技術の世界では、永続的な関係の証明はインフラストラクチャにあります。結果が出るはるか前から、パイプライン、セキュリティサービス、そしてログ配管はシームレスに連携し、機能していなくてはなりません。
Sumo LogicとAWSが構築したのは、まさにこれを実現するものです。OCSF(Open Cybersecurity Schema Framework)などのオープンスタンダードへの準拠、Security HubやGuardDutyなどのサービスとの統合、そして共有テレメトリを介した接続により、大規模なクラウドセキュリティと可観測性が実現します。このパートナーシップは、カジュアルでも取引然としたものでもなく、ツールの共有や一貫した期待、そしてお客様が最も重要な実務に集中できるようにするための配管解決など、複雑な部分への対処のために時間をかけて設計されたものです。
この協力により、OCSFを通じてAWSの調査結果をSumo Logicへとネイティブに流すことができるようになったため、カスタムマッピングの必要性が低下しました。Amazon Security Lakeへの接続により、お客様はデータパイプラインを構築することなく、クラウドテレメトリを集中管理することができるようになりました。また、Amazon Bedrockなどのサービスとの連携により、AI・MLとの共同機能が拡張されたため、信頼性のある基盤の上でより迅速な検出、調査、および対応を行うことが可能になっています。これらは単なる点的統合ではなく、セキュリティチームおよび可観測性チームがデータの処理に費やす時間を減らし、防御、構築、および配信により多くの時間を費やせるようにすることを目的に行われた長年の調整の成果であるといえます。
Security Hubにおける変更点とその重要性
AWSは、セキュリティチームが日常的に直面する3つの現実的な問題、すなわち、シグナルの断片化、コンテキストの欠如、およびカスタムマッピングのコストに焦点を当てています。
まず第一に、Security Hubでは暴露調査結果が生成されるようになりました。サイロ化されたアラートの代わりに、調査結果はGuardDuty、Inspector、およびMacie全体で相関付けられ、真に重要な暴露が強調表示されるようになっています。優先順位付けの要素には、攻撃可能性、影響、そしてリソースの暴露が含まれており、これはノイズを明確なToDoリストへと変えます。例として、GuardDutyが異常なAPI呼び出しにフラグを立て、Inspectorが重大な脆弱性を示し、Macieが機密データを特定したとします。このような場合、Security Hubは1つの暴露調査結果を生成します。それは、インターネットにて公開されたこのEC2インスタンスが脆弱であり、機密データを含むほか、アクティブな偵察を受けている、といった内容のものです。Sumo Logicにおいて、この調査結果はエンティティコンテキストに直接流れ込み、ユーザーの行動やその他のテレメトリに結び付けられるため、アナリストは1つのビューでリスクの全体像を把握することができるようになります。
次にSecurity Hubは、企業チームが脅威、脆弱性、および設定ミスの関係を確認できるよう、サービス全体の調査結果をグループ化します。相関関係のインサイトにより、企業チームはトリアージから修復に移行するためのコンテキストを得ることができます。例として、GuardDutyによる不審なスキャン関連のアラートと、Inspectorが検出したオープンのSSHポートやIAM権限のConfig設定ミスを組み合わせて考慮することで、アセットが脆弱である、設定ミスがある、あるいは積極的にターゲティングされている、という仮説を立てることができます。Sumo Logicがグループ化されたビューを取り込み、MITRE ATT&CKテクニックに合わせて調整し、ワークフローやプレイブックに接続することで、アナリストは「何が起こったか」から「何をすべきか」に素早く方向転換することができます。
最後に、AWSはOCSFをフローに組み込みます。調査結果はOCSFとして配信され、自動化ルールはカスタム解析なしでそれらの属性に基づいて動作します。例として、SeverityがHighで、ResourceTypeがEC2である場合、インスタンスを分離する必要があります。Sumo LogicはOCSFをネイティブにサポートしているため、これらの属性はダッシュボード、分析、および自動化にクリーンにストリーミングされ、AWSおよびハイブリッド環境全体で一貫した対応が実現します。
OCSF:真に重要な配管
OCSFは、イベントと調査結果の形式を予測可能にし、バージョン管理できるよう設計されたオープンスキーマです。AWSやその他の業界関係者は、Security LakeやSecurity HubなどのサービスにOCSFを導入しており、その結果、テレメトリがより早期に、より一貫して標準化されるようになっています。ログと調査結果が標準的なスキーマに従う環境において、統合は1回限りのエンジニアリングプロジェクトではなくなります。
これはお客様にとって、3つの即時的な効果をもたらします。
- 脆弱性の少ないエンジニアリング。新しいソースやベンダーごとに何十ものカスタムパーサーを用意する必要はなくなります。
- インサイトの取得時間の短縮。正規化されたデータを検出やダッシュボードに即座に反映させることができます。
- より優れた自動化。自動化ルールが予測可能なフィールドで機能する場合において、プレイブックは確実に実行されます。
OCSFの勢いはAWSの内外に表れます。AWS Security LakeはログをOCSFクラスに正規化し、コミュニティ全体は、消費者に支障をきたすことなくスキーマを進化させるためのガバナンスに取り組んでいます。今日におけるOCSFの採用は、利便性を向上させるだけでなく、将来的な保証にもなります。
Sumo Logicが提供する、新たな形式ではない真の成果
Security Hubの調査結果に対してSumo LogicのネイティブOCSFサポートが存在するということは、お客様が翻訳者になる必要がないことを意味します。調査結果は、すでにOCSFにマッピングされた状態でSumo Logicに流れ込み、3つの実用的な成果をもたらします。
- 初日から提供されるユーザビリティ。調査結果は取得された瞬間から実行可能であり、カスタム変換を記述する必要はなく、検出、調査、およびレポートにて使用することができます。
- コンテキスト相関。Security Hubの調査結果は、ログやVPCフロー、CloudTrailイベント、およびその他のテレメトリと共にSumo Logicに表示されるため、アナリストによる全体像の把握が実現します。
- 標準の調整。データはOCSFに準拠しているため、お客様はツール間でパイプラインと自動化を再利用し、ベンダーロックインを回避することができます。
ポイントとなるのはここです。正規化をエンジニアリングのサンクコストとして扱う必要はありません。分析はアナリストに、ルールの調整は検出エンジニアに、そして暴露の修正はSREおよびクラウドチームに任せましょう。Sumo LogicとAWSを組み合わせることで、「配管」のオーバーヘッドが取り除かれます。
これがSecOpsリーダーにとって意味すること
このアップデートは、平均検出時間(MTTD)、平均修復時間(MTTR)、および総運用コストなど、リーダーが重視する指標に影響を与えるため、きわめて重要となります。
- POCとトライアルの迅速な実行。多くの場合、お客様が最初に評価するのはAWSです。Security Hub→Sumo Logicパスがマッピング作業を必要としない場合、POCはより早く、より少ないリソースで価値を示すことができます。
- エンジニアリング抵抗の低減。エンジニアは、脆弱なETLスクリプトの保守をやめ、より価値の高い自動化に集中することができるようになります。
- よりクリーンなコンプライアンス報告。標準化された調査結果は、監査レポートやコンプライアンスダッシュボードに簡単に組み込むことができます。
- ツール間における相互運用性の向上。OCSFの調整により、特注の統合作業にコストをかけることなく、最適なツールの混合とマッチングを実現することができます。
これにより、セキュリティチームは、重要な業務の担当者を疲弊させることなく、クラウドの速度で業務を遂行することができるようになります。
真のコラボレーション力
Sumo LogicとAWSは、常にお客様の成果を念頭に置き、長年にわたって共同で構築を行ってきました。セキュリティと生成AIの両方のコンピテンシーを持つAWSローンチパートナーとして、当社はOCSFなどの標準への準拠、Security HubおよびSecurity Lakeからの調査結果の直接ストリーミング、GuardDutyやAmazon Bedrockなどのサービス、そしてAmazon Novaモデルとの統合など、重要なエンジニアリングの細部に焦点を当ててきました。
お客様に利益をもたらすのは、このような配管工事なのです。企業チームは、形式やコンソールを操作する代わりに、相関関係のある調査結果や明確な優先順位、調査と対応を高速化する自動化対応のデータを取得し、クラウドセキュリティと分析を1つのシステムとして運用できるようになります。
AWSはクラウドから発信されるシグナルを強化しています。OCSFはそれらのシグナルに文法を与え、Sumo Logicは、文法を答えに変換します。セキュリティチームにとって、これはパーサーのコーディングに費やす時間が減り、真の脅威ハンティングのために時間を割くことができるようになることを意味します。Security Hubを実行している方にとって、これは日常的な体験を変える実用的なアップグレードとなります。クラウドセキュリティプラットフォームを評価する際には、OCSF対応のソリューションを優先しましょう。検出、調査、および対応を拡大しようとするときには、標準が重要なポイントとなりますが、その重要性はホワイトペーパーではなく、企業チームが毎日行う作業に現れるのです。
Sumo Logicの実際の動作を体感してみましょう。無料のデモをお申し込みください。
