Amazon Web Services(AWS)は、顧客が機械学習を利用してリソース内の異常を視覚化できるセキュリティツール「Amazon Detective」を正式リリースしたことを発表した。年次イベント「AWS re:Invent 2019」でプレビュー版が公開されたこのツールは、多くのセキュリティチームの苦労を終わらせる可能性が高い。
Amazon Detectiveは、AWSリソースから大量のログデータを収集し、AI(人工知能)、統計的分析、グラフ理論と組み合わせることで、潜在的なセキュリティ問題や不審なアクティビティーの根本原因を調査・特定する。また、ユーザーが利用しているAWS Guard Duty、AWS CloudTrail、Virtual Private Cloud Flow Logsなどから収集したデータを処理し、リソースの挙動や相互作用を要約したインタラクティブなグラフモデルに転換する。
AWS Security Hubのような、セキュリティ問題を発見しユーザーに通知する製品は既にあるが、多くの場合、セキュリティ担当者にとっての問題はアラートの根本原因を掘り下げ、分析することだ。
収集したデータをダッシュボードに組み込み、リソースの挙動を分析し、予想外のAPIコールやトラフィックの急上昇といった通例でないアクティビティーの兆候を特定するためには、セキュリティチームはまず、さまざまなデータソースからログを収集して結合し、モニタリングシステムから関連性のある情報を何テラバイトも抽出するといるという作業をこなさなければならない。
多くの中小企業は、こうしたプロセスの実施に必要なリソースを持たず、大企業であれば、集約対象のデータはあっという間に気が遠くなるような量になる。
「有効なセキュリティ調査に必要な情報を収集することは手間のかかるプロセスだった。このため、綿密な分析の重要性は分かっていても、中小企業には手が届かず、大規模なチームにとってもリソースの圧迫要因になりがちだった」と、AWSのセキュリティサービス担当バイスプレジデントのDan Plastina氏は言う。「Amazon Detectiveは、こうした周辺作業を一手に引き受ける。顧客は問題の根本原因を突き止め、再発を防ぐことに集中できる」
Detectiveツールの分析はAWSリソースに情報が追加されるごとに継続的にアップデートされる。また、顧客の質問に素早く回答できるように、セキュリティ問題と関連性のある集計データは最大1年間分保持される。例えば、AWSの脅威検知ツールであるGuardDutyが異常なコンソールログインAPIコールを識別した場合、Detectiveは特定の期間のAPIコールの経時的変化や、ジオロケーションマップを利用したユーザーのログイン試行データを提供できる。
まだアラートを検証できていない段階であれば、それが実際にセキュリティ脅威なのか誤検知なのかを識別するためにも利用できるし、特定のアラートと関連するリソース、IPアドレス、AWSアカウントを追跡し、さらなるアクションが必要かどうかも判断できる。
クラウドのワークロードはますます複雑化し、大量のデータを含むものとなっているため、Amazon Detectiveが提供する新サービスはAWSのユーザー、特に複数のAWSアカウントにデータやリソースを保有している顧客には歓迎されるだろう。
Amazonの上級デベロッパーアドボケイトのSebastien Stormacq氏は、Amazon Detectiveは複数のAWSアカウントにまたがって動作することを明らかにしたブログ記事の中で、「これは最大1000のAWSアカウントからデータや発見事項を収集し、セキュリティ部門が所有する単一の“マスター”アカウントに統合できるマルチアカウント対応ソリューションだ」と書いている。「企業は自社が所有するAWS環境全体のアクティビティーパターンやコネクションを簡単に、かつ視覚的に確認できるようになる」
この新機能は、クラウドのワークロードをサイバー攻撃から守り続けることに不安を抱きつつあるセキュリティチームにとっても安心材料となる。セキュリティ組織のCybersecurity Insidersが最近発表した報告書によると、サイバーセキュリティ専門家の93%はパブリッククラウドのセキュリティに対し、少なくとも中程度の懸念を抱いているという。この1年間にクラウドセキュリティインシデントを経験したと回答した組織は、4分の1を超えた。
Amazon Detectiveの初期テストに参加した組織の1つであるWarnerMediaで、パブリッククラウドセキュリティ部門を統率するChris Farris氏は、このツールは大小を問わず、あらゆる組織が十分な情報に基づいてセキュリティ問題を調査し、結論を下す助けになると指摘する。
「Amazon Detectiveは、大量のテレメトリソースを収集し、分析するという面倒な作業を引き受けてくれる」とFarris氏は言う。「大規模な組織であれば大きな効率化が期待できるし、小さいチームは独自に収集し、構築することが難しい情報やツールにアクセスできる」
AWSに確認したところ、Amazon Detectiveの使用に当たって追加料金はかからない。AWSのユーザーは、AWS CloudTrailやGuardDuty、Amazon Virtual Private Cloud Flow Logsから取り込まれたデータに対して料金を支払うだけで済む。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
