Zenn
🔎

実践セキュリティ監視基盤構築(1): はじめに

2024/12/01に公開
Security
monitoring
tech

この記事はアドベントカレンダー実践セキュリティ監視基盤構築の1日目です。

はじめに

2000年頃にインターネットが普及し始めてから今日に至るまで、情報セキュリティに関する課題は大きくは変化していません。情報システムやネットワーク、アプリケーションの環境や構成要素、攻撃手法は変化しているものの、基本的な脅威や対策の方針は一貫しています。情報セキュリティ担当者は、継続的に発生する脅威に対して、適切な対策を講じる必要があります。

情報セキュリティの対策は、さまざまな要素を組み合わせて構築されます。その中でも、セキュリティ監視は重要な要素の一つです。セキュリティ監視は、情報システムやネットワーク、アプリケーションの状態を監視し、異常を検知することで、セキュリティインシデントを早期に発見し、対応するための情報を提供します。セキュリティ監視自体は直接的な防御策ではありませんが、ユーザーへの影響を最小限に抑えながら防止策を補助し、全体のセキュリティを向上させることができます。

セキュリティ監視は歴史のある対策手段であり、その本質は今も変わっていませんが、環境や技術の進化に伴い実現方法も変化してきました。かつては大量のデータを収集し分析する基盤を構築するには、高額な専用ソフトウェアを購入し、強力なサーバを設置し運用するための環境と人材を確保する必要がありました。しかし、現在ではクラウドサービスの普及に伴い、より安価でスケーラブルなセキュリティ監視が可能になっています。

クラウド時代のセキュリティ監視基盤

クラウド技術の普及に伴い、セキュリティ監視自体のクラウドサービスが登場したり、クラウドサービスプラットフォーム(Amazon Web ServicesやGoogle Cloudなど)上に自分でセキュリティ監視基盤を構築することが可能になり、多くの選択肢が生まれました。特に、セキュリティ監視のクラウドサービスは必要な機能が一体化されており、手軽に始めるには便利な手段となっています。専用ソフトウェアも機能が多彩になり、使い勝手が大きく向上しました。

しかし、セキュリティ監視の多くのソフトウェアやサービスは、データ量に応じた従量課金制が採用されています。現代では、情報システムの種類が増えたり、より詳細なログを取得できるようになったことで、セキュリティ監視に利用するデータ量も増加する傾向にあります。導入当初は問題にならなくても、監視範囲を広げたり、より深く監視しようとすると、コストが無視できない問題になることが多いです。

セキュリティ監視基盤を内製する

コストの問題を解決する一つの方法として、監視基盤を内製するアプローチがあります。現在ではクラウドサービスプラットフォームが進化し、さまざまなマネージドサービスが安価に提供されています。これらを組み合わせてセキュリティ監視基盤を構築することで、自社のニーズに合った監視基盤を作成することが可能です。クラウドプラットフォームのマネージドサービスも多くは従量課金型ですが、既存のサービスやソフトウェアを利用する場合に比べてコストは抑えられ、1/10以上のコスト削減が可能なケースもあります。

ただし、セキュリティ監視基盤を内製するにはいくつかの課題があります。特に、セキュリティ監視についての要件をもとに設計し・それを構築・運用できる人材が不足していることが挙げられます。これは、セキュリティ監視基盤をクラウドプラットフォーム上に構築する際に、セキュリティ監視の知識や経験、クラウドプラットフォームの機能やAPIの理解、ソフトウェアエンジニアリングの能力といった、複数のドメインにまたがるスキルが必要なためです。また、こうしたセキュリティ監視基盤の内製事例が少ないため、ベストプラクティスや成功事例を参考にすることも難しいです。

このような課題を解決する一助になればと思い、このアドベントカレンダーではGoogle Cloudを活用したセキュリティ監視のためのログ収集、保全、分析、アラート検知、対応のための基盤を内製する方法論や実例を提供します。検討から構築、運用までの流れを実践的に紹介し、セキュリティ監視基盤を内製するためのノウハウを提供します。もちろん、内製が常に最適な選択肢とは限らず、既成サービスやソフトウェアを利用したほうが良いケースもあります。しかし、内製の方法を理解することで、内製という選択肢を考慮し、既成サービスやソフトウェアとの比較をより適切に行えることが期待されます。

対象読者

このアドベントカレンダーは、情報セキュリティ担当者やインフラ・プラットフォーム担当者を対象としています。セキュリティ監視基盤を自社で構築することに興味がある方や、クラウド環境を利用してセキュリティ監視基盤を構築する方法を知りたい方におすすめです。また、既製のサービスやソフトウェアを導入してセキュリティ監視基盤を構築しようと考えている方にも、全体の設計、構築、運用の参考になると思います。

読者のスキルとしては、クラウドに関する基本的な知識や経験があることを前提としています。具体的には、各サービスの役割を理解し、多少触ったことがあるが、大規模なシステム構築の経験はないというレベルを想定しています。そのため、クラウドアーキテクチャに詳しい方には基本的な内容も含まれるかもしれませんが、その点はご了承ください。

また、情報セキュリティについても基礎的な知識があることを前提としています。具体的には、セキュリティの基本的な概念や脅威、対策についての理解があることを想定しています。セキュリティ監視については初心者でも理解できるように解説しますが、セキュリティの基本的な知識があるとより理解しやすくなると思います。

想定する環境と技術スタック

このアドベントカレンダーで紹介する技術スタックは以下の通りです。

  • クラウドプラットフォーム:Google Cloud
    • 大部分の機能は他のクラウドプラットフォームでも実現可能ですが、今回はGoogle Cloudを使用して構築します。
  • データストア:BigQuery
    • フルマネージドで安価に大量のデータを格納できるため採用しています。
  • 開発言語:Go
    • 主にGoogle Cloudのマネージドサービスを利用して構築しますが、データ処理などのために開発が必要な部分があります。
    • Goはパフォーマンスが比較的高く、Google Cloudとの親和性が高いため採用しています。
    • 実装については例として公開しているOSSがあるので、それもあわせて紹介します。

まとめ

明日からは、セキュリティ監視基盤を内製するための第一歩として、要件の整理、設計、実装の構成などを紹介します。セキュリティ監視基盤を内製することで、コストを抑えつつ、自社のニーズに合った監視基盤を構築することが可能です。必ずしも内製が最適な選択肢とは限りませんが、読んでいただく皆さんの参考になれば幸いです。

Discussion