セキュリティ

Amazon Security Lake

CloudTrail、VPC Flow Logs、Route 53 Resolver ログなどのセキュリティデータを OCSF 形式で自動正規化し、S3 ベースのセキュリティデータレイクに一元集約するサービス

約 2 分で読めます

概要

Amazon Security Lake は、AWS 環境とサードパーティソースからセキュリティ関連のログとイベントデータを自動的に収集し、Open Cybersecurity Schema Framework (OCSF) に正規化して S3 に格納するサービスです。CloudTrail、VPC Flow Logs、Route 53 Resolver ログ、Security Hub のファインディング、Lambda 実行ログなどの AWS ネイティブソースに加え、CrowdStrike、Palo Alto Networks などのサードパーティセキュリティ製品のデータも統合できます。Apache Iceberg テーブルフォーマットで格納されるため、Athena や OpenSearch から効率的にクエリ可能です。

OCSF スキーマとデータ正規化の仕組み

Security Lake の核心は、異なるソースから来るセキュリティデータを OCSF (Open Cybersecurity Schema Framework) という共通スキーマに自動正規化する点にあります。OCSF はセキュリティイベントを標準化するオープンスキーマで、イベントカテゴリ (認証、ネットワーク、ファイル操作など)、重要度、アクター、リソースなどのフィールドが統一的に定義されています。CloudTrail の API コールイベントも VPC Flow Logs のネットワークフローも、同じスキーマで格納されるため、異なるソースを横断した相関分析が容易になります。データは Apache Parquet 形式で圧縮され、Apache Iceberg テーブルとして管理されます。Iceberg のパーティション進化機能により、時間範囲やリージョンでの効率的なクエリプルーニングが自動的に適用されます。データの保持期間はソースごとに設定でき、ホットデータは S3 Standard、コールドデータは S3 Glacier に自動的に階層化するライフサイクルポリシーも構成可能です。

ソース統合とサブスクライバー管理

Security Lake のデータソースは AWS ネイティブソースとカスタムソースの 2 種類です。AWS ネイティブソースは有効化するだけで自動的にデータが収集され、OCSF への変換も自動です。カスタムソースはサードパーティのセキュリティ製品やオンプレミスのログソースからデータを取り込む仕組みで、OCSF 形式に変換済みのデータを S3 に直接書き込むか、Glue クローラーで取り込みます。サブスクライバーは Security Lake のデータを消費する側のサービスやアカウントです。クエリアクセスサブスクライバーは Athena や OpenSearch から直接クエリを実行し、データアクセスサブスクライバーは S3 からデータを読み取って独自の SIEM (Splunk、IBM QRadar など) に取り込みます。新しいデータが到着すると SQS キューまたは EventBridge 経由でサブスクライバーに通知され、リアルタイムに近い分析パイプラインを構築できます。

クロスアカウント集約とクエリアクセス

Security Lake は Organizations と統合して、複数アカウントのセキュリティデータを委任管理者アカウントに集約します。委任管理者は Organizations 内の任意のアカウントに設定でき、通常はセキュリティ専用アカウントが指定されます。各メンバーアカウントのデータは自動的に委任管理者のデータレイクに転送され、一元的なセキュリティ分析が可能になります。リージョンごとにロールアップリージョンを設定すると、複数リージョンのデータを 1 つのリージョンに集約でき、グローバルなセキュリティ監視を単一のクエリで実行できます。Athena からのクエリでは、OCSF の標準フィールドを使って「過去 24 時間に失敗した認証イベントのうち、送信元 IP が海外のもの」のようなセキュリティ調査クエリを SQL で記述します。料金はデータの取り込み量 (GB あたり約 0.75 USD) と S3 のストレージ料金で構成され、クエリ料金は Athena の標準料金が適用されます。

共有するXB!

関連する用語

AWS Security HubAmazon GuardDutyAWS CloudTrailAmazon AthenaAmazon Detective

関連するサービス

AWS Security HubAmazon GuardDutyAWS CloudTrailAmazon Athena

関連する記事

AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。CloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。

内容が近い用語・記事

Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。Amazon Security Lakeセキュリティデータを OCSF 形式で一元集約するデータレイクサービスAWS AppFabricSaaS アプリケーションのセキュリティログを OCSF 形式に正規化し、一元的な監査とセキュリティ分析を実現するサービスAWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。