🏛️

Amazon Security Lake

セキュリティデータの「総合図書館」

フルマネージド型セキュリティデータレイク

📖 たとえ話で理解するSecurity Lake

🏛️ Security Lake = セキュリティ情報の「総合図書館」

あなたの会社には、様々な部門があります。各部門がそれぞれ独自の方法で記録を取っていたら、全体像を把握するのは大変ですよね? Security Lakeは、 会社全体のセキュリティ記録を一か所に集め、同じフォーマットで整理する「総合図書館」 のような役割を果たします。

📚

様々な部門の記録を収集

営業部、経理部、IT部...各部門(AWSサービス)からの記録を自動収集

📋

統一フォーマットで整理

バラバラだった記録をOCSFという共通形式に変換して整理整頓

🔍

必要な情報をすぐ検索

整理された情報は分析ツールで簡単に検索・分析可能

🔐

アクセス権限を管理

誰がどの情報にアクセスできるかを細かく制御

💡 Security Lakeとは?

AWS環境、SaaSプロバイダー、オンプレミス、クラウドソースからの
セキュリティデータを自動的に一元化する専用データレイク

🔄 Security Lakeのデータフロー
🛤️ CloudTrail
🌊 VPC Flow Logs
🌐 Route 53
🛡️ Security Hub
🔥 WAF
⬇️ 自動収集 & OCSF正規化
🏛️

Amazon Security Lake

S3バケット + Apache Parquet形式

⬇️ サブスクライバーへ提供
📊 Athena
📈 QuickSight
🤖 SageMaker
🔎 OpenSearch
🛠️ サードパーティ

📐 OCSFとは?なぜ重要?

🔧

Open Cybersecurity Schema Framework

OCSFは、セキュリティデータの オープンスタンダード(共通言語) です。 異なるソースからのデータを同じ形式に変換することで、分析が容易になります。

📝 変換前の問題

CloudTrailは「userIdentity」、VPC Flow Logsは「srcaddr」...同じ情報でも形式がバラバラで統合分析が困難

✨ OCSF変換後

全てのソースが「actor.user.name」「src_endpoint.ip」など共通のフィールド名に統一され、一括分析が可能に

🎯 メリット

異なるベンダーの分析ツールでも同じクエリで分析可能。ツール選択の自由度が大幅アップ

📥 自動収集されるデータソース

🛤️

CloudTrail

APIコール履歴
(管理イベント・データイベント)

🌊

VPC Flow Logs

ネットワークトラフィック
の記録

🌐

Route 53 Resolver

DNSクエリログ

☸️

EKS監査ログ

Kubernetesの監査記録

🔥

WAFログ

Webアプリケーション
ファイアウォールログ

🛡️

Security Hub検出結果

50以上のセキュリティ
ソリューションからの統合

💡 さらに追加可能: サードパーティセキュリティソリューション、オンプレミスからのログ、 AWS AppFabric経由のSaaSアプリケーション監査ログなども統合できます

🏗️ Security Lakeの動作の仕組み

1

データ収集

AWS サービスやサードパーティソースからセキュリティログ・イベントを自動収集。マルチアカウント・マルチリージョン対応。

2

正規化 (OCSF変換)

異なる形式のデータをOCSFスキーマに自動変換。AWS Glueを使用してデータカタログを作成。

3

ストレージ最適化

Apache Parquet形式に変換してS3に保存。自動パーティショニングでクエリ効率を向上。

4

ライフサイクル管理

カスタマイズ可能な保持設定と自動ストレージ階層化でコスト最適化。

5

サブスクライバーへ提供

Lake Formation経由のアクセス制御で、分析ツールやセキュリティソリューションにデータを安全に提供。

👥 サブスクライバー(データ利用者)の仕組み

Security Lakeに蓄積されたデータは、「サブスクライバー」として登録されたサービスやアカウントからアクセスできます。

📂 データアクセス

S3バケットへ直接アクセス。SQS通知で新しいデータの到着を検知。Lambda等でリアルタイム処理が可能。

👉 向いている用途:リアルタイムアラート、自動対応

🔍 クエリアクセス

Lake Formation経由でGlueテーブルにクエリ実行。Athena等で分析・調査が可能。

👉 向いている用途:セキュリティ調査、フォレンジック

🎯 主なユースケース

🔍 セキュリティ調査・インシデント対応

複数ソースのログを統合的に分析し、セキュリティインシデントの迅速な検出・調査・対応を実現。

📊 脅威検出・SIEM連携

Splunk、IBM QRadarなどのSIEMツールと連携し、高度な脅威検出と相関分析を実施。

✅ コンプライアンス監視

ロールアップリージョン機能でデータを集約し、規制要件に基づいた監視・レポート作成を効率化。

🤖 機械学習による異常検知

SageMakerと連携し、ユーザー行動分析(UEBA)や異常パターン検出を機械学習で実現。

⚖️ Security Hub との違い

項目 Security Hub Security Lake
主な目的 脅威の検知と通知 ログの集約と分析基盤
データ形式 ASFF (AWS Security Finding Format) OCSF (オープンスタンダード)
保存先 Security Hub内部 顧客所有のS3バケット
分析 ダッシュボードで可視化 任意のツール(Athena, SageMaker等)
長期保存 90日間 カスタマイズ可能(年単位も可)
利用シーン リアルタイムアラート・対応 詳細分析・機械学習・コンプライアンス

💡 組み合わせがベスト: Security Hubで脅威を検知・通知し、Security Lakeで長期保存・詳細分析という使い分けが効果的です。Security HubのFindingsもSecurity Lakeに自動統合されます。

Security Lakeのメリット

🎯

一元管理

マルチアカウント・マルチリージョンのセキュリティデータを一か所に集約。全体像の把握が容易に。

🔧

標準化されたデータ

OCSF形式への自動変換により、異なるソースのデータを統一的に分析可能。

🔐

データの所有権

データは顧客所有のS3バケットに保存。完全な制御と所有権を維持。

💰

コスト最適化

自動ストレージ階層化と効率的なParquet形式でストレージコストを削減。

🛠️

分析の自由度

Athena、QuickSight、SageMaker、サードパーティツールなど好みの分析ツールを選択可能。

迅速な導入

数クリックで有効化。AWSネイティブログは自動的に収集開始。

💳 料金体系

Security Lakeの料金は主に以下の要素で構成されます

📥

データ取り込み

取り込まれたデータ量に応じて課金

🔄

データ変換

OCSF形式への変換処理量

💾

ストレージ

S3のストレージ料金(別途)

🎁

無料トライアル

15日間の無料トライアル

⚠️ 導入時の注意点

⚡ 知っておくべきポイント

  • AWS Organizations環境では、管理を別アカウントに委任する設定が推奨されます
  • Security Lake自体の料金に加え、S3ストレージ、Glue、分析ツールの料金が別途発生します
  • 大量のログを収集する場合、コスト見積もりを事前に確認することを推奨
  • カスタムソースからのデータはOCSF形式への変換が必要です
  • リージョンごとに有効化が必要。ロールアップリージョンで集約可能

📝 まとめ

Amazon Security Lakeは、セキュリティデータの「総合図書館」として
バラバラなログを一元化・標準化し、高度な分析を可能にします

🏛️ データの一元化 📐 OCSF標準化 🔐 顧客所有のS3 🛠️ 分析の自由度 💰 コスト最適化

セキュリティ調査、コンプライアンス、機械学習による脅威検出など
高度なセキュリティ分析を実現したい組織に最適なサービスです

Created by SSuzuki1063

AWS SAP Learning Resources