AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合

AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。

AppFabric の概要

AppFabric は SaaS アプリケーションの監査ログを標準化して集約するサービスです。企業が利用する複数の SaaS (Okta、Google Workspace、Slack、Salesforce、Microsoft 365 など) はそれぞれ独自のログ形式と API を持っており、横断的なセキュリティ分析には個別のコネクタ開発が必要でした。AppFabric はこれらの監査ログを OCSF (Open Cybersecurity Schema Framework) 形式に自動変換し、S3 や Security Lake に配信します。コネクタの開発・保守が不要になり、SaaS の追加も設定のみで完了します。2024 年時点で Okta、Microsoft 365、Google Workspace、Slack、Zoom、Dropbox、Asana、Webex by Cisco など主要 SaaS への対応が進んでおり、対応サービスは継続的に拡大しています。

ログ標準化と分析

各 SaaS は独自のログ形式を使用しており、横断的な分析が困難です。AppFabric は OCSF 形式に標準化することで、「どのユーザーがどの SaaS でどのアクションを実行したか」を統一的に分析できます。OCSF は Linux Foundation 傘下のオープンスキーマで、Authentication、Authorization、File Activity、API Activity などのイベントカテゴリごとに共通フィールドを定義しています。この標準化により、Okta のログイン失敗と Microsoft 365 の不正アクセス試行を同一のクエリで横断検索できるようになります。Security Lake に配信すると、CloudTrailVPC Flow Logs、GuardDuty の検出結果と SaaS のログを統合し、組織全体のセキュリティ態勢を把握できます。ユーザーアクセスの可視化では、30 日以上ログインしていない SaaS アカウントを検出し、ライセンスの最適化に活用します。

Security Lake との統合

AppFabric の出力先に Security Lake を指定すると、SaaS 監査ログが OCSF 形式で Security Lake に取り込まれ、AWS サービスのログ (CloudTrail、VPC Flow Logs) と統合的に分析できます。Athena で「特定ユーザーが過去 24 時間にアクセスした全 SaaS アプリケーション」のようなクロスサービスクエリを実行し、内部不正やアカウント侵害の調査を効率化します。S3 への直接出力も可能で、既存の SIEM (Splunk、Datadog) にログを転送する場合に使用します。AppFabric のインジェスト設定で SaaS ごとの認証情報を登録し、ログの取得間隔を設定します。 AppFabric の理解をさらに深めたい場合はAmazon の専門書も活用できます。

ユースケースと導入パターン

AppFabric の主要なユースケースは 3 つに大別されます。第一にセキュリティインシデント調査です。退職予定者が大量のファイルをダウンロードした、通常と異なる国からログインがあったなどの異常行動を、複数 SaaS のログを横断して検出します。第二にコンプライアンス監査です。SOC 2 や ISO 27001 の認証取得において「誰がいつどの SaaS にアクセスしたか」の証跡が求められますが、AppFabric で集約したログを Athena で直接クエリすることで監査対応工数を削減できます。第三に SaaS ライセンス最適化です。アクティブユーザー数を可視化し、未使用ライセンスの解約判断に活用します。導入パターンとしては、まず認証基盤 (Okta/Azure AD) とファイル共有 (Google Drive/SharePoint) を優先接続し、最もリスクの高い操作 (権限変更・外部共有) の可視化から着手するのが効果的です。

料金と制限の注意点

AppFabric の料金は取り込んだイベント数で課金されます。100 万イベントあたり約 0.50 ドルで、SaaS アプリケーションの利用規模に応じてコストが変動します。Security Lake への出力は AppFabric の料金に含まれますが、Security Lake 側のストレージと Athena のクエリ料金は別途発生します。注意すべき制限として、AppFabric は監査ログ (誰が何をしたか) に特化しており、SaaS アプリケーション内のコンテンツデータ (メール本文、ファイル内容) は取得しません。また、対応 SaaS は順次拡大中であるため、自社で利用する SaaS が対応リストに含まれているか事前確認が必要です。取得間隔は SaaS によって異なり、準リアルタイムのものから数時間の遅延があるものまで存在するため、リアルタイム性が重要な検知には GuardDuty 等との併用を検討します。コスト管理としては、監査対象の SaaS をセキュリティリスクの高いアプリケーション (認証系、ファイル共有系) から段階的に導入することを推奨します。

SaaS セキュリティ可視化の価値

企業が利用する SaaS が増えるほど、それぞれの監査ログがばらばらの形式で各サービスに散在し、セキュリティ全体の把握が難しくなります。AppFabric は、複数の SaaS の監査ログを集約し、共通の標準フォーマットへ統一します。これにより、サービスをまたいだ横断的な分析が可能になり、不審なログインや権限の変更といった脅威の兆候を、一元的に検知できるようになります。標準化されたログをセキュリティ分析の基盤に取り込めば、既存の監視の仕組みと組み合わせて活用できます。分散していた SaaS のセキュリティ情報を統合して可視化することが、組織全体の防御力を高める鍵になります。

まとめ

AppFabric は複数の SaaS アプリケーションの監査ログを OCSF 形式で標準化・集約するサービスです。各 SaaS の独自ログ形式を統一し、Security Lake との統合でクラウドと SaaS のセキュリティログを横断的に分析できます。セキュリティインシデント調査、コンプライアンス監査、ライセンス最適化の 3 つのユースケースで実務的な価値を発揮し、コネクタ開発不要の設定ベースで SaaS の追加が完了します。