目次
セキュリティData Lakeとは何ですか?
セキュリティ・ Data Lake(SDL)は、組織全体から多様なセキュリティデータ(ログ、ネットワークトラフィック、アラート、脅威インテリジェンス)を収集・保存する、拡張性の高いリポジトリです。セキュリティ態勢を一元的に可視化することで、従来のシステムの限界を克服し、分析、AIを活用した脅威検知、迅速なインシデント対応、および長期的な脅威ハンティングを可能にします。 データは分析のために生データ形式(構造化、半構造化、非構造化)で保存され、UEBA、不正検知、コンプライアンス対応などの機能をサポートします。
主な機能とメリット:
- 一元化されたデータ:エンドポイント、ネットワーク、クラウド、およびセキュリティツールからのテレメトリデータを一か所に集約します。
- 高度な分析:高度な脅威を検知するために、機械学習、AI、および行動分析に対応しています。
- 脅威ハンティング:セキュリティアナリストが、過去のデータを活用して脅威を積極的に探索できるようにします。
- インシデント対応:フォレンジック調査に必要な包括的なデータを提供することで、調査を迅速化します。
- 拡張性とコスト:従来のデータウェアハウスとは異なり、膨大なデータ量を低コストで処理できます。
- 柔軟性:データをネイティブ形式で保存するため、あらゆるデータ型に対応しています。
仕組み:
- 収集:ファイアウォール、エンドポイント、クラウドサービス、ログなどから生データを収集します。
- ストレージ:すべてのデータを、柔軟でスケーラブルなリポジトリ(S3やADLSなど)に保存します。
- 分析:分析、検知、可視化のために、さまざまなツール(AI、SIEM型プラットフォーム、カスタムスクリプトなど)を活用する。
- アクション:アラートを発動させ、SOARプレイブックに情報を反映させ、またはコンプライアンス報告に活用する。
これは、情報セキュリティに関する一連の記事の一部です。
セキュリティ・データレイクの主な機能とメリット
一元化されたデータ
エンドポイント、サーバー、ネットワーク機器、ID管理システム、クラウドインフラなど、さまざまなソースからのログやテレメトリを統合することで、組織はIT環境全体の可視性を高めることができます。この集約によりデータのサイロ化が解消され、アナリストは、そうでなければ関連付けが困難だった異なるドメインのイベント間の相関関係を分析できるようになります。
一元化により、調査が迅速化され、コンプライアンスの遵守が促進されるほか、アクセスできない形式や場所に保存されていたために重要な証拠が見落とされることを防ぐことができます。さらに、セキュリティ・データレイクに一元化されたデータであれば、ガバナンスの実施、保存期間ポリシーの適用、および規制遵守のための監査が容易になります。
Advanced Analytics
セキュリティ・データレイクは、多くの従来のSIEMの範疇を超える分析機能を実現するために構築されています。膨大な量の生データや加工済みのセキュリティ・テレメトリを活用することで、組織は機械学習、統計分析、およびカスタムデータモデルを活用し、異常なパターン、行動の逸脱、および侵害の兆候を特定することができます。
アナリティクスを活用することで、シグネチャベースのツールやルール中心の監視システムをすり抜ける可能性のある、横方向の移動や緩やかに進行する攻撃といった高度な脅威を検知することが可能になります。また、セキュリティ・データ・レイクが持つ分析能力は、インシデント対応を迅速化し、ビジネス主導のセキュリティ上の意思決定を支援します。
脅威ハンティング
膨大な量のテレメトリデータが継続的に取り込まれ、アーカイブされることで、アナリストは、初期の検知をすり抜けた可能性のある攻撃者の活動の兆候を探るために必要な、十分な過去のデータにアクセスできるようになります。SDLを活用することで、チームは異なるデータセット間を迅速に切り替え、仮説を検証し、エンドポイント、ネットワークフロー、ユーザー行動にわたる証拠を相互に関連付けることが可能になります。
包括的で、生データや加工済みのデータにアクセスできることで、ハンターは複雑な検索を構築し、ハンティングのプレイブックを自動化することができ、脅威の検出速度と精度を向上させることができます。セキュリティ・データレイクは、多くの場合、オープンソースや商用脅威インテリジェンスとの連携をサポートしており、最新の侵害の兆候(IoC)や攻撃手法に基づいたハンティングを可能にします。
インシデント対応
インシデント対応には、インシデントの発生過程における適切な文脈と全体像を把握することが不可欠です。セキュリティ・データレイクはフォレンジックレベルのデータ保持機能を提供し、対応チームが攻撃者の行動を再現し、侵害の範囲を特定し、使用された手口を突き止めることを可能にします。この広範かつ詳細なデータへのアクセスにより、根本原因の分析が加速され、効果的な是正策の策定が可能になります。
SDLは、オーケストレーションおよび自動化プラットフォームと連携することで、インシデント対応の一部のプロセスを自動化できます。例えば、不審なイベントが検出された場合、あらかじめ定義されたワークフローが、リアルタイムおよび過去の分析データに基づいて、封じ込め措置、通知、またはプレイブックの実行をトリガーすることができます。
拡張性とコスト
セキュリティ・データ・レイクのアーキテクチャでは、通常、ストレージと演算処理が分離されており、これによりデータ量や分析ニーズに応じて弾力的に拡張することが可能になります。 組織がより多くのセキュリティデータを生成するにつれて、SDLは高額なアップグレードや移行を必要とすることなく、指数関数的な成長に対応できます。これは、ペタバイト規模のデータ保持ニーズに対して処理能力が追いつかない、あるいはコスト的に現実的ではなくなる可能性のある多くのレガシーSIEMシステムに比べて、大きな利点となります。
コストの観点から見ると、汎用クラウドストレージや分散ファイルシステムを利用することで、ログ保存にかかる1テラバイトあたりのコストを大幅に削減できます。コンピューティングリソースはオンデマンドで割り当てることができ、組織は分析やインシデント対応の際に実際に使用した分のみを支払うことになります。
柔軟性
柔軟性は、セキュリティ・データ・レイク(SDL)の最大の特徴です。多くの場合、データが事前に定義されたスキーマや形式に準拠することを要求する従来のSIEMとは異なり、SDLは構造化データ、半構造化データ、非構造化データのセキュリティデータをネイティブに格納することができます。つまり、組織はデータを取り込む前に、ログファイルの前処理や変換を強制されることはありません。
この適応性は、データに対して用いられる分析ツールや手法にも及んでいます。各チームは、オープンソース、プロプライエタリ、あるいは独自開発の分析エンジン、クエリ言語、可視化プラットフォームを適用し、ユースケースごとに最適なツールを選択することができます。これにより、ベンダーロックインのリスクが低減され、セキュリティ運用チームはイノベーションを迅速に取り入れるための俊敏性を確保できます。
セキュリティ「Data Lake」の仕組み
ここでは、セキュリティ・データレイクにおける一般的なプロセスの概要を説明します。
1. 摂取
インジェストは、セキュリティ・データレイクのワークフローにおける最初のフェーズであり、幅広いソースからセキュリティ関連データを収集することに重点が置かれています。これには、エンドポイントのログ、ファイアウォールの記録、ネットワークテレメトリ、IDおよびアクセスログ、クラウドアクティビティイベント、アプリケーショントレース、脅威インテリジェンスフィードなどが含まれることがよくあります。
SDLは、バッチ処理およびリアルタイムストリーミングの両方のパイプラインからのデータ取り込みに対応しており、セキュリティ分析のために、過去のデータと時間的制約のあるデータの両方が確実に収集されるようにします。 データ取り込みを簡素化するため、組織ではプロトコルの変換、データの正規化、およびデータエンリッチメントを処理する専用のデータコネクタ、フォワーダ、ブローカーを導入しています。これにより、データ形式の標準化、コンテキストメタデータの付加、および収集時点でのレコードへのタグ付けが可能になります。
2. 保管
セキュリティ・データレイクは、スケーラブルで高スループットなストレージソリューションを活用し、膨大な量の多様なセキュリティデータを数週間、数ヶ月、あるいは数年単位で保持します。 これらのストレージバックエンド(一般的にはクラウドオブジェクトストレージ、データレイクプラットフォーム、または分散ファイルシステム上に構築される)により、組織は生データ、エンリッチされたデータ、および処理済みデータを別々の論理領域に保管することが可能となり、階層化された保存期間管理やコスト最適化戦略をサポートします。
ストレージとコンピューティングを分離することで、セキュリティ・データレイク(SDL)は、継続的な分析のニーズにかかわらず、データを大規模に取り込み、保持することを可能にします。冗長性、耐久性、暗号化はSDLストレージの標準機能であり、データの完全性と機密性を確保します。きめ細かなアクセス制御とログ記録により、権限を持つアナリストや自動化されたプロセスのみが、機密データを取得または操作できるようになっています。
3.分析
セキュリティ・データレイク内での分析には、保存されたすべてのデータに対するクエリ実行、相関分析、異常検知、および機械学習に基づく調査が含まれます。アナリストや自動化プラットフォームは、SQLに類似した言語、グラフ分析、およびカスタム検知ロジックを活用して、履歴データやリアルタイムのイベントストリームを精査します。
大規模な分析機能により、表面的なデータセットやサイロ化されたデータセットでは見落としがちなパターン、不審な行動、および長期にわたる攻撃者のキャンペーンを特定することができます。このアーキテクチャでは、複数の分析ワークロードを並行して実行することが可能であり、リアルタイムのアラートから、詳細なフォレンジック再構築、コンプライアンス報告に至るまで、あらゆるニーズに対応しています。
4. アクション
「アクション」は、セキュリティ・データ・レイク(SDL)のワークフローにおける最終段階であり、分析から得られた知見を運用上および防御上の対応へと反映させる段階です。セキュリティ自動化プラットフォームやオーケストレーションツールはSDLと連携し、脅威が検出された際に、封じ込め措置の起動、アラートの優先順位付け、あるいは調査プレイブックの開始を可能にします。
SDLでは関連するすべてのコンテキストデータにアクセスできるため、対応が迅速化され、より的確な判断が可能になります。自動化されたアクションに加え、SDLは、複雑で多段階にわたるインシデント対応において、アナリストに状況の全体像を把握させることで、手動による対応の効率を高めます。アナリストは、データレイクから得られる豊富なコンテキスト情報を活用して、異なるデータセット間を横断的に分析し、仮説を検証し、他のチームと連携することができます。
エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、検知や調査の精度を実際に高めるセキュリティ・データレイクを効果的に構築・運用するためのヒントを以下に紹介します:
- 「フォレンジック上の不変性」を最優先の設計目標とする:生データ領域にはWORM/オブジェクトロックと改ざん検知可能な監査証跡を採用し、その場での更新を禁止する。法務部門から「これは信頼できるか」と問われた際、一言で答えられるようにしておく必要がある。
- ログではなく、エンティティグラフに基づいてレイクを設計しましょう。一貫性のあるエンティティモデル(ユーザー、デバイス、ワークロード、アプリ、サービスアカウント、IP、テナント)を構築し、すべてのパイプラインで少なくとも1つのエンティティキーを解決するようにします。これにより、問題の追跡は「世界中のデータをgrepで検索する」のではなく、「エンティティを追跡する」という形になります。
- 「タイム・トゥルース」を一度明確に定義しておかないと、すべてのインシデントのタイムラインが誤ったものになってしまいます。event_time と ingest_time のどちらかを標準として採用し、両方を保存するとともに、タイムゾーンやソースのクロックずれを記録し、ソースごとのドリフトを測定してください。そうすれば、インシデント対応(IR)の際に、複数システムにわたる一連の出来事を確実に再構築できるようになります。
- 「スキーマ・オン・リード」を言い訳ではなく特権として扱う:生データは生データのままで保持しつつ、ユースケースの80%に対応する「承認済みビュー」(厳選されたスキーマ)を公開する。アナリストが「src_ip」を表す15ものベンダー固有のフィールド名を覚える必要はないはずだ。
- データ品質のSLOをSOCのページャー当番表に組み込む:完全性、解析成功率、データ充実度のカバレッジ、およびレイテンシをSLOとして追跡する(例:5分以内に99%が解析される)。パイプラインが静かに停止してしまうと、検知作業は見せかけのものになってしまう。
セキュリティに保存されるセキュリティデータの種類Data Lake
エンドポイント、ネットワーク、ID、およびクラウドのテレメトリ
セキュリティ・データレイクは、エンドポイント(ノートパソコン、サーバー、モバイルデバイスなど)からのテレメトリデータを集約し、オペレーティングシステムのイベント、プロセスの実行状況、ファイルの変更、およびユーザーの行動に関する可視性を提供します。 ネットワークテレメトリ(ファイアウォール、ルーター、IDS/IPS、プロキシ、その他のアプライアンスからのログを含む)は、パケット、フロー、通信試行を捕捉し、横方向の移動、データ流出、またはポリシー違反の特定に役立ちます。
IDログには、認証イベント、権限昇格、ディレクトリサービスのアクティビティなどが含まれており、アカウントの不正利用や認証情報の盗難を検知するのに役立ちます。クラウドテレメトリは、IaaS、PaaS、SaaSの各プラットフォームにおけるAPIコール、リソースのプロビジョニング、および設定の変更を捕捉します。
アプリケーション、API、およびSaaSのセキュリティログ
アプリケーションセキュリティログは、インフラ上で実行されているカスタムソフトウェアや商用ソフトウェアの動作や状態に関する洞察を提供し、脆弱性、不正使用、または悪用試みの追跡に役立ちます。これらのログには通常、認証試行、エラーメッセージ、トランザクショントレース、およびアプリケーション内のセキュリティ制御のトリガーが記録されます。 これらの記録がSDLに保存されると、Webアプリケーションへの攻撃、APIの悪用、データ漏洩の検出といったユースケースを支援します。
組織が相互接続されたクラウドサービスへの依存度を高めるにつれ、APIおよびSaaSのセキュリティログは極めて重要となっています。APIログには、リクエスト、レスポンス、認証フロー、エラー状態が記録されており、統合ポイントを悪用しようとする試みや不正な操作が行われたことを明らかにします。SaaSプロバイダーからのセキュリティログには、管理操作、データ共有、ユーザーのプロビジョニング、ファイルへのアクセスなどが記録されることが多く、これらは監視において重要な情報となります。内部からの脅威あるいは外部からの侵害。
脅威インテリジェンスおよび文脈に基づく補足データ
セキュリティ・データ・レイク(SDL)は、外部および内部の脅威インテリジェンス・フィードもそのストレージに統合します。脅威インテリジェンスには、侵害の兆候(IOC)、攻撃者の手法、新たに発見されたマルウェアのシグネチャ、URL、ドメインリスト、および信頼できる情報源によって公開されたその他の構造化データが含まれます。これらをローカルのテレメトリデータとともにSDLに保存することで、組織は新たな脅威と過去のインフラストラクチャの活動との相関分析を自動化することができます。
コンテキストによるエンリッチメントデータは、資産インベントリ記録、脆弱性データベース、位置情報、ユーザーと役割のマッピングといったビジネスや環境に関するコンテキストを追加することで、セキュリティテレメトリの価値をさらに高めます。このエンリッチメントにより、アナリストはアラートの優先順位付けや、無害な異常と実際の脅威の区別をより容易に行うことができます。
SDL 対 従来の SIEM
セキュリティ・データレイク(SDL)と従来のセキュリティ情報・イベント管理(SIEM)システムは、同様の目的(セキュリティデータの収集と分析)を果たしますが、アーキテクチャ、柔軟性、コストの点で根本的に異なります。
従来のSIEMは、通常、ストレージとコンピューティングインフラが密接に連携していること、固定的なスキーマ、およびデータ量や取り込みレートに基づく高額なライセンス費用に依存しています。このため、コストを抑えてスケールアップすることが難しく、組織が長期的な分析のために保持できるデータの種類や量にも制限が生じてしまいます。
SDLストレージとコンピューティングを分離し、「スキーマ・オン・リード」アプローチをサポートすることで、大規模な前処理を必要とせずに、構造化データ、半構造化データ、非構造化データを柔軟に取り込むことができます。 このアーキテクチャの柔軟性により、IT環境全体にわたる可視性が向上し、従来のSIEMでは保存コストが高すぎて現実的ではなかった大規模なデータセットを用いた、機械学習、行動モデリング、過去の脅威の追跡といった分析が可能になります。
SIEMはリアルタイムのアラート通知やコンプライアンス対応といったユースケース向けに最適化されていますが、大規模な詳細な履歴調査や探索的分析を行う能力には欠けることがよくあります。SDLは、長期的なデータ保持、高スループットの分析、そして最新のデータおよびセキュリティツールとのオープンな連携のための基盤を提供することで、SIEMを補完または置き換えます。 多くの組織にとって、SDLは、検知、対応、およびセキュリティ分析の要件の進化に対応するための、より俊敏で経済的に持続可能なモデルとなっています。
セキュリティ・データレイクのユースケース
ユーザーとエンティティの行動分析(UEBA)
セキュリティ・データレイクは、ユーザー、デバイス、アプリケーション、およびサービスアカウントの活動について、経時的かつ環境横断的な可視性を提供することで、UEBAソリューションの機能を強化します。 エンドポイント、IDプロバイダー、ネットワークインフラストラクチャからの詳細なテレメトリデータを保存することで、SDLは数週間から数ヶ月にわたる行動のベースライン設定を可能にします。この履歴データは、内部者による脅威、認証情報の不正使用、横方向の移動といった異常な活動を検出するために不可欠です。
さらに、SDLが支援するUEBAプラットフォームは、機械学習を活用して、権限昇格や長期間にわたって展開される持続化手法といった高度な脅威を検知することができます。アナリストは、こうした知見を活用してリスクプロファイルを作成し、侵害された資産やアカウントの特定を自動化します。
SIEMの機能強化
組織では、SIEMプラットフォームの機能を強化したり、その負荷を軽減したりするために、セキュリティデータレイク(SDL)を活用することが一般的です。生データ、エンリッチされたデータ、フィルタリングされていないテレメトリデータをSDLに転送することで、チームはSIEMのストレージ容量の制限を克服し、データ取り込みコストを削減するとともに、古いデータや構造化されていないデータも、リアルタイムのアラートと併せて活用できるようになります。
これにより、企業全体から得られるコンテキストデータをSIEMワークフローに組み込むことで、脅威の相関分析の深化、根本原因分析の向上、およびより包括的なコンプライアンス報告が可能になります。さらに、SDLは、アクセス頻度は低いものの、インシデント調査や規制当局からの照会において依然として価値のある「コールド」データのバッファとしての役割を果たすことができます。
IDおよびアクセス分析
攻撃者が認証情報の悪用、脆弱な認証、特権の付与を悪用しようとするケースが増加している中、IDおよびアクセス分析は極めて重要です。セキュリティ・データレイクは、オンプレミスおよびクラウドの両方のソースから得られるIDシステムのログ、認証イベント、アクセス制御の変更情報を一元的に集約する場所を提供します。
この集約機能により、ユーザーの行動、権限の昇格、ログイン失敗、および横方向の移動の試みに関する高度な分析が可能になります。IDログを他のテレメトリ(エンドポイントやネットワークのアクティビティなど)と関連付けることで、アナリストは、侵害の発生前、発生中、発生後にIDがどのように操作されているかについて、より広範な視点を得ることができます。
AIおよびMLを活用した異常検知
セキュリティ・データレイクには膨大な量の多様なデータが蓄積されているため、AIや機械学習を活用した異常検知の導入に有効です。セキュリティチームは、過去のデータやストリーミング形式のテレメトリデータを用いてモデルを学習させることで、設定ミスのあるクラウド資産、侵害されたエンドポイント、攻撃者が用いる新たな戦術など、潜在的な脅威を示す状態や動作の微妙な変化を特定することができます。
また、機械学習を活用した分析機能により、イベントの分類や優先順位付けが自動化されるため、アナリストは最も関連性の高い、あるいはリスクの高い異常値に注力することができます。SDL上で直接、大規模かつ計算負荷の高いモデルを実行できることで、検出の速度と精度が最適化されます。
セキュリティ「Data Lake」の課題
SDLは大量のデータを保存するのに有用ですが、組織がSDLを利用する際には、いくつかの課題に直面することもあります。
セキュリティスタックとの統合の複雑さ
セキュリティ・データ・レイク(SDL)をセキュリティ技術スタック全体と統合することは、技術的および運用上の課題となります。あらかじめ統合機能が組み込まれたサイロ化されたシステムとは異なり、SDLでは、エンドポイント、ネットワーク、IDプロバイダー、クラウドサービス、およびカスタムアプリケーションからのデータをシームレスに流すために、カスタムコネクタや手動での設定、データ形式の綿密なマッピングが必要となる場合が多くあります。
統合が非効率的であったり不完全であったりすると、重要なセキュリティイベントを見逃したり、一貫性のないデータセットが生成されたりするリスクがあり、その結果、検知や調査活動の信頼性が損なわれます。また、サードパーティのAPIの絶え間ない変更、新たなテレメトリソースの登場、データ規制の進化などにより、統合を継続的に維持することも複雑です。 各データソースのライフサイクルを考慮し、フォーマットの変化に合わせて正規化を自動化し、ドキュメントを適切に管理する必要があります。
有能な労働者の不足
セキュリティ・データレイクの構築、運用、最適化には、データエンジニアリング、クラウドプラットフォーム、セキュリティ分析、インシデント対応に精通した専門家が必要です。セキュリティ運用と高度なデータ管理の概念の両方を理解している人材への需要が高まっていることから、既存のサイバーセキュリティ人材不足はさらに深刻化しています。
組織がチームに十分なリソースを割り当てられない場合、こうした人材の不足はSDLプロジェクトの遅延や運営費の増加を招き、プラットフォームの活用不足につながる恐れがあります。この問題に対処するため、一部の組織ではマネージドサービスや社内スタッフのスキルアップを図る研修プログラムを活用していますが、優秀な人材をめぐる競争は依然として激しい状況です。
自社開発にかかる高いコスト
社内のセキュリティ・データレイク・プラットフォームを構築するには、多額の初期費用と継続的なコストがかかります。 堅牢なデータ取り込み、耐障害性に優れた多層ストレージ、分析機能の統合、コンプライアンス対応ツールといった技術的要件を満たすには、専門的なエンジニアリング作業と継続的なサポートが必要となります。特に、スタッフの工数、インフラ、監視、およびプラットフォームの保守費用を考慮すると、これらのコストはライセンス型やマネージド型のソリューションのコストをすぐに上回ってしまう可能性があります。
コネクタのカスタマイズ、新しいデータ型に対応したパイプラインの更新、変化するコンプライアンス要件への適合確保といった必要性から、隠れたコストが発生することがよくあります。組織は、自社開発に着手する前に、総所有コスト(TCO)を慎重に評価し、必要に応じて商用製品やオープンソースの代替案も検討すべきです。
セキュリティ運用におけるベストプラクティスData Lake
組織がSDLを最大限に活用するための方法をいくつかご紹介します。
1. 明確な脅威主導型のデータ取り込み戦略から始める
セキュリティ・データレイク・イニシアチブを成功させるには、明確に定義された、脅威を重視したデータ取り込み戦略から始める必要があります。組織は、最優先のリスク領域(規制対象データ、ミッションクリティカルなシステム、既知の攻撃対象領域など)を特定し、それらの脅威に対処するために最も関連性の高いデータソースを判断する必要があります。
このアプローチにより、リソースを効率的に活用し、不必要なデータ過多を回避するとともに、SDLがビジネスおよびセキュリティ上の優先事項に直接合致したテレメトリデータを確実に収集できるようになります。また、明確な脅威シナリオに基づいてデータ収集の優先順位を付けることで、セキュリティチームの価値実現までの時間を短縮することもできます。
2. 生データ、加工済みデータ、分析用データを分類する
セキュリティ・データレイクにおいて効果的なデータ管理を行うには、生データ、エンリッチメント済みデータ、分析対応データをそれぞれ異なるストレージ層に分離することが重要です。生データは、フォレンジック上の完全性を維持し、新しい分析やエンリッチメントロジックが利用可能になった際に再処理を行えるよう、最小限の処理のみを施して取り込み、保存する必要があります。
エンリッチされたデータは、脅威インテリジェンスやビジネス資産タグなどのコンテキストメタデータによって生データを補完し、検索性と相関分析の可能性を向上させます。分析対応データは、特定の検知および対応ワークフローで使用できるよう精選されており、パフォーマンスと使いやすさを最適化した正規化およびフォーマット処理が施されています。これらの段階を分離することで、パイプラインの信頼性が向上し、リソースの割り当てが簡素化されます。
3. アナリストに対する厳格な本人確認およびアクセス制御を実施する
セキュリティ・データレイク内に保存される情報は重要かつ機密性が高いため、機密データへのアクセスを適切に管理することが不可欠です。特定のデータセットに対して、権限を持つアナリストやシステムのみがクエリを実行したり、データを充実させたり、変更したりできるようにするため、包括的なアイデンティティおよびアクセス管理(IAM)の制御措置を実施する必要があります。
これには、最小権限の原則の徹底、多要素認証、アカウントの自動プロビジョニング、およびすべてのアクセスイベントに対するきめ細かな監査ログの記録が含まれます。アクセス権限の継続的な監視と定期的な見直しを行うことで、権限の拡大を防止し、規制や社内ポリシーの要件への準拠を確保することができます。
4. 「データ品質」およびパイプラインの状態を継続的に監視する
セキュリティ・データレイク内のデータの品質は、検知、対応、およびコンプライアンス活動の有効性に直接影響を与えます。データの整合性を検証し、取り込みエラーを検出し、データ量、形式、またはエンリッチメントの完全性における異常を特定するために、自動監視ツールを導入する必要があります。
取り込みおよび処理パイプラインに対して一貫したヘルスチェックを実施することで、障害を迅速に検知し、調査を妨げる恐れのあるデータ損失や分析上の死角を軽減できます。問題を迅速に特定し、対処するためには、明確なレポートおよびアラート体制が不可欠です。データ品質指標の定期的な見直しと、アナリストやSOCチームからのフィードバックを組み合わせることで、パイプラインの信頼性を継続的に向上させることができます。
5. 調査のニーズに合わせて保存および保管期間を調整する
セキュリティ・データレイクにおける保存およびデータ保持ポリシーは、組織の調査、コンプライアンス、およびビジネス上のニーズと密接に連携させる必要があります。すべてのテレメトリデータが同等の価値を持つわけではなく、保持に関する規制要件も一律ではないため、組織はデータの機密性、有用性、および法的要件に基づいてデータを分類する必要があります。
これにより、古いデータやアクセス頻度の低いデータを、利用頻度が低くコストの安いストレージに移行し、一方で、価値の高いデータや最近のデータについては、進行中の調査のためにすぐに検索可能な状態に保つといった、階層型ストレージ戦略の適用が可能になります。 データ保持期間の設定においては、コスト、コンプライアンス、およびフォレンジック上の要件のバランスを取る必要があります。明確なポリシーを設定し、ストレージプラットフォームを通じてその適用を自動化することで、予算を超過したり規制上のリスクを招いたりすることなく、必要な期間にわたってデータを確実に利用可能にすることができます。
セキュリティData LakeにはExabeam
Exabeamスケーラブルなテレメトリストレージと、行動分析、検知エンジニアリング、調査ワークフローを組み合わせることで、セキュリティ・データレイク・アーキテクチャをサポートします。組織は、エンドポイント、ネットワーク、ID、クラウド、アプリケーションのアクティビティ全体にわたって分析を適用しながら、大量のセキュリティ・テレメトリを保持することができます。
Exabeam New-Scale Analytics本ソリューションは、大規模なデータプラットフォームやセキュリティデータレイク上で動作するように設計されており、組織はすべてのデータを従来のSIEM内に格納することなく、生データや加工済みのテレメトリデータを分析することができます。このアプローチにより、環境全体にわたる可視性が向上すると同時に、セキュリティチームがデータのサイロ化やデータ取り込みのボトルネックを解消できるよう支援します。
Exabeamセキュリティ・データレイク環境に一般的に見られる機能には、次のようなものがあります:
- ユーザー、デバイス、サービスアカウントにわたる行動分析と異常検知
- 過去のテレメトリデータと詳細なコンテキスト情報を活用した長期的な脅威ハンティング
- 内部脅威、認証情報の不正使用、およびラテラルムーブメント活動の検知
- クラウド規模のテレメトリ・プラットフォームおよびオープンデータ・アーキテクチャとの連携
- ID、エンドポイント、ネットワーク、およびクラウドのアクティビティを関連付ける調査ワークフロー
- AIを活用した分析により、調査の優先順位付けと迅速化を支援
多くの組織では、柔軟な保存・保持戦略を維持しつつ、検知の精度と調査の深さを向上させるため、既存のSIEMやセキュリティ・データレイクへの投資と併せてExabeamを活用しています。これにより、大規模なテレメトリ環境におけるUEBA、IDベースの検知、AIを活用した調査、高度な脅威ハンティングといったユースケースに対応することが可能になります。
「攻撃者視点に立ったセキュリティ運用」に関するホワイトペーパーをご覧ください
セキュリティ・データレイクはスケールと可視性を提供しますが、可視性だけではセキュリティ上の成果は向上しません。セキュリティチームには、ユーザー、システム、ID、クラウド環境にわたる実際の攻撃者の行動に合わせて、検知、調査、および対応の意思決定を整合させる手段が依然として必要です。
ホワイトペーパー『CISOのための「攻撃者の動向への対応」ガイド』では、セキュリティ責任者が、自組織の運用が実際の攻撃者の行動、組織のリスク、そして変化し続ける運用実態に適切に対応できているかどうかを評価する方法について考察しています。本ホワイトペーパーでは、行動分析、動的リスクスコアリング、IDベースの検知、および最新のSOCワークフロー全体における有効性の測定といったトピックを取り上げています。
ホワイトペーパーをダウンロードして、攻撃者を重視したセキュリティ運用が、検知の優先順位付け、調査の一貫性、およびリスクに基づく意思決定の改善にどのように役立つかをご確認ください。