運用管理

AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合

AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。

約 1 分で読めます

AppFabric の概要

AppFabric は SaaS アプリケーションの監査ログを標準化して集約するサービスです。企業が利用する複数の SaaS (Okta、Google Workspace、Slack、Salesforce、Microsoft 365 など) はそれぞれ独自のログ形式と API を持っており、横断的なセキュリティ分析には個別のコネクタ開発が必要でした。AppFabric はこれらの監査ログを OCSF (Open Cybersecurity Schema Framework) 形式に自動変換し、S3 や Security Lake に配信します。コネクタの開発・保守が不要になり、SaaS の追加も設定のみで完了します。

ログ標準化と分析

各 SaaS は独自のログ形式を使用しており、横断的な分析が困難です。AppFabric は OCSF 形式に標準化することで、「どのユーザーがどの SaaS でどのアクションを実行したか」を統一的に分析できます。Security Lake に配信すると、CloudTrailVPC Flow Logs、GuardDuty の検出結果と SaaS のログを統合し、組織全体のセキュリティ態勢を把握できます。ユーザーアクセスの可視化では、30 日以上ログインしていない SaaS アカウントを検出し、ライセンスの最適化に活用します。

Security Lake との統合

AppFabric の出力先に Security Lake を指定すると、 SaaS 監査ログが OCSF 形式で Security Lake に取り込まれ、 AWS サービスのログ (CloudTrail 、 VPC Flow Logs) と統合的に分析できます。 Athena で「特定ユーザーが過去 24 時間にアクセスした全 SaaS アプリケーション」のようなクロスサービスクエリを実行し、内部不正やアカウント侵害の調査を効率化します。 S3 への直接出力も可能で、既存の SIEM (Splunk 、 Datadog) にログを転送する場合に使用します。 AppFabric のインジェスト設定で SaaS ごとの認証情報を登録し、ログの取得間隔を設定します。 AppFabric の理解をさらに深めたい場合はAmazon の専門書も活用できます。

AppFabric の料金

AppFabric の料金は取り込んだイベント数で課金されます。100 万イベントあたり約 0.50 ドルで、SaaS アプリケーションの利用規模に応じてコストが変動します。Security Lake への出力は AppFabric の料金に含まれますが、Security Lake 側のストレージと Athena のクエリ料金は別途発生します。監査対象の SaaS アプリケーションを優先度に基づいて選定し、全 SaaS を一律に取り込むのではなく、セキュリティリスクの高いアプリケーション (認証系、ファイル共有系) から段階的に導入することでコストを管理します。

まとめ

AppFabric は複数の SaaS アプリケーションの監査ログを OCSF 形式で標準化・集約するサービスです。各 SaaS の独自ログ形式を統一し、Security Lake との統合でクラウドと SaaS のセキュリティログを横断的に分析できます。内部不正やアカウント侵害の調査を効率化し、組織全体のセキュリティ可視性を向上させます。

関連するサービス

AWS AppFabricSaaS アプリケーションの監査ログを標準化して集約するサービスAmazon Security Lakeセキュリティデータを OCSF 形式で一元集約するデータレイクサービスAmazon S3スケーラブルなオブジェクトストレージサービス

関連する記事

Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。Amazon AppFlow で実現する SaaS データ連携 - Salesforce ・ Slack ・ Google Analytics との統合Salesforce や Slack のデータを S3・Redshift にノーコードで同期する。イベント駆動トリガー、PII マスキング、PrivateLink によるセキュアな転送を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。AWS Backup による一元バックアップ管理 - バックアッププランとクロスリージョン保護EC2・RDS・DynamoDB など複数サービスのバックアップを統一ポリシーで一元管理する。Vault Lock による WORM 保護と復元テストの自動化を紹介します。

内容が近い記事・サービス

AWS AppFabricSaaS アプリケーションのセキュリティログを OCSF 形式に正規化し、一元的な監査とセキュリティ分析を実現するサービスAmazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。Amazon Security LakeCloudTrail、VPC Flow Logs、Route 53 Resolver ログなどのセキュリティデータを OCSF 形式で自動正規化し、S3 ベースのセキュリティデータレイクに一元集約するサービス