Amazon Security Lake の可能性を探る

Salesforce のディテクション & レスポンスチームでは、新しい Amazon Security Lake で実験を行いました。これにより、企業のお客様がセキュリティ関連のログやイベントデータを 1 か所に集約し、大規模に管理・活用するための潜在的なメリットが明らかになりました。
Amazon Security Lake の可能性を探る

Salesforce では信頼を最大の価値としています。顧客データのセキュリティとプライバシー以上に重要なことはありません。Salesforce の Customer 360 プラットフォームは、お客様のマーケティング、セールス、コマース、サービス、IT の各チームにあるデータを統合することにより、相互の連携を図ると同時に、生産性の向上、効率化、コスト削減を実現します。  

Salesforce のグローバルなカスタマーベースの拡大に対応するため、現在ではファーストパーティインフラストラクチャと Hyperforce の両方で Customer 360 を提供しています。この新しいインフラストラクチャ構成により Salesforce は、AWS とその最新のセキュリティイノベーションなど、パブリッククラウドパートナーを活用して迅速かつ安全に拡張できるようになります。 

Hyperforce で大規模なログ収集の問題を解決する

ディテクション & レスポンス (DnR) チームは、Salesforce のインフラストラクチャの保護、悪意のある危険な活動の検出、セキュリティ事象へのタイムリーな対応に欠かせない存在です。Salesforce は、数多くの組織 (中には数千の顧客を抱える組織もあります) を対象にペタバイト規模のセキュリティログを収集および検証することでこれを実現しています。 

Hyperforce のインスタンス、アカウント、サービスの拡大に伴い、DnR チームはデータパイプラインとデータレイクの効率やスケーラビリティをいかに向上させるかという課題に直面しています。ログ取り込み時間の短縮、ログのオンボーディング効率の向上、パイプラインの拡張性向上、サービスコストの合理化、ログ保存の効率的な管理など、手間と時間のかかるタスクを考慮しなければなりません。 

DnR は、AWS にある Hyperforce インスタンス全体からセキュリティログを収集する既存のパイプラインを設計および導入しました。セキュリティログにはさまざまな種類があり一様ではないことから、ログの種類に応じた個別のログ収集メカニズムを構築するために、分割統治のアプローチを採用しました。たとえば、Salesforce では CloudWatch ベースのログ収集、S3 ストレージベースのログ収集、Lambda ベースのログ収集、Kinesis ベースのログ収集、MSK ベースのログ収集などを活用しています。ログの容量は飛躍的に増加するため、ログ収集メカニズムの複雑さを効率的に処理することは困難な課題です。

Hyperforce で大規模なログ収集を実現するには、複数のログソースに対応し、スケーラブルな ETL や正確なスキーマ管理を実行でき、ログ解析やクエリに役立ち、パイプライン全体に一貫したオブザーバビリティを提供できる集中型のアーキテクチャが必要です。

Amazon Security Lake で膨大なセキュリティイベントに対応

Amazon Security Lake は、顧客の AWS アカウント内の専用データレイクに組織のセキュリティデータを自動で集約するサービスで、Salesforce のような企業顧客が膨大なセキュリティ関連のログやイベントデータを 1 か所で集約、管理、利用できるようにします。AWS、オンプレミス、その他のクラウドプロバイダから収集したセキュリティログやイベントを簡単に統合できます。 

この仕組みは、統合された AWS サービスやサードパーティソースからのセキュリティ関連ログやイベントデータの収集を自動化し、保持設定のカスタマイズや優先的に使用する AWS リージョンへのロールアップによってデータのライフサイクルを管理し、それらのデータを Open Cybersecurity Schema Framework (OCSF) と呼ばれるオープンソースの標準フォーマットに変換するというものです。そうすることによって、Amazon Security Lake で保管するセキュリティデータにアクセスして、インシデント対応やセキュリティデータ分析に利用できるようになります。

Salesforce DnR では、Amazon Security Lake のベータ版を実際に試す機会があり、その中でいくつかの利点を見つけました。Amazon Security Lake は、AWS ネイティブのログ (CloudTrail ログ、VPC フローログ、Route53 Resolver ログなど) の収集と変換に適しています。変換後のログは OCSF スキーマと Parquet データフォーマットでそのまま利用できます。

  • AWS 組織に属するアカウントのログ収集管理をワンストップで実行可能: Amazon Security Lake を利用すると、AWS アカウント間のセキュリティログ収集を一元的に管理できます。これまで数日あるいは数週間を要していた作業が数時間に短縮されることで、ログ収集が簡単かつシンプルになります。
  • セキュリティログのソースが豊富: Amazon Security Lake は CloudTrail ログ、VPC フローログ、Route53 Resolver ログなど、さまざまな AWS ネイティブのログをサポートしています。さらには、OCSF に準拠したベンダーログもサポートしています。
  • OCSF スキーマでログを変換する自動 ETL: Amazon Security Lake は、ログデータを特定の OCSF スキーマに変換する自動 ETL ジョブを実行し、Amazon Security Lake S3 バケットの Parquet フォーマットデータを簡単に利用できる状態にします。
  • 効果的なログパーティショニングとリージョン別のロールアップ: Amazon Security Lake では、インフラストラクチャ全体のログデータを管理できるように、指定したリージョンにログデータをロールアップできます。ログデータは、ログソース、地域、アカウント ID、イベント時間ごとに適切に分割されます。
  • カスタムログソースの取り込みに対応: 顧客ログデータが OCSF に準拠したものであれば、顧客ログデータを Amazon Security Lake のセキュリティデータレイクに取り込むことができます。そうすることで、AWS ネイティブのセキュリティログと Salesforce 独自のログデータに対応する統合データレイクを作成できます。
  • 他サービスとのインテグレーションをサポート: Amazon Security Lake は、Athena や Splunk といった他サービスとのインテグレーションにもしっかり対応しています。Amazon Security Lake のログデータに対して、複数のクエリエンジンによる検索や分析ジョブを簡単に実行できます。

イノベーションと信頼の融合

結果的に、Amazon Security Lake の導入は、ログの収集、変換、集約、検索、管理といった負荷の高い作業の課題の解決に大いに役立っています。Salesforce Hyperforce on AWS との相性が良く、DnR 独自のデータパイプラインを補完できます。さらに、Amazon Security Lake によるログ集約とリージョン別のロールアップは、DnR 独自の広範囲に分散したハイブリッドのデータレイクインフラストラクチャとも完全に適合します。

私たちは、サードパーティの OCSF コンソーシアムメンバーと連携し、すべてのセキュリティログデータを一元的に管理できる Amazon Security Lake の可能性に期待しています。私たちの予想では、Amazon Security Lake によって自社データパイプラインのトラフィックが 30~50% 軽減し、ログの取り込み時間が大幅に短縮し、ログのカバー率が向上し、Salesforce のセキュリティ態勢がさらに充実し、信頼とイノベーションへの取り組みが強化されると考えています。

この記事は、Salesforce ディテクション & レスポンス (DnR) エンジニアリングチームの以下のメンバーが執筆しました。

Lei Ye: ソフトウェアエンジニアリングアーキテクトとしてディテクション & レスポンス (DnR) エンジニアリングチームに所属し、DnR をはじめとしたインフラストラクチャセキュリティ関連の問題に対応するデータ処理パイプライン、データレイク、クエリエンジンの革新に取り組んでいます。Salesforce の Amazon Security Lake プロジェクトを推進するテックリードでもあります。DnR の次世代型データレイクインフラストラクチャの計画立案を担当し、組織やチーム間のコラボレーションを推進してきました。

Ajith Jayamohan: ディテクション & レスポンス (DnR) エンジニアリングチームのバイスプレジデントとして Salesforce の機械学習および AI ベースのデータプラットフォームチームを統括し、社内外の敵対者や脅威アクターの検出と対応に取り組み、Salesforce とその顧客の保護に努めています。

おすすめの事例