はじめに

こんにちは。クラウドセントリック株式会社の髙橋 健斗です。

現在、私が参画しているプロジェクトでAWS Security Lakeを活用する機会があり、その便利さを実感しました。そこで、本記事ではSecurity Lakeの概要や導入の価値、実際に使ってみて感じたポイントを整理してご紹介します。

「セキュリティログを効率的に管理するには?」
「Security Lake を導入すると何が変わるのか?」

こうした疑問を持つ方に向けて、組織全体(Organizationsを利用)でのセキュリティログの統合・管理におけるメリットを考察していきます。

AWS Security Lake とは?

Security Lakeは、セキュリティ関連のログデータを一元管理し、分析しやすい形で提供するサービスです。

<参考URL>Security Lakeとは

導入することで、セキュリティ運用の効率が上がり、コストも最適化しやすくなります。

では、Security Lakeを導入すると何が良いのか?導入しないと何が大変なのか?
ポイントを分かりやすく解説していきます!

導入の価値

  1.  セキュリティデータを統合管理! → 分散ログの管理が不要に

    AWSには、CloudTrail、VPC Flow Logs、GuardDuty、Security Hubなど、いろいろなログが存在します。
    Security Lakeを使えば、これらを1つのデータレイクにまとめて管理できます!

    導入しない場合は…

    • それぞれのサービスごとにログを管理しないといけないので管理が煩雑。
    • 手作業でログを収集・統合する必要があり、セキュリティインシデントの調査も手間がかかる。

  2. データ整形の自動化!→ SIEM・分析しやすい

    Security Lakeは、ログを統一フォーマット(OCSF)に変換してくれるので、
    Splunk, Sentinel, QRadar などのサードパーティツールや SIEM on Amazon OpenSearch Service、Athenaで可視化、分析、調査がそのまま可能!

    導入しない場合は…

    • ログのフォーマットがバラバラなので、データの変換処理を開発する必要あり。
    • SIEMとの統合時にカスタムパーサーが必要になり、開発・運用コストが増える。

  3. コンプライアンス対応の負担を削減!

    Security Lakeを使えば、ログを一元管理できるので、監査対応がスムーズに。
    データの保持ポリシーも統一しやすくなります。

    導入しない場合は…

    • 監査時に手作業でログを収集・整理する必要があり、負担が増加。
    • どのデータがどのサービスに保存されているか、管理が複雑化。

  4. 管理が楽!

    Security LakeはAWSマネージドサービスなので、
    S3やLake Formationなどと連携して、簡単にセットアップ&運用可能!

    導入しない場合は…

    • 各AWSサービスのログを手動で収集するスクリプトを作る必要あり。
    • SIEMとの連携や可視化をするために、余計な開発・設定作業が発生する。

  5. コスト最適化がしやすい!

    Security LakeはS3を基盤にしているので、従来のSIEMよりストレージコストが安く済みます。
    Athenaでログ分析すれば、従量課金でムダなくクエリ実行も可能!

    導入しない場合は…

    • SIEMやデータレイクを自前で構築すると、ストレージ&クエリコストが高騰する可能性。
    • データを外部に転送すると、エグレスコスト(データ転送費)が発生することも。

使ってみた

具体的にどのように導入するのか確かめていきます。
なんとコンソール上からわずか3ステップでデプロイできます!
(この手軽さも工数の削減にも繋がるため、嬉しい点かもしれません。)

まずは、Security Lakeのコンソールを開きます。
(Organizations環境の場合は、管理アカウントから委任)

ステップ1. 収集目標を定義

まず「開始方法」をクリックすると、収集目標を定義できます。

収集するリソースを定義します。サポート対象のソースは以下の通りです。

「Security Hub」とも統合されているので、検出結果として様々なログを取得することが可能です。
あまりに膨大になってしまうログや、別のリソースで管理する予定のログは導入の検討が必要になっていくかと思います。

現時点での選択可能リージョンは東京リージョン、大阪リージョン、バージニア北部リージョンなど全部で17リージョンで利用可能です。

次に、対象となるアカウントを選択します。
「新しい組織アカウントのSecurity Lakeを自動的に有効にする」にチェックを入れると、
払い出されたアカウントのログも自動で集約し一元化することができるので非常に便利です。

ステップ2. ターゲット目標を定義

ロールアップリージョンを指定すると、指定した提供元リージョンから指定したリージョンへデータがレプリケーションされます。

そこにログを集約することで分析、SIEMツールとの連携も簡単にすることができます。
また、大量のログが溜まっていくため、ライフサイクルルールを適切に設定することも重要になると思います。

ステップ3. 確認及び作成

有効化すると…

「aws-security-data-Lake-*」から始まるバケットが指定したリージョンへ作成されます。
そして以下のようにパーティッション化も自動でされ、データ形式もOSPF互換のParquetに整形してくれています。

気づき

  1. セットアップの簡便性

    • AWS Management Consoleから簡単に設定でき、ログの収集を自動化できる点は魅力的でした。

  2. Athenaとの相性の良さ

    • Amazon Athenaとの統合により、ログデータをSQLで簡単に分析できるため、特にSIEM ツールを導入していない環境でも十分に活用可能。

  3. コスト管理の重要性

    • 保存するログの量が多くなるとS3のストレージコストが増加するため、適切なライフサイクルポリシーを設定することが重要。

感想

簡単なステップでセキルティログの基盤を作ることが可能ですが、カスタマイズは少し難しいと感じました。作成されたバケットはLake Formation、Glueとも統合されているので、様々なメリットを享受できる一方で、サービスリンクロール、Lake Formation管理者、Glueリソースポリシー、テーブル、データベース等の様々な権限が入り組んでいるため、煩雑になりやすいです。

それぞれのサービスの役割の理解を深め、サブスクライバー等のネイティブの機能を積極的に利用することで、マルチアカウント環境でも柔軟にSecurity Lakeを利用することができるでしょう。

まとめ

AWS Security Lakeは、セキュリティログを統合管理し、分析の効率化を支援する強力なサービスです。組織としてセキュリティ体制を強化するための重要なツールとなるため、AWS環境でのセキュリティ管理に課題を抱えている場合は、導入を検討する価値があると思いました。