セキュリティ運⽤って包括的にできていますか？ SaaSを使って次のステップへ 2024/11/21 アライアンス事業部 酒井 剛

2 ⾃⼰紹介 酒井 剛（Takeshi Sakai） クラスメソッド株式会社 ⼤阪オフィス所属 アライアンス事業部 ソリューションエンジニア セキュリティ系SaaS製品 Splunk、Cloudflare Zero Trust 前職では、インフラエンジニア  → サイバーセキュリティエンジニア 趣味：ケーキ作り(前前職パティシエ)、キャンプ 本⽇のスイーツ：タルト‧アマンディーヌ            （仏語 ）アーモンドの焼き菓⼦

3 ⽬次 ● AWSのベストプラクティスから⾒る「検出」 ● AWSの「検出」を強化する AWS のネイティブサービス ● 新たな課題と、Splunk Cloud による解決案

4 本⽇のゴール ● 「検出」を強化するための⼿段について知っていただくこと ● SIEM 製品の使い所や検討のしどころの感覚をもっていただくこと

5 ビジネスで要求されるセキュリティ課題 品質管理プロセスとセキュリティ 法律や業界コンプライアンスに 遵守しているか 脅威（攻撃）に「気づく」「 対処」が可能か？ = サイバーレジリエンス コストの可視化

6 Are you Well Architected? AWS のベストプラクティスとは

AWS Well-Architected フレームワーク 7

8 AWS Well-Architectedとは クラウド（AWS）アーキテクチャの設計における ベストプラクティスをまとめたフレームワーク ６つの柱 ● 運⽤上の優秀性 ● セキュリティ ● 信頼性 ● パフォーマンス効率 ● コスト最適化 ● サステナビリティ

9 AWS Well-Architected フレームワーク https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/sec-detection.html

AWS Well-Architected フレームワーク つまり、 ログ 『検出』 10

11 AWS Well-Architected フレームワーク https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/sec-04.html

12 SEC 4. セキュリティイベントをどのように 検出して調査するのですか？

SEC 4. つまり、 ログ つまり、第⼀に ログ 13

14 AWSの「検出」を強化するログ AWS CloudTrail Amazon VPC フローログ Amazon Route53 リゾルバログ Elastic Load Balancing ログ AWS WAF ログ EC2、アプリケーションログ など アラートログ AWS Config Amazon GuardDuty AWS Security Hub Amazon Macie Amazon Inspector など その他利⽤しているAWSサービスのロ グ OS、アプリケーションログ

15 これらのログは何のために必要か セキュリティ監視、フォレンジック調査、法的要件、コンプライアンス監査

16 これらのログは何のために必要か ログは重要です。 取得対象とするログ、ログの保管要件、どこに保管するかを決めてログを取り ましょう。

17 これらのログは何のために必要か ただし、ログはどんどん増えます。 必要なもの（⾒たいもの）に限って、収集してください。 ⼤事！！

18 AWSの「検出」を強化する （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など ログソース データプロセッシング

19 AWSの「検出」を強化する 「検出」には、信頼性の⾼いストレージへの保管や データの統計処理を⾏うための正規化も重要

20 AWSの「検出」を強化する （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など データレイク ログソース ログの保存 正規化 データウェアハウス データプロセッシング

21 AWSの「検出」を強化する （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など データレイク ログソース ログの保存 正規化 データウェアハウス データプロセッシング AWS Glue Amazon Security Lake Amazon S3

22 ログの保存と正規化をサポートする AWS ネイティブサービス ● Amazon S3（ログの保存） ○ 安価で信頼性が⾼い ○ ストレージクラスを使って、コスト最適化 ● AWS Glue（正規化） ○ ETL処理を⾏うマネージドサービス ● Amazon Security Lake（ログの保存 + 正規化） ○ セキュリティに関連するデータの保管と正規化 ○ OCSF形式にフィールドは抽出され正規化される

23 AWSの「検出」を強化する （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など データレイク ログソース ログの保存 正規化 データウェアハウス データプロセッシング AWS Glue Amazon Security Lake Amazon S3 （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など マルチアカウント戦略 AWS Organizations

24 AWSの「検出」を強化する ログを収集、コンプライアンス要件に沿った⽇数でストレージに保存できた。

25 AWSの「検出」を強化する で満⾜していませんか？

26 AWSの「検出」を強化する データレイク 分析 ログソース ログの保存 正規化 アラート ログの活⽤ 可視化 セキュリティ監視 （リアルタイムな 分析‧可視化） AI/ML データウェアハウス リアルタイム性 データプロセッシング AWS Glue Amazon Security Lake Amazon S3 （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など マルチアカウント戦略 AWS Organizations リアルタイム性の⾼い可 視化 複数のログソースから脅 威を検出

27 AWSの「検出」を強化する データレイク 分析 可視化 セキュリティ監視 （リアルタイムな 分析‧可視化） データウェアハウス リアルタイム性 Amazon OpenSearch Service (SIEM on Amazon OpenSearch Service) AWS CloudTrail Lake        AWS Glue Amazon Security Lake Amazon S3 ログソース ログの保存 正規化 アラート ログの活⽤ AI/ML データプロセッシング Amazon CloudWatch Amazon Detective Amazon Athena Amazon QuickSight （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など マルチアカウント戦略 AWS Organizations

28 ログの活⽤をサポートする AWS ネイティブサービス ● AWS CloudTrail Lake（分析 + 正規化 + ログの保存） 向いているところ ○ CloudTrail イベント、AWS Config の設定項⽬については、イベントデータストアを作成す るだけですぐに分析を始めることが可能 ○ CloudTrail イベントは豊富なサンプルクエリが⽤意されていてユースケースの広がりが◎ 向いてないところ ○ ログソースが限定的

29 ログの活⽤をサポートする AWS ネイティブサービス ● AWS Glue + Amazon Athena + Amazon QuickSight（正規化 + 分析 + 可視化） 向いているところ ○ S3などに保管したデータを Athena で分析し、結果を QuickSight で可視化 向いてないところ ○ リアルタイムデータ分析が苦⼿ ○ ⾮構造化データは AWS Glue の独⾃のカスタム分類⼦を⽤意するのが困難な場合も

30 ログの活⽤をサポートする AWS ネイティブサービス ● Amazon CloudWatch Logs + Amazon CloudWatch（分析 + 可視化） 向いているところ ○ ほぼ全てのAWSサービスから直接データ取り込み、リアルタイムデータ処理が可能 ○ CloudWatch Agentを利⽤して、サードパーティーやオンプレミスのログ取り込みも可能 向いてないところ ○ 正規化されていないので、⾮構造化データの分析が困難 ○ ヘビーに利⽤すると割⾼

31 ログの活⽤をサポートする AWS ネイティブサービス ● Amazon OpenSearch Service = SIEM on Amazon OpenSearch Service 向いているところ ○ AWS CloudFormation か AWS CDK を使ってデプロイ ○ Lambda関数 es-loader を使って、AWS以外のログもある程度のものは正規化サポート ○ AWSサービスとの統合に強く、ビルトインのダッシュボードも豊富 （向いてないところ） ○ 基盤の運⽤が必要（アップデート、冗⻑化、パフォーマンス） ■ ※いくつかの制限はあるものの Amazon OpenSearch Service Serverless も利⽤可

32 AWSの「検出」を強化する ● ログの活⽤にも段階がある。 ● 分析‧可視化は、簡易な検索機能、サービス単位の部分的な可視性があれば実現可 能。 ● セキュリティ監視は、リアルタイム性や複数のデータソースを関連付ける相関分析 が求められるため、SIEM 機能を持ったソリューションが望ましい。

33 AWSの「検出」を強化する データレイク 分析 可視化 セキュリティ監視 （リアルタイムな 分析‧可視化） データウェアハウス リアルタイム性 Amazon OpenSearch Service (SIEM on Amazon OpenSearch Service) AWS CloudTrail Lake        AWS Glue Amazon Security Lake Amazon S3 ログソース ログの保存 正規化 アラート ログの活⽤ AI/ML データプロセッシング Amazon CloudWatch Amazon Detective Amazon Athena Amazon QuickSight Amazon SageMak er Amazon EventBrid ge （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など マルチアカウント戦略 AWS Organizations

34 AWSサービスだけで「検出」を考えた時の課題 ● 考慮することが多く、複雑 ● 扱えるデータの網羅性に限りがある ○ オンプレミスとのハイブリッド、マルチクラウド ● セキュリティ分析のためのナレッジが限定的

35 SaaSによる課題解決（なぜSaaSなのか ● 運⽤が楽、インフラを持つ必要がない ● 事前構築されたダッシュボードがある ● ベンダーロックインを回避し、様々なベンダー‧製品と連携できる

36 SIEMとしてのSplunk Cloud ● 分析プラットフォーム ○ ログの集約 ○ アップデート‧冗⻑化‧スケールなどの基盤の管理は不要 ● 構造化データ‧⾮構造化データの取り扱いに強い ● 相関分析‧検出ナレッジが豊富 ○ ガートナーマジッククアドラントで2014年から10年連続リーダー ● マルチクラウド、ハイブリッド環境など総合的にセキュリティ監視

37 組織全体の「検出」を強化する データレイク 分析 ログソース ログの保存 正規化 アラート ログの活⽤ 可視化 セキュリティ監視 （リアルタイムな 分析‧可視化） AI/ML データウェアハウス リアルタイム性 データプロセッシング Splunk Cloud Azure, Google Cloud オンプレミスログ （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など （ログ） AWS CloudTrail Amazon S3アクセスログ VPCフローログ Amazon Route 53 ELB AWS WAF AWS Config Amazon EKS監査ログ Amazon RDS Amazon EC2 など マルチアカウント戦略

38 統合データ分析プラットフォーム ● ⼀元的にログを収集（オンプレミス、クラウド、SaaS） ○ HTTP Endpoint Collector（HEC） ○ API連携 ○ エージェント収集 ○ ネットワークパケット ○ 外部データソース（RDBMS、Hadoop） ○ AWS のログソースは Data Manager を使って簡単セットアップ ○ etc. （あらゆるデータソース）

39 Data Manager で３⼤クラウドの IaC を⾃動⽣成 ● ３⼤クラウドのデータ連携のためのクラウド（IaaS）側のリソースの作成や設定を IaC で⼀発構築 ○ AWS: AWS CloudFormation ■ マルチリージョン、マルチアカウント対応 ○ Microsoft Azure: Azure Resource Manager ○ Google Cloud: Terraform ● AWS とのセットアップは下記のブログでも紹介 Data Manager を使ってクラウド環境のログを簡単に収集する！#Splunk Cloud

40 統合データ分析プラットフォーム ● フィールドの抽出‧正規化 ○ Add-on（Splunkの拡張機能） ○ 正規表現の⾃動認識サポート（フィールド抽出） ○ Splunk Common Information Model (CIM) で正規化 ■ （認証、アラート、変更、ネットワークトラフィック、アセットなど の分析観点） 2800 +

41 CIMを使って正規化、そして相関分析 Splunk の CIM (Common Information Model) の使い⽅と CIM 対応 App について理解する CIMを設定して、相関分析ができる App を使って可視化する

42 マルチクラウドの可視化 ● AWS、Microsoft Azure、Google Cloud の３⼤クラウドを⼀つの分析観点で可視化 ○ それぞれのクラウド毎に確認するのではなく、マルチクラウド全体で共通の分析観点 （認証、アラート、変更、ネットワークトラフィック、アセットなど） ○ 全体可視化から、エンティティ（ユーザーやホストなど）起点にドリルダウンしてどのリ ソースでのセキュリティイベントかを特定 → 相関分析 ● ３⼤クラウドのコストも⼀元可視化

43 マルチクラウドの可視化 InfoSec Multicloud の機能や利⽤の仕⽅について知りたい⽅ マルチクラウド環境をSplunkで可視化分析してみた！

44 マルチクラウドの可視化 ● AWS、Microsoft Azure、Google Cloud ごとで可視化‧分析することももちろん可能 AWS Microsoft Azure Google Cloud

45 Amazon Security Lake のサブスクライバーとして ● Amazon Security Lake のサブスクライバーとしての Splunk Cloud ○ OCSF (Amazon Security Lake) vs CIM (Splunk) ではない ○ 複数のデータフォーマットを扱えることで データレイク を 分散 させることもできる

46 Amazon Security Lake のサブスクライバーとして ● OCSFで正規化されたデータはそのまま、Splunk の検知ルールを使って、脅威検知 AWS ユーザーモニタリング ● AWS Excessive Security Scanning AWS Identity and Access Management アカ ウント乗っ取り ● AWS Multi-Factor Authentication Disabled ● AWS New MFA Method Registered For User ● AWS Concurrent Sessions From Different Ips AWS IAM 権限昇格 ● AWS IAM Delete Policy ● AWS IAM Failure Group Deletion ● AWS IAM Successful Group Deletion AWS 防御回避 ● AWS Defense Evasion Delete Cloudtrail ● AWS Defense Evasion Delete CloudWatch Log Group ● AWS Defense Evasion Impair Security Services ● AWS Defense Evasion Stop Logging Cloudtrail ● AWS Defense Evasion Update Cloudtrail DevSecOps ● AWS ECR Container Upload Outside Business Hours ● AWS ECR Container Upload Unknown User

47 Amazon Security Lake のサブスクライバーとして ● OCSFで正規化されたデータをCIMに正規化し直すことも可能（OCSF-CIM Add-On for Splunk） ● Amazon Security Lake と Splunk の連携がより柔軟に ○ Splunk で相関分析のための App が利⽤できるようになる ○ InfoSec App ○ Multi-cloud InfoSec App ○ Splunk Enterprise Security AWS re:Inforce 2023 - Get the most out of Splunk Enterprise, OCSF & Amazon Security Lake (PRT233-S) OCSF 🤝 CIM

48 他製品との棲み分け SIEM on Amazon Open Search ● ⽐較的ローコストでの開始が 可能 ● AWSとの統合に強み ● OpenSearch（オープンソー ス）から派⽣していて、オー プンソース志向のエンジニア 向き Splunk ● セキュリティ、IT、アプリ ケーションの統合可観測性プ ラットフォームとしてさまざ まなデータを統合 ● Federated Analysis for S3 な どの分散データレイク環境の 分析をサポート ● SOAR（オペレーションの⾃ 動化）と統合、対応含めた幅 広いユースケースの強化 ● UIやダッシュボードのカスタ マイズ性が⾼い Microsoft Azure Sentinel ● その他のMicrosoftセキュリ ティ製品とのネイティブ統合 （CASB、アイデンティ ティ、エンドポイント、ネッ トワーク、UEBA、SOAR） ● Azure との連携に強いため、 Azure 利⽤が多いユーザーと の相性が良い ● MicrosoftのSecurity Copilot には、インシデント対応や他 のMicrosoftツールとの統合の 計画 ※あくまで個⼈的な主観を基に作成した特徴となります。

49 まとめ ● どんな時に SIEM 製品を検討したら良いのか？ ○ 「検出」にはログが必要 ○ ログの活⽤ は共通の課題 ○ サイバーレジリエンス能⼒の向上を⽬指すならセキュリティ監視ができることが⽬安 ○ セキュリティ監視を⾏うには SIEM の機能はあってほしい

50 SIEM製品あるある ログ分析を含むセキュリティは、継続的に運⽤、改善していくことが重要です。 こんな お悩み ありませんか？ 導⼊フェーズ ● ツールの使い⽅やベストプラクティスについて学びたいが、どこから始めたらいいか分からない し、時間がかかりそう ● 代表的なログ取り込み⽅法について教えてほしい ● 運⽤ユースケース開発のコツや、アラート作成のコツについて教えてほしい 運⽤フェーズ ● 導⼊時のユースケースから広がりがなくデータの利活⽤が進んでいない ● ログ分析に関する新たなニーズに対応したいが何から取り組んだらいいか分からない ● ⾃社固有の環境を理解してもらった上で、ログの取り込み⽅法などについて相談したい

51 クラスメソッドのSplunk導⼊‧運⽤技術⽀援 ⽀援項⽬ 概要 オンボーディング⽀援 Splunk を構築‧運⽤するための必須の知識を学ぶためのハンズオントレーニングを提供し ます。トレーニングに加え、データ取り込み‧運⽤ユースケースの開発を伴⾛型で⽀援し、 お客様の早期運⽤開始を⽬指します。 構築⽀援 ログ分析に関わるお客様ごとの課題に応じた、要件定義から設計、環境構築、ダッシュボー ド構築やアラートの設定など、運⽤開始までの構築作業をワンストップで⽀援いたします。 運⽤技術⽀援 お客様の運⽤フェーズの中で、⽇々変化するデータに対する分析⽅法を提案します。ログ分 析活⽤の中期計画において、運⽤の⾒直しとログ活⽤の成熟度を向上するための⽀援を⾏い ます。 導⼊ ⾼度な データ利活⽤ データ利活⽤初期 導⼊フェーズ 運⽤フェーズ オンボーディング⽀援 運⽤技術⽀援 構築⽀援

No content