検索
連載

AWSが突如リースした「Amazon Security Lake」を使うと何ができるのか

サイバー攻撃者の動きが組織的、長期的になるにつれて、ユーザー側ではさまざまな予兆データを組み合わせて対策する必要がでてきた。だが、予兆データは複数の機器やサービスに分散しておりデータ形式も異なるため、まとめて処理することが難しい。AWSはこの現状を打破するデータレイクを発表した。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 Amazon Web Services(AWS)は2022年11月29日、データレイク「Amazon Security Lake」を発表した(注1)。これは企業が複数のソースからセキュリティ関連データを集約できるように設計された専用のデータレイクだ。

セキュリティの維持にどう役立つのか

 AWSのアダム・セリプスキー氏(CEO)は「AWS re:Invent」(2022年11月28〜12月2日開催)の基調講演で同サービスを次のように紹介した。

 「Amazon Security Lakeによって顧客はデータレイクを構築し、PB(ペタバイト)規模のセキュリティデータを自動的に収集、結合、分析可能になる。セキュリティデータは通常、アプリケーションやファイアウォール、IDプロバイダーなど環境全体に散在している(そのため収集や結合、分析が難しかった)」(セリプスキー氏)

 「ビジネス環境で(サイバー攻撃者の)『協調的な悪意ある活動がある』といった洞察を得るには、これらのデータを全て収集して集約しなければならない。脅威の検出や調査、インシデント対応をサポートするために使用する全ての分析ツールにアクセス可能にする必要もある。さらにデータパイプラインを更新して、イベントの進展に合わせて継続的に実施しなくてはならない」(セリプスキー氏)

複数のデータソース間でデータを共有しやすくする取り組みが始まった

 サードパーティー製のセキュリティツールやサービスを利用する場合、ユーザーは独自のデータ形式や互換性のないデータ形式に直面することがよくある。

 AWSとの緊密な統合があるサードパーティーソースを使っていたとしても、これらのソースは断片的なデータやログを生成する。そのため、ユーザーは潜在的な脅威を包括的に発見することが難しい。

 AWSと他の複数のベンダーは、複数のソース間でデータを共有するための普遍的なモデル「Open Cybersecurity Schema Framework」(OCSF)を作り上げた。データの混乱に秩序をもたらすためだ。

 AWSによると、Amazon Security LakeはAWSとSplunkが設立したプロジェクトであり、2022年8月の発表以来(注2)、60の組織から200以上の貢献が集まった。Amazon Security LakeはOCSFをサポートする最初のサービスだという。

 OCSFの取り組みの結果、AWSの顧客は「AWS Security Hub」や「Amazon GuardDuty」などのAWSセキュリティツールからセキュリティテレメトリーデータを収集可能になり、加えてCisco SystemsやCrowdStrike、Palo Alto Networksが提供するデータや、さらに50以上のセキュリティツールが提供するサービスからデータを取得してたやすく分析できるようになる。

 セリプスキー氏はオンプレミスのインフラや社内のアプリケーション、ネットワークインフラのログなど、さまざまなデータソースをAmazon Security Lakeに取り込むことができると述べる。Amazon Security Lakeは、AWS以外にも他のベンダーが提供するツールでデータを照会できる。

 「私たちは、セキュリティは『チーム』だと認識している。ある特定のAWSバケット(クラウドストレージ「Amazon Simple Storage Service」《Amazon S3》に保存されているオブジェクトのコンテナ)を使用している全てのユーザーを明確に把握し、その中に悪意のあるサイトに接続したユーザーがいるかどうか、つまり、データを危険にさらす可能性があるかどうかを判断する」(セリプスキー氏)

 Amazon Security Lakeは「Asia Pacific(Tokyo)」など、AWSの7つのリージョンでプレビュー利用が可能だ。

© Industry Dive. All rights reserved.

ページトップに戻る