ログ監視は、セキュリティ管理における大切なミッションです。ハイブリッドクラウドやマルチクラウドの浸透により、複雑かつ膨大な量のログ監視が求められるようになりました。
このような背景から、大量のログを蓄積して一元管理を行うSIEM(Security Information and Event Management:セキュリティ情報とイベント管理)が注目されています。Azure SentinelはAzureのSIEMで、人工知能(AI)を活用と自動化によるインシデントの対応を実現します。
Azure Sentinelの導入には専門的な知識が必要になりますが、システムインテグレーターのTIS株式会社(以下、TIS)では、導入と運用を支援するサービスを提供しています。Azure Sentinelの概要や特長と、TISのサービスを紹介します。
セキュリティ対策とSOC
これまで企業のセキュリティ対策は、情報システム部門の担当者の仕事でした。ところが、サイバー攻撃の高度化、テレワークによる端末の多様化などから変革が求められています。
したがって、社内に専門の部署を設置して対応したり、外部の専門企業に委託したりするようになりました。24時間365日の体制で脅威の検知と分析を行う組織をSOC(ソック:Security Operation Center)といいます。
セキュリティ対策に特化した組織には大きな意義があります。ところが、運用には数多くの課題が発生します。
たとえば、監視を行うログは際限なく蓄積されていきます。この膨大なログデータの中から脅威を検出することは困難です。インシデントを調査しても原因を特定できないことがあり、そもそも件数が多いため担当者には大きな負担になります。
マルチクラウドを活用すると、セキュリティ対策はさらに煩雑さを極めます。このとき、SOCのような組織がクリアしなければならないことは何でしょうか。
マルチクラウドにおけるログ監視、3つのポイント
マルチクラウドは、複数のパブリッククラウドを組み合わせたクラウドの活用形態です。運用するサービスが多岐に渡るため、ログ監視を行うデータも多様かつ膨大になります。
マルチクラウドのログ監視には、次の3つのポイントがあります。
ログの一元管理と可視化
パブリッククラウドのプロバイダーは、それぞれ独自の管理ツールやダッシュボードなどの可視化ツールを提供しています。
ところが、マルチクラウドを活用する場合には、独自のツールが混在することによって、かえって煩雑になります。個別の使い方を学んだ上で、画面を切り替えてログ監視をしなければならないからです。重大なインシデントの予兆を見逃してしまう可能性があります。
したがって、それぞれのログを集約し、クラウドを横断して一元管理できる統合ツールが必要です。
ログデータは構造化されていることが理想ですが、構造化されていないこともあります。構造化されたデータであれば、ログから特定期間のデータを集計したメトリクス、個別のアクションであるイベントを迅速に抽出できます。ログの粒度を考慮しながら、複数のクラウドを俯瞰して比較できるダッシュボードが求められます。
AIによるログの分析
さまざまな領域でAIが活用されるようになりましたが、セキュリティのログ監視分野でもAIは大きな成果をあげています。膨大なマルチクラウドのログ監視は、人間が処理するには負担が大き過ぎます。人工知能の機械学習によってインシデントのパターンを抽出、人間では見落としがちな傾向を察知して、迅速な対応を実現します。
インシデント対応などの自動化
セキュリティの脅威に対して、企業は24時間365日の対応が求められます。人的リソースだけで対応しようとすると人材コストが膨れ上がり、重大なインシデントの見逃しやヒューマンエラーの発生など、さまざまなリスクがあります。
SOAR(Security Orchestration, Automation and Response:セキュリティオーケストレーション自動応答)のサービスが注目されるようになりました。人工知能でログを分析するし、インシデント対応の自動化を行います。人材不足を補うとともに、運用パフォーマンスの可視化を実現します。
Azure Sentinelによるログ監視
Azureのプラットフォームを利用して、ログ監視の一元管理と可視化、AIによる分析、自動化などSIEMおよびSOARを実現するのがAzure Sentinelです。
マルチクラウドの規模でログデータを収集し、AIによる脅威検出、視覚的なインターフェースによる調査、Playbookによる自動化などの機能を備えています。AzureにはセキュリティやAIなどのさまざまな独自の機能がありますが、それらを最大限に生かした統合型のセキュリティソリューションといえるでしょう。
Azure Sentinelは、多様なコネクタによってMicrosoftのソリューションとリアルタイムで統合可能なことはもちろん、Microsoft 以外のソリューションにも対応しています。一般的なイベント形式のCEF、Syslog、REST-APIなどのデータソースに対して、コネクタを介してAzure Sentinelに接続できる機能を備えています。
データソースに接続後は、脅威を検出するためのルールを簡単に作成できる組み込みのテンプレートが用意されています。Microsoftのセキュリティに関する専門家とアナリストによるチームが、既知の脅威や疑わしい行動などに基づいて設計したものです。このようなナレッジに加えて、AIの機械学習を使ったインテリジェントな対策を実現します。
また、Playbookを利用して一般的なセキュリティ対策のタスクを自動化し、Azureのサービスと既存のツールを統合することが可能です。Azure SentinelのオートメーションとオーケストレーションはAzure Logic Appsで構築され、高度な拡張を実現するアーキテクチャが用意されています。
TISのAzure Sentinel導入支援
Azure Sentinelは、ログ監視の一元管理や自動化を行うことによって、マルチクラウドのセキュリティ対策を強化します。しかし、導入にあたってはAzure全般の機能を理解し、運用上の課題をどのように解決するか計画を立てる必要があります。
TISでは、Azure Sentinelの導入におけるアセスメント、導入支援、ヘルプデスクのサポートを提供しています。それぞれ概要を紹介していきましょう。
ヒアリングとディスカッションを重視したアセスメント
Azure Sentinelの導入にあたって、システム面と体制面から現状の分析を行います。システムに関してはマルチクラウドの利用状況を明確にして、体制では従業員などのスキル、人物、役割を整理します。
ヒアリングは2週間を費やしますが、その後およそ4週間をかけて、システム仕様と要件をディスカッションします。要件の整理から2週間で、導入計画案と導入タスクをアウトプットとしてまとめます。
アウトプットとして、分析対象一覧、分析機能一覧、構成概念図、運用概念図、スケジュール案などの導入計画関連のドキュメントと、導入と運用のタスク一覧を提供しています。
導入支援は、スタートアップとエンタープライズの2種類を用意
アセスメント後にAzure Sentinelを構築する導入支援サービスとして、ITSでは、スタートアップサービスとエンタープライズサービスの2つを用意しています。
スタートアップサービスでは、Azureのログソース3つまで対応し、ログソース取込と管理者ロールの設定、簡単な操作説明を行います。
エンタープライズサービスの場合、対応できるAzureのログソースは無制限です。社内およびマルチクラウドの社外のログソースの取り込みと管理者ロールの設定を行います。個別ルール、Workbook、Playbook、個別手順書などを作成するメニューがあります。スクリプトの開発にも対応します。
ヘルプデスクをサポート、スポットによる支援も提供
ヘルプデスクのサービスに関して、操作方法、アラート内容に対するQAをサポートします。Chatbotによる即時対応も提供する予定です。TISが独自で収集した脅威の情報、脆弱性をもとにAzureMLの機械学習を利用したオリジナルのルールも提供しています。
スポットによるサポートも展開し、操作説明、レポート作成、WorkbookやPlaybookの作成支援があります。インシデント発生時のオンサイトおよびリモートによる支援も行います。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
マルチクラウドのログ監視では、インシデントの発見や対策の迅速化が重要になります。AIや自動化を積極的に活用するとともに、SOCのような組織のセキュリティ担当者に対する可能な限りの負荷軽減が求められます。
Azureの大きな特長はマルチクラウド対応です。そして、Azure Sentinelによってクラウドを横断したログ監視が可能になります。運用を視野に入れた導入を設計すべきですが、TISでは、Azure Sentinelの導入から運用まで一貫して支援するサービスを提供しています。
