NTT東日本の自治体クラウドソリューション

  1. 法人のお客さまトップ
  2. クラウドソリューション
  3. コラム
  4. SIEM on Amazon OpenSearch Serviceとは?SaaS型SIEMをAWSで代替できるのか

SIEM on Amazon OpenSearch Serviceとは?SaaS型SIEMをAWSで代替できるのか

近年、企業における情報セキュリティ対策は大きな転換期を迎えています。ゼロトラストの普及、クラウドネイティブ環境への移行、そして生成AIの活用拡大により、ログの量と種類は爆発的に増加しました。もはやログは「保管するもの」ではなく、「継続的に分析し、意思決定に活かすデータ資産」です。

その中心にあるのがSIEM(Security Information and Event Management)です。従来、SIEMは高額な専用製品を導入し、専門人材を配置し、時間とコストをかけて運用する“重厚長大型”のソリューションでした。しかし現在、クラウドの進展により「AWS上でSIEMを構成する」という新たな選択肢が現実味を帯びています。

特に注目されているのが、Amazon OpenSearch Serviceを活用したSIEM構成です。本コラムでは、SIEMの基本概念やなぜ今あらためてSIEMが重要なのかに触れて説明していきます。その上で、巷にあるSaaS型SIEMの代替となり得るかを説明していきます。

AWSの導入・移行・運用に関するご相談はこちらからお問い合わせください。

【情シス担当者・経営者向け】NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル 資料ダウンロードフォームはこちら

目次:

1. SIEMとは何か、なぜ今あらためて注目されるのか
1-1. SIEMの基本概念
1-2. なぜ今、SIEMが注目されているのか
1-3. SaaS型SIEMの課題
2. AWSにおいてSIEMを構成するという発想
2-1. なぜAWSでSIEMを構成するのか
2-2. Amazon OpenSearch Serviceがなぜ適しているのか
2-3. SaaS型SIEMとの本質的な違い
2-4. どんな企業に向いているのか
3. 実際に画面を触ってみた
3-1. Amazon OpenSearch ServiceのDiscover
3-2. Amazon OpenSearch ServiceのDashboards
3-3. Amazon OpenSearch ServiceのVisualize
4. まとめ

1. SIEMとは何か、なぜ今あらためて注目されるのか

1-1. SIEMの基本概念

SIEMは単なる「ログ管理ツール」ではありません。機能を分解すると、以下の3層構造になります。

① ログの収集(Collection)

  • 外部ネットワークと内部ネットワークの境界に置かれるファイアウォール
  • PCやサーバーなどの端末セキュリティのEDR
  • アカウントを管理するID基盤
  • AWS等のパブリッククラウドやSaaSなどのクラウドサービス
  • ネットワークセキュリティなどのSASE

これらからのログを一元的に集約します。

② 相関分析(Correlation)

単体ログでは意味を持たないイベントを組み合わせます。例えば以下のようなイベントが考えられます。

  • 国内で勤務しているユーザーのアカウントを利用し、海外のIPアドレスからログインがあった
  • ユーザーが短時間で大量のデータダウンロードがあった

これらを相関させ、「異常」として検知します。

③ 可視化(Visualization)

  • 管理者や説明しやすいようなダッシュボード表示
  • 緊急時の通知をするアラート通知
  • 報告しやすいレポート出力

経営層向け、SOC向け、監査向けなど用途別に表示を変えます。

1-2. なぜ今、SIEMが注目されているのか

1-2-1. クラウド利用拡大によるログ増大

AWSだけでも、

  • CloudTrail
  • VPC Flow Logs
  • GuardDuty
  • WAFログ
  • LBログ
  • アプリケーションログ

が存在します。さらにSaaS側にもログがあります。ログはAWSや各SaaSなど“分散”して存在しています。

1-2-2. 攻撃の高度化

現在の攻撃は、1つの異常イベントでは検知できません。静かに侵入し、権限を横断し、横移動し、長期間潜伏します。単発アラートでは見抜けないため、相関分析が必須になります。

1-2-3. ガバナンス要求の強化

内部統制、ISMS、SOC2、監査対応など、「ログを保存している」ではなく、「ログを分析し、改善していること」が求められています。

1-3. SaaS型SIEMの課題

SIEMには、SaaS型やAWSなどパブリッククラウドで運用する方法などが存在します。SaaS型には、SaaSならではの課金体系のわかりやすさや、自分たちで設計しないために、選択肢が少なくて済むなどのメリットがある一方で、SaaS型には大きく分けて3つの課題があります。

高コスト
  • サブスクリプションモデルのSaaSだと、使わない機能も付帯してきたりと、初期費用が高額になる可能性
  • 自社での運用が難しいため、委託先への費用が発生
高運用負荷
  • 自社での運用をする場合、専門エンジニアが必要
  • チューニングが難しく、管理者で対応できない
  • 誤検知が多く、不要な対応が多い
ベンダーロックイン
  • SaaSごとにデータ形式が異なる
  • SaaSからSaaS、SaaSからAWSへの移行が困難
  • SaaSの仕様によるカスタマイズ制限

この背景から、「もっと柔軟に構成できないか」という発想が生まれます。そこで今回はAWSでの実装を深堀していきます。

AWSの導入・移行・運用に関するご相談はこちらからお問い合わせください。

2. AWSにおいてSIEMを構成するという発想

2-1. なぜAWSでSIEMを構成するのか

SaaS型SIEMは完成品であり、カスタマイズできる選択肢が少ないです。一方、AWSで構成するSIEMは自社の要件に合わせて柔軟に設定できます。

つまり、

  • 何を集めるか
  • どれだけ保存するか
  • どのように分析するか
  • どのレイヤーまで可視化するか

これを自分たちで決めることが可能です。

2-2. Amazon OpenSearch Serviceがなぜ適しているのか

Amazon OpenSearch Serviceは、

  • 分散型検索エンジン
  • 高速インデックス
  • 柔軟なクエリ
  • ダッシュボード機能

を備えています。

ログ分析において最も重要なのは「検索速度」です。数億件のログから瞬時に絞り込める性能は、SIEM用途と非常に相性が良い設計です。

2-3. SaaS型SIEMとの本質的な違い

① 責任範囲

SaaS型:ベンダーが検知ロジックを提供

OpenSearch型:自社で設計

② 柔軟性

SaaS型:テンプレート中心

OpenSearch型:自由設計

③ コスト構造

SaaS型:ログ量依存課金

OpenSearch型:インフラ設計依存

④ 長期保存

SaaS型:高コスト

OpenSearch型:S3連携で低コスト化可能

2-4. どんな企業に向いているのか

AWSでSIEMを運用する場合、向いている企業はどんな企業でしょうか。向いている企業としては、

  • AWSネイティブ環境がある
  • DevOps文化がある
  • 情報セキュリティ内製志向、もしくはカスタマイズ製が必要
  • コスト最適化を重視

があります。逆に、

  • SOCを外部委託している
  • 内製リソースがない

場合はSaaS型の方が適することもあります。とはいえ、AWSとSaaSでは特徴が一長一短であるため、どちらも検討することをおすすめします。自社のログ量がどれくらいあるか、どれほどの量が日々増えているかもコストに関わりますので、今後の費用を試算したうえで導入することが望ましいです。

AWSの導入・移行・運用に関するご相談はこちらからお問い合わせください。

3. 実際に画面を触ってみた

構築部分については、今回省略いたします。興味がある方は弊社にお問合せください。

公式ワークショップを参考に実施しております

構成としては以下になります。

はじめは下記のような画面が出てきます。

Amazon OpenSearch ServiceにS3ログを読み込めるように設定すると、利用可能になります。

よく使うが画面が下記の「Discover」、「Dashboards」、「Visualize」になります。一つずつ見ていきます。

3-1. Amazon OpenSearch ServiceのDiscover

Discoverは取り込んだログデータをリアルタイムに検索・抽出し、イベントを一つ一つ並ばせます。フィルタ条件やクエリを用いて、特定ユーザーやIP、イベント種別などを横断的に絞り込み、個別ログの中身まで深掘りできます。

今回はタイムスタンプ、ソースと宛先の国、アクセス先のURLを指定しました。

SearchやShow datesなどで条件や期間指定することもできます。SIEMとして利用する場合、不審な挙動が検知された際に、対象ユーザーの行動履歴やアクセス元IP、操作内容を時系列で追跡する初動調査に活用できます。インシデントの事実確認や影響範囲特定の中核となる機能です。

3-2. Amazon OpenSearch ServiceのDashboards

Dashboadsは複数の可視化パネルを組み合わせ、ログの状況をリアルタイムで調査できる統合表示画面になります。グラフや集計結果を一画面に集約し、システム全体の状態や傾向を直感的に把握できます。

今回はやり取りが行われているファイルのタイプ別グラフや、ファイルタイプ別の通信料やアクセス数、宛先の国に関するヒートマップ、ソースと宛先の国を可視化しました。

SIEMとして利用する場合、異常ログの発生状況や、ログイン失敗率、通信量の急増などを常時監視するSOC向けモニタリング画面として利用できます。さまざまなログを見やすく表示可能なため、経営層向けレポートのベース画面としても活用可能です。

3-3. Amazon OpenSearch ServiceのVisualize

Visualizeはログデータを集計・加工し、グラフや地図などで可視化する設計機能です。集計条件や期間、フィールドを柔軟に設定し、独自の分析指標を作成できます。

SIEMとして利用する場合、ログイン失敗回数の推移や海外IP比率、特権操作の発生頻度などを定量化し、検知ロジック設計や傾向分析に活用できます。自社環境に合わせた監視指標を構築する基盤となります。

こちらは、アクセス元の国を可視化した地図になります。赤の濃淡や円の大きさによる可視化も実施されています。

こちらは、別のデータでのアクセス元の国のグラフになります。データの内容や見せたい相手に合わせて地図やグラフなど、適切な表示が可能です。

Amazon Open Search ServiceはIP制限を実施したり、ログインIDやPWの変更も可能です。社内の情報セキュリティポリシーに沿ったセキュリティ設定を実施できることも、AWSのSIEM運用のメリットです。

AWSの導入・移行・運用に関するご相談はこちらからお問い合わせください。

4. まとめ

タイトルにある通り、SaaS型SIEMをAWSで代替できるのかをお話しすると、Amazon OpenSearch ServiceによるSIEM構成は、SaaS型の“コピー”ではありません。どちらも特徴があり、自社の使い方にあった選択を取る必要があります。2章で述べたようにコストの観点、SIEM専門エンジニアを雇う必要がある運用の観点、移行やカスタマイズが困難であるベンダー依存の観点などがネックになり、導入できない場合はAWSでのSIEM運用が適切でしょう。また、AWSは社内のインフラとして、ログが集まる基盤でもあるため、ログ分析をするSIEMとも相性が良いと言えるでしょう。

AWSの導入・移行・運用に関するご相談はこちらからお問い合わせください。

  • Amazon Web Services(AWS)およびその他のAWS 商標は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。

NTT東日本の自治体クラウドソリューション もう迷わない。これ1冊でわかる クラウド・ファイルサーバーの選び方 資料ダウンロードフォーム

カテゴリー

bizdrive コラムはこちら

RECOMMEND
その他のコラム

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。

理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。

  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

今すぐ無料ダウンロードする
クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

まずは無料相談してみる

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。

クラウドに関するご相談
クラウドの成功事例を見る