【1】概要
- AWS Security Lakeは、AWS環境およびサードパーティ製のセキュリティデータを一元的に収集・保存・分析できるマネージド型のセキュリティデータレイクサービス。
- ログやイベントデータを標準フォーマット(OCSF: Open Cybersecurity Schema Framework)で収集・正規化し、統合的に分析可能にする。
- AWS CloudTrail、VPC Flow Logs、Route 53 Resolverのログ、セキュリティソリューションのデータ等、多様なソースに対応する。
- Amazon S3上にデータを安全かつ拡張可能な形式で保存し、Amazon AthenaやOpenSearch、Splunk、SIEMツールと連携して分析できる。
【2】ユースケース
Security Lakeは以下のようなユースケースで活用される。
| 用途 | 詳細・具体例 |
|---|---|
| 脅威検知と対応 | 不審な挙動を検知し迅速にインシデント対応 |
| コンプライアンス監査 | セキュリティ関連ログを一元管理・監査対応 |
| データ分析・可視化 | 複数ソースのデータを標準化し可視化・分析 |
| SIEM統合・拡張 | 外部SIEMツールと統合して検知能力を強化 |
| フォレンジック分析 | インシデント発生後の調査・分析 |
【3】設定手順
AWSコンソールによる設定手順は下記の通り
-
Security Lakeの有効化
- AWSコンソールで「Security Lake」を「有効化」。
- データソースを選択(例:CloudTrail、VPC Flow Logs)。
-
リージョンとログタイプを選択
- ログを収集したいリージョンを選択。
- 収集対象のログタイプを選択。
-
データ保存設定
- 保存先のS3バケットを指定(新規作成または既存)。
- 暗号化設定を指定(KMSキーなどを利用)。
-
サードパーティ連携(オプション)
- 必要に応じて外部パートナー(例:Splunk、Sumo Logicなど)との連携を設定。
-
設定確認と完了
- 設定内容を確認して「作成」をクリック。
- 作成完了後、データ収集が自動で開始される。
【4】データソースとして連携可能なサービス
AWS Security Lakeにデータを送信できるソースは主に以下の通り。
| 種類 | 主なサービス・製品 |
|---|---|
| AWS ネイティブソース | - AWS CloudTrail - Amazon VPC Flow Logs - Route 53 Resolver クエリログ - AWS Security Hubスキャン結果 |
| サードパーティ製セキュリティ製品 | - Cisco Secure Firewall - CrowdStrike Falcon - Okta - Trend Micro など |
| カスタムソース(自作・外部) | - 自作アプリケーション - 他システムのカスタムログ |
【5】分析サービスとして連携可能なサービス
Security Lakeに集約したログを分析可能なサービス・ツールの例:
| 分析サービスの種類 | 主な製品・サービス例 |
|---|---|
| AWSのネイティブ分析サービス | - Amazon Athena (SQLベース分析) - Amazon OpenSearch Service (全文検索・分析) - Amazon QuickSight (データ可視化) - AWS Glue (ETL・データ加工) |
| サードパーティ製SIEM/分析ツール | - Splunk Cloud Platform - Datadog Security Monitoring - Sumo Logic など |
【6】料金体系
- その月にAWS Security Lakeに取り込まれたログのデータサイズ(GB)に基づいて課金される。
- 毎月初めに使用量はリセットされ、毎月の取り込み量によって毎月の料金が決定される。
- これとは別に、保存されたデータ(S3ストレージ)については、月ごとに保持している総データ量に対して課金される。
→ つまり、毎月の課金は「その月に新たに取り込んだデータ量」と「その月にS3に保存している総データ量」の両方に基づいて決まる。