【AWS re:Invent 2024】Unlocking security outcomes with Amazon Security Lake セッションレポート
re:Invent2024
株式会社サイバーセキュリティクラウド
投稿日:2025/03/13
AWS re:Invent 2024の 2日目に開催された、Unlocking security outcomes with Amazon Security Lakeというタイトルのセッションのレポートをお届けします。
本セッションの概要
CloudFastenerはお客様環境のSecurity Lakeと連携することでセキュリティに関わるイベントやログのデータを収集しています。
Security Lakeは当社にとって必要不可欠なAWSサービスですので、注目して聴講しました。
本セッションは2名のスピーカーがプレゼンしつつ、合間で参加者に質問を投げかけていくChalk talkの形式でした。80席あったのですが満席。セキュリティに対する皆さんの関心の高さが伺えました。
それぞれ詳しく紹介していきます。
既存のセキュリティデータ管理の課題とOCSFについて
セキュリティデータはベンダーごとに異なる形式で出力されてしまっていたので、データを分析するセキュリティアナリストはその差異を解釈し、適宜データの変換や正規化を施す作業が必要でした。セキュリティチームにとってこれは非効率なだけでなく、本来のセキュリティ脅威への分析や対応の業務に集中することができませんでした。
OCSFはOpen Cybersecurity Schema Formatの略で、簡潔に言うと異なるベンダーのセキュリティデータを標準化・正規化するためのオープンソースフレームワークです。現在、900以上の貢献者と200以上の組織が参加しているとのこと。OCSFはベンダーごとに異なる表現を標準化・正規化して統一を図っています。また階層構造のデータモデル(カテゴリ、クラス、オブジェクト、属性)を採用しているので、データの関係性が理解しやすく分析時のクエリを効率的に行うことができます。
Amazon Security Lakeの紹介
Amazon Security Lakeはセキュリティに関連するデータを一箇所に収集して管理することができるサービスです。
データ収集時にOCSF形式に自動的に変換されるので、利用者は統一されたスキーマで検索することができます。
データを取り込む際にApache Parquet形式に変換することで元データの70〜90%のサイズに圧縮しているとのこと。これらのデータはApache Icebergのテーブルで管理されており効率的な検索を実現しています。
マルチアカウント・マルチリージョンをサポートしており、複雑なデータパイプラインを自動で構築・管理してくれます。
弊社はSecurity LakeのパートナーとしてAWSに認定されており、パートナー企業一覧のスライドでCSCのロゴが掲載されておりました。
Apache Icebergについて
Apache IcebergはSecurity Lakeの基盤となるテーブルの形式です。
S3バケットに出力されたApache Parquetファイルをメタデータで管理することで効率的な検索を実現しています。
動作デモとして、Athenaを使ってS3バケット上のParquetファイルを普通に検索した場合と、Lake FormationのIcebergのテーブルに同じクエリを投げた場合の検索応答の比較が行われ、Icebergのほうが断然速かったです。
Security LakeとOpenSearchのzero-ETL連携
re:Invent 2024の初日に、Security LakeとOpenSearchのzero-ETL連携の発表がありましたが、本セッションでも触れていました。
本機能を用いることで、OpenSearchダッシュボードから複雑なETLパイプラインを組むことなく、Security Lakeに格納されたセキュリティデータを検索することができるようになります。
Indexビューを作成して一部のデータをあらかじめOpenSearchクラスタ側に取り込んでおくことで、検索条件を変えて何度もクエリをかけたいときに検索効率が向上します。
実際にOpenSearchダッシュボードを用いて、Security Lakeとzero-ETL連携されたLake FormationテーブルにSQLクエリを投げる動作デモをしてくれました。
まとめ
クラウドのセキュリティの重要性が年々増していく中、複数のツールやSaaSが出力する異なる形式の膨大なデータの管理は、システム管理者とセキュリティ業務に関わるエンジニアの頭を悩ませる要因のひとつでした。
Security Lakeを利用することで、複雑なパイプラインを構築することなくデータを一箇所に集約してガバナンスを効かせ、統一されたスキーマで効率良くセキュリティに関わるデータを検索することができます。
今回発表されたzero-ETL連携を用いることでOpenSearchから手軽にSecurity Lakeのデータを検索できるようになりましたので、すでにOpenSearchをログ分析基盤にしている企業にとっては朗報かと思います。
関連ページ
こちらのブログもご覧ください
-
【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty セッションレポート
re:Invent2024
AWS re:Invent 2024で開催された、「Uncovering sophisticated cloud threats with Amazon GuardDuty」 のセッションのレポートをお届けします。
詳細をみる
-
【AWS re:Invent 2024】 Threat detection and response using AWS security services セッションレポート
re:Invent2024
AWS re:Invent 2024で開催された「Threat detection and response using AWS security services」のセッションレポートです。このセッションはworkshop形式のセッションでした。
詳細をみる
-
【AWS re:Invent 2024】SecurityLake・OpenSearchの連携に関する新機能発表セッションレポート
re:Invent2024
AWS re:Invent 2024 で発表された「Amazon Security Lake」と「Amazon OpenSearch Service」の連携強化。この新機能によって、セキュリティ分析がよりスムーズに、そして効率的に行えるようになりました。本記事では、新機能の詳細と活用方法について詳しく紹介します!
詳細をみる
AWS・Azure・GoogleCloudの
セキュリティは
にお任せ!
