[re:Invent2024] SecurityLake・OpenSearchの連携に関する新機能発表セッションに参加しました!(Accelerate security analytics across hybrid environments with AWS)
みなさん。こんにちは。
サイバーセキュリティクラウドの小川と申します。
現在、開催されているAWS最大のイベントである「re:Invent2024」にて発表されたOpenSearchとSecurityLakeの統合機能についてのセッションについてレポートをしていきたいと思います!
私は、現在「CloudFastener」というサービスのPMをしており、CloudFastenerはSecurityLakeのパートナー認定をされているプロダクトになります。
私自身、日々の業務の中で、SecurityLakeを活用したセキュリティログの統合・分析を行っていることもあり、非常に興味深いセッションでしたが、これからSecurityLakeを活用したAWSのセキュリティログ統合・分析を行っていきたい方々にとっても有益な情報が多く含まれているセッションでしたので、私の所感も交えながらレポートしてきたいと思います。
セッションサマリー
AWSのセキュリティサービス「Amazon Security Lake」と「Amazon OpenSearch Service」を活用して、ハイブリッド環境でのセキュリティ分析を加速させる方法について発表されました。以下、主なポイント。
課題の明確化
複数のソースや環境からのデータ収集と管理の複雑性。
ログとアラートのフォーマットの統一、ETL(抽出・変換・ロード)の煩雑さ。
データ量増加に伴うコストと効率のトレードオフ。
新しいソリューションの発表
Zero ETL 統合:Security LakeとOpenSearch間でETLプロセスを不要にし、リアルタイムでデータクエリと分析が可能。
オンデマンドインデックス:必要なデータだけを効率的にインデックス化し、コスト削減を実現。
標準化されたデータ管理
Open Cybersecurity Schema Framework (OCSF) を採用し、データをベンダーに依存しない形で統一。
データ管理の自動化と効率化により、セキュリティ運用に集中可能。
活用事例とデモ
OpenSearchを活用したダッシュボード作成、VPCフローログやWAFログの可視化、クエリの効率化をデモンストレーションが実施されました
200以上の事前構築クエリとダッシュボードで即時分析を可能に。
顧客への利点
セキュリティデータの民主化により、自由な分析ツールの選択が可能。
サーバーレスのアーキテクチャでスケーラブルかつ簡単に運用できる。
所感・感想
SecurityLakeとOpenSearchがETL処理無しで統合することができるようになったことで、格段に利用がしやすくなった印象です。
SecurityLakeは非常に簡単にセキュリティログの集約ができる一方で、その分析基盤を構築する難易度の高さが1つのハードルでしたが、今回の発表によりそのハードルはかなり下がると思います。
今までSecurityLakeの利用を分析基盤の統合の面で手をこまねいてた方にとっては朗報だと感じました。
一方で、OpenSearch自体の保守はそれなりの工数・コストがかかっていくものであるため、長期的な保守コスト・人的コストをどう考えていくかがポイントになります。※これはSecurityLake直接的に関係なく、SIEMの保守・運用そのものの課題です
speakers
・Abhi Khanna, Product Manager, Amazon Inc
・Theodora Karali, Sr. Mgr Product Management, Amazon
・Ross Warren, Product SA, Security Lake, AWS
よもやま話
スピーカーのRoss Warren氏とは、2023年のre:InforceでSecurityLakeについて会話しており、当時はSecurityLake自体の意義や方向性の解像度を上げることができていませんでした。そこから約1年後に、CloudFastenerへ組み込み、活用し、SecurityLakeのパートナーを取得できたことは感慨深かったです。
これからもSecurityLakeの進化とともに、CloudFastenerもより進化させていきたいと思います。
