいと思ってから本番運用するまでの流れを以下に記します。 詳細は、『ライセンス＆プライシング』章と『サポート＆コミュニティー』章をご参照ねがいます。

35. Sumo Logic Free Trial サイト https://www.sumologic.com/learn/training/ どれを選択しても Enterprise機能が 提供されます Australiaを選択

36. Thank You Sumo Logic Confidential

37. AWSとのインテグレーションについて 代表としてCloudTrailを取り上げます CloudTrailはすべてのAPIコールを保存するサービス • ログイン成功・失敗 • EC2起動・停止 • S3へのアップロード・ダウンロード •

    などなどすべて

38. CloudTrailで分析すること セキュリティグループがport:22 0.0.0.0/0になって ないか 不正なログイン・ログイン失敗がないか 許可されていないIAM User/IAM Roleが作成されて ないか パブリックになっているS3バケット・オブジェクトが

    ないか

39. CloudTrailのログ確認画面 何かあったとき軽く調べるにはいいが、定常的な監視には物足りない

40. 40 なにか起きてからではなく なにか起きる前に見つけたい

41. SumoLogicのCloudTrailダッシュボード すぐに利用可能な６種類のダッシュボード • AWS CloudTrail - Overview • CloudTrailの中で特に重要なログイン周りやリソースの削除等を表示 •

    AWS CloudTrail - Console Logins • ログインしているユーザのロケーションやMFAの利用状況、ログイン失敗等を表示 • AWS CloudTrail - User Monitoring • ユーザのアクティビティやAdminユーザのアクティビティを表示 • AWS CloudTrail - Network and Security • リソースへのアクセス失敗やNetworkALC・SecurityGroupなどの変更を表示 • AWS CloudTrail - Operations • どのAWSサービスやリージョンからAPIが呼ばれているか、リソースの追加削除を表示 • AWS CloudTrail - S3 Public Objects and Buckets • 公開されたバケットやオブジェクトが確認

42. 42 SumoLogicはダッシュボードが充実していて セキュリティに詳しくなくても 必要な箇所をすぐに確認できる

43. CloudTrail - Overview API呼び出し元ロケーション API呼び出しユーザランキング ログイン失敗回数 SG/NACL作成削除 各種リソース削除 各種リソース作成

44. CloudTrail – Console Logins ログイン元ロケーション 複数ロケーションからログインしたユーザ USA外ログイン ログイン成功(outlier) 時間あたりのログイン数 ユーザあたりのログイン数

45. 他にもいろいろデモ • ダッシュボードの使い勝手 • すべてのグラフの時間を変える(Last 24h, Last 7Days, This Weekとか)

    • グラフからログ検索へ • ログ検索画面 • グラフの切り替え • クエリ内容を変更 • ダッシュボードへの反映

46. ダッシュボード対応AWSサービス

47. AWS上でのSumoLogic利用用途 • セキュリティ関連サービス以外にも様々なメトリク ス・ログを取り込める • DevOpsにも利用されることが多い • CloudFrontやALBなどフロントアクセス、RDSや DynamoDBのデータ系のログなどもシステムの運 用監視に役に立つ

    • 「何を見るか」に合わせて柔軟に利用できる

48. まとめ • AWSセキュリティをより見ていくにはログ分析は必 要 • 簡単に始めるにはSumoLogicはすごく強力 • ダッシュボードを使うと必要な分析をすぐに始めら れる •

    LogReduceやLogCompareなど機械学習で快適に 分析できる • 様々なログ・メトリクス・イベントを統合して１箇 所で管理すると非常に楽

49. 49 ハンズオンセミナーやります！ ブログよりエントリーしてください！ https://dev.classmethod.jp/news/181017-sumologic/

50. 50 トライアルについて スペシャルフリートライアルプランをご用意しています 通常30日のトライアルを90日に延長します！ ご利用されたいお客様はお問い合わせください！

51. None