ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

AWS re:Invent 2022 北原参加記録その③~新サービス:Amazon Security Lakeについて~

この記事は AWS Community Builders Advent Calendar 2022
15 日目の記事です。

※AWS Community Buildersについてはこちらをご覧ください。 aws.amazon.com

はじめに

こんにちは!クラウドインテグレーション事業部
北原雅人(Kitahara Masato)です!

ラスベガスで11月28日(月)~12月2日(金)まで開催されておりました
AWS re:Invent 2022の参加記録をブログでまとめていきます。

今回はAWS re:Invent 2022で新しく発表のあった
「Amazon Security Lake」について記事にしていきたいと思います。

新サービス:Amazon Security Lakeの発表

「Amazon Security Lake」はAWS CEOのAdam Selipsky氏の
キーノートにて発表のあったAWSの新サービスの1つです。

「Amazon Security Lake」は
 AWSやその他クラウド、オンプレミスのインフラストラクチャ、
 ファイアウォール、およびエンドポイント セキュリティの
 ソリューションからデータを含めたあらゆるセキュリティログを
 集約・管理し、分析や利用のアクセスを提供する
 データレイクのマネージドサービスです

「Amazon Security Lake」は、CloudTrail や Lambdaや、
 AWS Security Hub、GuardDuty、AWS Firewall Manager等の
 AWSのセキュリティサービスからデータを集約します。

Adam氏の発表では
「セキュリティに関連するデータは通常はアプリケーション、
 ファイアウォール、および ID プロバイダーから環境全体に分散しています。
 ビジネスに対する組織的な悪意のある活動などの挙動を
 明らかにするためには、これらすべてのデータを収集して集約し、
 脅威検出、調査、インシデント対応をサポートするために、
 使用するすべての分析ツールにアクセスできるようにし、
 データを保持する必要があります。パイプラインが更新され、
 イベントの進化に合わせて継続的に実行されます。
 つまり、データの保存、分析、セキュリティに関連する傾向の理解、
 セキュリティ データからの洞察の生成を容易にするツールが
 本当に求められているということです」と話がありました。

「Amazon Security Lake」の詳細については以下のセッションをご参照下さい。

www.youtube.com

SEC216:Introducing Amazon Security Lake

セッションが発表された後に実際に「Amazon Security Lake」の
説明を実施していたセッションに行ってきました。

動画と併せて、記事を見て頂けると幸いです。

アジェンダ:

  • セキュリティチームの課題
  • 最新のセキュリティ分析について
  • Amazon Security Lakeについて
  • 結論について

増大するセキュリティデータがある

データの所有権が欠如している事がある

より多くのデータをランディングし、より少ない分析を行う

そんなサービスがあったらと想像してみてください。

  • アカウントにセキュリティレイクを自動的に構築します
  • 企業全体でログ収集を一元化し、正規化します
  • 長期保存を提供し、ストレージコストを管理します
  • 分析の完全な選択の自由を提供

Open Cyber​​security Schem Framework (OCSF)

  • セキュリティ データの正規化を簡素化するために誰でも採用できるオープンなセキュリティ
  • データの簡素化された、ベンダーに依存しない分類法を提供するオープンソース プロジェクト
  • 時間のかかる事前の正規化タスクなしで、データの取り込みと分析を高速化
  • OCSF 準拠のソースからのデータを組み合わせて、セキュリティ チームを遅らせるデータサイクルを打破します。
  • あらゆる環境、アプリケーション、またはソリューションプロバイダーで採用できるオープンスタンダード
  • セキュリティ ISV、政府、教育、企業の 60 を超える組織が参加し、さらに多くの組織がOCSF を使用しています

Amazon Security Lakeについて

  • 数回のクリックでセキュリティ データを専用のデータ レイクに自動的に一元化
  • リージョン全体で、クラウド、オンプレミス、およびカスタム セキュリティ ソースからのデータを自動的に一元化します
  • セキュリティ データを最適化および管理して、より効率的なストレージとクエリ パフォーマンスを実現します。
  • データを業界標準に正規化して、複数の分析ツールで簡単に共有および使用できるようにする
  • セキュリティ データの制御と所有権を保持しながら、好みの分析ツールを使用して分析します

Amazon Security Lakeの使い方について説明がありました。

Amazon Security Lakeはこれらのセキュリティパートナーとの親和性がある。

Amaren Security Lake の使用を開始するために
数回クリックするだけですべてのセキュリティ
データを自動的に一元化する事が可能。

これらの手順を実施した後にすぐにデータをクエリする事が出来る。

ボンネットの下で何が起こっているのですか?

  • リージョン全体で暗号化された Amazon S3 バケットを作成し、Amazon S3 の保持とレプリケーションの設定を構成する
  • すべてのリージョン、アカウント、リソースでログを有効にする
  • すべての受信データを変換して OCSF と ApacheParquet に分割する
  • AWS Glueテーブルとパーティションを作成および更新する

すべてのセキュリティ データを持ち込む

  • パートナーからの外部 OCSF データを使用してデータ レイクを強化できます
  • ソリューションまたは独自のネイティブ データと同じデータ ライフサイクルとアクセス制御機能を使用する
  • 20 以上のパートナーが、この形式のデータを Amazon S3 に直接提供しています
  • Security Lake がインフラストラクチャと権限を管理します

選択する分析ツールは多岐にわたります。

Amazon Security Lake の料金
・1 か月あたりに取り込まれる CloudTrail ログ
 1 GB あたり $0.75

サポートされているその他の AWS ログ ソース
・最初の 10 TB:1 GB あたり:$0.25
・次の 20 TB 1GB あたり:$0.15
・次の 20 TB 1GB あたり:$0.075
・50TBを超える場合 1GB あたり:$0.05/GB
・データの正規化と最適化:0.035 USD/GB

結論

  • AWS は、セキュリティ チームに分析の選択の自由を提供することをお約束します。
  • コミュニティと協力して、これまで以上に簡単にできるようにしています
  • Security Lake は本日、7 つのリージョンでプレビューで利用できます...試してみてください!

最後に

最後まで閲覧いただき、ありがとうございました。

AWS re:Invent 2022で発表された新サービス
「Amazon Security Lake」のご紹介でした。

Organizationと連携してデータレイクを進める上で
今後必要になってくるサービスであると理解しました。

プレビューではありますが、7つのリージョンで
利用可能になっているので、早速使ってみたいと思います。

まだまだ、re:Invent 2022で見たセッションや新サービスについて
ブログ記事を投稿していきたいと思いますので、
皆様お楽しみに!