Slide 1
Slide 1 text
ゲーム、仮想通貨で導入が進む
SumoLogicのリアルタイムログ分析と
AWSセキュリティについて
SumoLogicジャパン株式会社
パートナー・セールス・ダィレクター 古根川哲也
クラスメソッド株式会社
ソリューションアーキテクト 臼田佳祐
Slide 2
Slide 2 text
自己紹介
臼田 佳祐
・クラスメソッド株式会社
・AWS事業本部
ソリューションアーキテクト
セキュリティチーム
・Security-JAWS運営
・好きなサービス:
AWS WAFマネージドルール
Slide 3
Slide 3 text
SumoLogicの話の前に
昨今のAWSを取り巻く
ログとセキュリティについて
イントロダクションします
Slide 4
Slide 4 text
ログがあふれる時代
• オンプレミスからクラウドに代わりインフラもAPI
で操作するようになりました
• 多くの作業が機械的・自動的に実行でき、これまで
ログがなかった部分でログがたくさん出ています
• アプリケーションもデプロイサイクルが短くなり、
様々なコンポーネントを組み合わせる事によりログ
が増大 + 複雑化しています
• 合わせてクラウドのメリットを享受して、無限のス
トレージにとりあえず貯めるようになりました
Slide 5
Slide 5 text
ログ活用できていない現状
• とりあえず貯めることのハードルが少なくなったお
かげで貯めていますが、ログが眠っていることも少
なくありません
• ログにフォーカスを当てましたが、メトリクスやイ
ベントもこれに含まれます
Slide 6
Slide 6 text
AWSセキュリティ面でのログ
セキュリティ的な面では日々AWSアカウントへの攻撃
やパブリックIPへの攻撃を受けており、大量の
CloudTrailなどで取得されるAPIログの中からそれを
見つけ、対処する必要があります。
AWSでログを扱うにはCloudWatchなどがあります。
これは非常に簡単に使い始めることができ一通りのロ
グ・メトリクスの確認に役に立ちます。
Slide 7
Slide 7 text
AWSセキュリティログ分析の課題
ただし、先述のようにログ量の増加や多数のフォーマッ
トのログを扱うにはややシンプルすぎます。
あっちのページでログを見て、こっちのページでメトリ
クスを見て、そっちの別のログを見て……辛いですね
これらのログやメトリクスを楽に扱うには、従来泥臭く
人がやっていたログをまとめる、ログの中から異常を見
つけることから脱却することが必要です。
Slide 8
Slide 8 text
そこでSumoLogic
SumoLogicはログ・メトリクス・イベントを一つのプ
ラットフォームでまとめて管理することができる
機械学習でログの絞り込みをうまいことやってくれる
何よりAWSサービスのログ分析ダッシュボードがデ
フォルトで用意されていて、すぐにログ分析を始めるこ
とができる
インテグレーションに優れている
Slide 9
Slide 9 text
それではSumoLogicさん
よろしくおねがいします
Slide 10
Slide 10 text
Thank You
Sumo Logic Confidential
この度はお忙しい中
お集まりいただき
ありがとうございます
Slide 11
Slide 11 text
Thank You
Sumo Logic Confidential
この度はお忙しい中
お集まりいただき
ありがとうございます
何故
『Sumo Logic 』
スモウ?
Slide 12
Slide 12 text
Thank You
Sumo Logic Confidential
この度はお忙しい中
お集まりいただき
ありがとうございます
何故
『Sumo Logic 』
スモウ?
『相撲取り』
のようにパワフル・俊敏
にデータを分析できる
ログ管理サービス
Slide 13
Slide 13 text
Thank You
Sumo Logic Confidential
この度はお忙しい中
お集まりいただき
ありがとうございます
何故
『Sumo Logic 』
スモウ?
『相撲取り』
のようにパワフル・俊敏
にデータを分析できる
ログ管理サービス
「SUUMO(スーモ)」
ではなく
「Sumo(スモウ)」です
Slide 14
Slide 14 text
ゲーム、仮想通貨で導入が進むSumoLogic
リアルタイムログ分析とAWSセキュリティ
SumoLogicジャパン株式会社
パートナー・セールス・ダィレクター 古根川哲也
Slide 15
Slide 15 text
Sumo Logic Confidential
Agenda
• クラウド上にログ管理を迅速に構築
• ログの統合
• クラウドシステムへの移行、パフォーマンスと可用性の改善
• セキュリティーの強化
• コンプライアンスとレポーティングの改善
Slide 16
Slide 16 text
Sumo Logic Confidential
ユースケース1 クラウド上にログ管理を迅速に構築
• 背景・課題
– クラウドにログ管理を構築したいがAWSのアプリケーションの設定を含めその
構築スキルと時間が不足している
– 短期間にログ管理環境を構築したい
• ソリューション
– SumoLogicはAWSアプリケーションに対応したアプリケーションカタログを多数
用意しており、検索条件、ダッシュボード等を作成しなくても直ぐ実装可能
Slide 17
Slide 17 text
Sumo Logic Confidential
Amazon CloudFront
AWS Lambda Amazon GuardDuty
Amazon VPC Flow Amazon S3
AWS ELBC & ELBA
AWS CloudTrail
AWS Config
ネイティブにAWSと連携
AWSアプリケーションやインフラのオペレーションとセキュリティ状態をリアルタイムに
可視化できます。
Amazon Inspector
Amazon ECS
AWS PCI Amazon RDS
Slide 18
Slide 18 text
『CloudTrailのセキュリティ監視をちょー簡単にやってみた』
https://dev.classmethod.jp/cloud/aws/cloudtrail-security-analytics-with-sumologic/
使い始めるのはちょー簡単でログを取り込む設定だけで終わり、その後多機能なダッシュボードで様々なセキュリティ監
視を行うことができます。
もちろんCloudTrailのログを手で頑張って分析してもいいですが、これだけ充実したダッシュボードがあるSumo Logicを
利用しない手はないと思います。このダッシュボードで見る場所は沢山ありますが、逆にCloudTrailを分析するための手
法が一通り揃っているので、Sumo Logicに任せてしまえば構築・検証などを通り越してすぐに1つのシステムで監視を始
めることができるのはかなりのメリットだと思います。
ぜひこれを利用してAWS環境のセキュリティ監視を始めてみてはいかがでしょうか?
AWSとの連携アプリケーションを検証されたSumoLogicパートナー様のブログ
をご紹介します。
ブログからの抜粋
Slide 19
Slide 19 text
Sumo Logic Confidential
ユースケース2 ログの統合
• 背景・課題
– 直近のアプリケーションはクラウドベースで運用
– しかしオンプレミスで導入したログ管理は依然として存在
– 容易にクラウドに移行できない状況
– データのサイロ化を生み出し、システム全体の可視化を疎外
• ソリューション
– 可視化に必要なオンプレミス、クラウドのログデータをSumoLogicで集中管理
– サイロ化したデータの集中管理・分析、システム全体の可視化を実現
Slide 20
Slide 20 text
Sumo Logic Confidential
ありとあらゆるプラットフォームからログを収集
オンプレミスで稼働するアプリケーションのログだけではなくクラウドサービスのログも収
集し、リアルタイムに解析できるツールです。
Slide 21
Slide 21 text
Sumo Logic Confidential
ユースケース3 クラウドシステムへの移行
• 背景・課題
– オンプレミスログ管理の性能、拡張性、可用性に課題
– 拡張時のダウンタイム、ピークに合わせたサーバーサイジングのコスト負担、
アクセスが集中した場合の性能低下を改善したい
• ソリューション
– データ保護とセキュリティ
– 大容量のログデータへの対応と性能
– 想定の10倍以上にデータがスパイクしても停止することなくデータを取り込み
– データのスパイクを吸収する柔軟な課金体系
Slide 22
Slide 22 text
Sumo Logic Confidential
運用コスト
• サービス利用料
• 設定作業
• トレーニング
運用コスト
• パッチ適用
• ダウンタイム対応
• IT運用担当者
• パフォーマンスチューニング
• アプリケーションカスタマイズ
• アプリケーションアップグレード
• ハードウェアアップグレード
• ネットワークアップグレード
• セキュリティアップグレード
• データベースアップグレード
クラウド
オンプレミス コスト構造
Slide 23
Slide 23 text
Sumo Logic Confidential
クラウド・セキィリティ検討事項への対応
No セキュリティ課題 対応
1 データ保管場所 データはAWSのインフラストラクチャに保持
2 データ保全 データセンター間で6回/日のデータレプリケーション
3 通信の安全 SumoLogicとの通信はHttpsプロトコルで保護
4 認証 ログイン時、PKI認証 (例 OneLogin等のSSOで認証)
5 データアクセス データアップロードは認証済ソース以外アクセス不可
6 リソースアクセス リソースへのロールベースのアクセスコントロール
7 データ暗号 暗号化されたデータのアップロード可
⇒復号化はアプリケーションで対応
8 サービス解約時 SumoLogic上のデータの削除を証明する、証明書の発行
Slide 24
Slide 24 text
Sumo Logic Confidential 2
許容量
拡張性
2,000+ 顧客
3億 +
日々の検索数
150 PB +
日々のデータ分析
500兆+
日々のクエリー数
業界トップのマシンデータ分析・許容能力
Slide 25
Slide 25 text
Sumo Logic Confidential
柔軟なクラウド・ライセンスを提供
Slide 26
Slide 26 text
Sumo Logic Confidential
ユースケース4 セキュリティの強化
• 背景・課題
– 社内外からの不正アクセスやインターネットからの攻撃によるシステム障害と
いったインシデントの原因特定には、ログ情報が不可欠
– ログを調査したくても、量が多すぎるとすべてのログを確認することは困難
– 不正アクセスなどのセキュリティイベントを自動的に把握し、外部のIOC(脅威
が存在することを示す痕跡)とマッチングして脅威判定、アラートをあげる仕組
みが必要
• ソリューション
– SumoLogicの機械学習機能で、大量のログから迅速に例外パターンを検出
– CrowdStrikeなどSumoLogicが提供しているアプリケーションカタログを使って
外部のIOC(脅威が存在することを示す痕跡)とマッチングし脅威判定と対処
Slide 27
Slide 27 text
Sumo Logic Confidential
大量のログデータから
ノイズを除去し少数の
問題パターンに縮減
Log Reduce
問題を調査・解決するた
めの平均時間
(MTTI/MTTR)を
90%削減
正常時と異常時の
ログを比較し、その差
を調査・分析
Log Compare
過去のある時点の
ログと比較
Outlier
Detection
ログの傾向から異常値
を検索
外れた数値を検知した
とき、異常値として通知
Predictive
Analytics
時系列データから将来
の数値を予測
プロアクティブにリスク
を削減
高度な検索: 特許権を持つ機械学習分析機能
Slide 28
Slide 28 text
Sumo Logic Confidential
デモ
Log Reduce & Log Compare
https://help.sumologic.com/Search/LogReduce
上記の動画を御覧ください
Slide 29
Slide 29 text
Sumo Logic Confidential
Out-of-Boxで、取り込み・分析・ダッシュボードが即使えます
アプリケーションカタログ
構成管理
コンテナー
負荷分散ネットワーク
SaaS
アプリケーション
インフラ
コンプライアンス&
セキィリティ
IaaS & PaaS
Slide 30
Slide 30 text
Sumo Logic Confidential
Slide 31
Slide 31 text
Sumo Logic Confidential
ユースケース5 コンプライアンスとレポーティングの改善
• 背景・課題
– コンプライアンス(法令順守)、ガバナンス(内部統制)の観点から、システム監
査の重要な情報であるログについても、改ざんされることなく確実に収集・保存
されるのはもちろん、有事に迅速な対応を取るため、解析の上、関係者へ通知
するような仕組みが必要
• ソリューション
– クラウド上のデート保護とセキュリティ
– SumoLogicのログ管理機能
– 短期間に実装・リリース
Slide 32
Slide 32 text
Sumo Logic Confidential
Sumo Logicのサービス
DEVOPS
ITインフラと
オペレーション
コンプライアンスと
セキュリティ
収集と集中化:数テラバイトものデータを収集し取り込み
検索と分析:リアルタイムに履歴検索を実行しイベントを相関付け
検知と予測:パターン、例外、異常検知
モニタリングと視覚化:アプリケーション、インフラを可視化
プロアクティブなアラート:リスク低減、問題の原因を可視化
Slide 33
Slide 33 text
Sumo Logic Confidential
Slide 34
Slide 34 text
即使え、短期間で価値を生み出す
使いたい!
Free Trial
申し込み
ご導入
無償ライセンス
に移行
有償ライセンス
に移行
スタート
• 30分ほどで申し込みが完了します。
• 30日間、無償で全ての機能が使えます。
• チュートリアルに沿って機能を確認できます。
• 必要に応じて、評価作業(POC)をご支援いたします。
• もしご要件の実現が確認できましたら即、有償ライセンスに移行
し、本番運用を開始できます。
• サーバープロビジョニング等は不要です。
• 30日間のFree Trialが終了しますと自動的に、機能が制限され
た無償ライセンスに移行されます。
Yes
Sumo Logicを使いたいと思ってから本番運用するまでの流れを以下に記します。
詳細は、『ライセンス&プライシング』章と『サポート&コミュニティー』章をご参照ねがいます。
Slide 35
Slide 35 text
Sumo Logic Free Trial サイト
https://www.sumologic.com/learn/training/
どれを選択しても
Enterprise機能が
提供されます
Australiaを選択
Slide 36
Slide 36 text
Thank You
Sumo Logic Confidential
Slide 37
Slide 37 text
AWSとのインテグレーションについて
代表としてCloudTrailを取り上げます
CloudTrailはすべてのAPIコールを保存するサービス
• ログイン成功・失敗
• EC2起動・停止
• S3へのアップロード・ダウンロード
• などなどすべて
Slide 38
Slide 38 text
CloudTrailで分析すること
セキュリティグループがport:22 0.0.0.0/0になって
ないか
不正なログイン・ログイン失敗がないか
許可されていないIAM User/IAM Roleが作成されて
ないか
パブリックになっているS3バケット・オブジェクトが
ないか
Slide 39
Slide 39 text
CloudTrailのログ確認画面
何かあったとき軽く調べるにはいいが、定常的な監視には物足りない
Slide 40
Slide 40 text
40
なにか起きてからではなく
なにか起きる前に見つけたい
Slide 41
Slide 41 text
SumoLogicのCloudTrailダッシュボード
すぐに利用可能な6種類のダッシュボード
• AWS CloudTrail - Overview
• CloudTrailの中で特に重要なログイン周りやリソースの削除等を表示
• AWS CloudTrail - Console Logins
• ログインしているユーザのロケーションやMFAの利用状況、ログイン失敗等を表示
• AWS CloudTrail - User Monitoring
• ユーザのアクティビティやAdminユーザのアクティビティを表示
• AWS CloudTrail - Network and Security
• リソースへのアクセス失敗やNetworkALC・SecurityGroupなどの変更を表示
• AWS CloudTrail - Operations
• どのAWSサービスやリージョンからAPIが呼ばれているか、リソースの追加削除を表示
• AWS CloudTrail - S3 Public Objects and Buckets
• 公開されたバケットやオブジェクトが確認
Slide 42
Slide 42 text
42
SumoLogicはダッシュボードが充実していて
セキュリティに詳しくなくても
必要な箇所をすぐに確認できる
Slide 43
Slide 43 text
CloudTrail - Overview
API呼び出し元ロケーション
API呼び出しユーザランキング ログイン失敗回数 SG/NACL作成削除
各種リソース削除
各種リソース作成
Slide 44
Slide 44 text
CloudTrail – Console Logins
ログイン元ロケーション
複数ロケーションからログインしたユーザ
USA外ログイン
ログイン成功(outlier)
時間あたりのログイン数
ユーザあたりのログイン数
Slide 45
Slide 45 text
他にもいろいろデモ
• ダッシュボードの使い勝手
• すべてのグラフの時間を変える(Last 24h, Last 7Days,
This Weekとか)
• グラフからログ検索へ
• ログ検索画面
• グラフの切り替え
• クエリ内容を変更
• ダッシュボードへの反映
Slide 46
Slide 46 text
ダッシュボード対応AWSサービス
Slide 47
Slide 47 text
AWS上でのSumoLogic利用用途
• セキュリティ関連サービス以外にも様々なメトリク
ス・ログを取り込める
• DevOpsにも利用されることが多い
• CloudFrontやALBなどフロントアクセス、RDSや
DynamoDBのデータ系のログなどもシステムの運
用監視に役に立つ
• 「何を見るか」に合わせて柔軟に利用できる
Slide 48
Slide 48 text
まとめ
• AWSセキュリティをより見ていくにはログ分析は必
要
• 簡単に始めるにはSumoLogicはすごく強力
• ダッシュボードを使うと必要な分析をすぐに始めら
れる
• LogReduceやLogCompareなど機械学習で快適に
分析できる
• 様々なログ・メトリクス・イベントを統合して1箇
所で管理すると非常に楽
Slide 49
Slide 49 text
49
ハンズオンセミナーやります!
ブログよりエントリーしてください!
https://dev.classmethod.jp/news/181017-sumologic/
Slide 50
Slide 50 text
50
トライアルについて
スペシャルフリートライアルプランをご用意しています
通常30日のトライアルを90日に延長します!
ご利用されたいお客様はお問い合わせください!
Slide 51
Slide 51 text
No content