Amazon Security Lake のアイコン

Amazon Security Lake

セキュリティデータを OCSF 形式で一元集約するデータレイクサービス

約 1 分で読めます

何ができるか

Amazon Security Lake は、AWS サービス、サードパーティセキュリティツール、オンプレミスのセキュリティデータを OCSF (Open Cybersecurity Schema Framework) 形式で S3 ベースのデータレイクに一元集約するサービスです。CloudTrail、VPC Flow Logs、Route 53 DNS ログ、Security Hub の検出結果などを自動的に収集・正規化します。

どのような場面で使うか

セキュリティデータの一元管理と長期保存、SIEM ツールとの統合、セキュリティインシデントの調査と分析、コンプライアンス監査のためのログ保持に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

セキュリティ情報の図書館に例えられます。各部署 (AWS サービス、セキュリティツール) からのセキュリティレポートを統一フォーマット (OCSF) で整理・保管し、調査員 (分析ツール) がいつでも検索・分析できるようにします。

Security Lake とは

この記事は約 2 分で読めます。 Amazon Security Lake は、セキュリティデータの集約と正規化に特化したサービスです。従来、CloudTrail ログは CloudTrail の形式、VPC Flow Logs は VPC の形式と、データソースごとに異なるフォーマットでした。Security Lake は OCSF という標準スキーマにデータを正規化し、横断的な分析を可能にします。

データソースとサブスクライバー

Security Lake は AWS ネイティブのログソース (CloudTrail、VPC Flow Logs、Route 53 DNS ログ、S3 データイベント、Lambda 実行ログ、EKS 監査ログ) を自動収集します。サードパーティのセキュリティツールからのデータもカスタムソースとして取り込めます。サブスクライバー機能で、Splunk、Datadog、Sumo Logic などの SIEM ツールにデータを提供します。

はじめかた

Security Lake コンソールで有効化し、収集するログソースとリージョンを選択します。Organizations との統合で組織全体のセキュリティデータを集約できます。Athena でクエリを実行するか、サブスクライバーとして SIEM ツールを接続してデータを分析します。

Azure・オンプレミスとの比較

Azure の対応サービス Microsoft Sentinel
オンプレミスでの対応手段 Elastic Security (ELK Stack)、Splunk Enterprise

AWS の優位点

  • OCSF 標準スキーマでデータを正規化し、異なるソースのセキュリティデータを統一的に分析可能
  • AWS ネイティブのログソースを自動収集し、設定の手間を最小化
  • Organizations との統合で組織全体のセキュリティデータを一元集約し、マルチアカウント環境の可視性を確保

注意点

  • S3 ストレージ料金とデータの正規化処理料金が発生する。大量のログを収集するとコストが増加する
  • Security Hub がセキュリティ検出結果の集約なのに対し、Security Lake は生ログデータの集約。用途が異なる

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス