クラウドネイティブなSIEM+SOAR:Microsoft Azure Sentinelとは?
クラウドセキュリティといった場合、意味は2通りの解釈が考えられる。ひとつはクラウド環境でのセキュリティ対策や技術を指す場合。もうひとつは、クラウドを利用したセキュリティソリューションのことだ。ここでは、後者のクラウドサービスとして提供されるセキュリティ機能について解説する。
文/中尾真二
セキュリティアプライアンスもクラウド化する
昔のように企業ごとにホームページがひとつあればよいという時代は終わっている。ドメインもブランドやサービスごとに取得するのが普通だ。大規模かつ重要な基幹システムを除けば、Webサイトの立上げや新たなWebサービスを開始するときにハードウェアを購入してシステム構築を行う必然はなくなりつつある。サービスのスケーラビリティと物理サーバーの投資・管理・運用コストを考えると、クラウド利用が経営的にも正しいソリューションとなる。
同様なことは、セキュリティアプライアンス製品にもいうことができる。業務システムがクラウド上に移転すれば、物理的なファイアウォールやUTM(統合脅威管理)のような機器、IPS/IDS(不正侵入検知・防御)、トラフィック監視システムなどもクラウド上に移転せざるを得ない。事実、主要なクラウドプラットフォーム(AWS、Azure、GCP)は、仮想ルーターや仮想ファイアウォールといったネットワーク機器の機能をクラウド上にサービスとして提供している。
オンプレミスシステムでも、例えばインターネットとの接続をプロキシのようにクラウドサービスを介在させてファイアウォールやトラフィック監視を行うソリューションが存在する。同様に、業務システムのログファイルやトラフィックデータをクラウド上の監視サービスに解析させて異常や攻撃を検知するサービスも存在する。
これらのクラウドサービスで提供されるセキュリティ機能は、もちろんクラウドプラットフォームに構築されたシステムでも利用できる。上図でいえば、オンプレミスのイントラネットの部分はそのままAWS、Azure、GCPなどのクラウドに構築されたシステムであってもかまわない。
SIEMとSOAR
クラウド上で提供されるセキュリティサービスは、SIEMやSOARと呼ばれるソリューションとして実装されたものが多い。SIEMとSOARについて簡単におさらいしておこう。
SIEM(Security Information and Event Management)は、システムが常に生成するログ情報や各種イベント情報を収集して、アラート情報を検出したり、異常や攻撃と思われる状態を検知してくれる。たとえば、機密情報が格納されたデータベースで、権限のないユーザーからのアクセスが連続した、短時間に多数のログインエラーが発生した、といった状況の検知を自動化してくれるものだ。
各種ログ情報を組み合わせて解析すれば、外部の不審なサーバーとの通信、大量データの送信といったサイバー攻撃と思われるふるまいを検知することもできる。どんなログを収集し、どのイベントを、どんなイベントの組み合わせでアラートを上げるのかは、SIEMの管理画面で設定する。
ウイルスやマルウェアそのものの検知・検出は行わず、ログやイベント情報からマルウェアや攻撃の有無を判定するため、悪意のないトラフィックパターンを攻撃と誤検知してしまうこともある。しかし、未知のマルウェアの攻撃や標的型攻撃による侵入を検知できる可能性があるので、ファイアウォールやアンチウイルス製品と組み合わせて活用するとよいとされる。
SOAR(Security Orchestration, Automation and Response)は、SIEMのようなログ監視・トラフィック監視の他、アンチウイルスソフト、マルウェアデータベースの情報など、様々な機器やソリューションからの情報を統合的に分析し、さらに、異常検出時(インシデント発生時)にネットワーク遮断やマルウェアの隔離といったインシデント対応の機能も持つ。
SOARに分類されるソリューションには、脆弱性情報の分析・管理を行うものもある。複数のセキュリティシステムのデータを統合的に扱うため、情報の分析、攻撃の検知、さらにはインシデント対応の判断に機械学習を導入している。
Microsoft Azure Sentinelの機能概要
SIEM、SOARは、クラウド運用との親和性の高さと、セキュリティ運用を自動化できるシステムとして注目されている。クラウドプラットフォーマーやセキュリティベンダーが関連のサービス、ソリューションを展開しているが、ここでは、Microsoft Azure Sentinelを例にとり、どんな機能があるのかを解説する。
Azure Sentinelの機能的な特徴は、前述SIEM、SOARと同じと考えてよい。機能はクラウド上に実装され、契約ユーザーはダッシュボードの設定でなにを監視、管理するかをGUIによって行う。監視状況やアラートなどは、ダッシュボードにグラフその他で視覚化される。監視・連携は、ログファイルやシステムのアラート情報、REST APIによって行うため、Azure内のシステム、Azure以外のクラウド、オンプレミスシステムにも適用できる。最大の特徴は、Azure Sentinelの監視や検知のアルゴリズムが、Azureおよびマイクロソフト製品でサポートされているセキュリティソリューションを背景に成り立っているため、これらの最新の脅威分析技術が利用できる点だろう。
監視データセットを決めレポート形式・検知条件を決める
利用にはAzureのサブスクリプションが必要だ。契約していない場合、無料試用版から試すこともできる。Azureにサインインしたら、接続するデータを設定する。Azure Sentinelでは「オンボード」というが、Office 365、Azure AD、Microsoft Defender for Identity、Microsoft Cloud App Securityといったソリューションをソースとして設定できる。
オンプレミス、プライベートクラウドや他社クラウドとの接続はSyslogやREST APIのイベントのコネクタを利用する形になる。コネクタはマイクロソフト製品以外にも、パートナーとなっているセキュリティベンダー向けのものも用意されている。
オンボードされたデータソースは、対話的にダッシュボードやレポートを設計できるAzure Monitor ブックを利用できる。レポートはテンプレートを利用することもできるが、カスタムブックを作ることも可能だ。
データ接続とブックができれば、組み込まれた脅威検出やアラート機能がすぐに利用できる。ダッシュボード画面には検出された情報が表示されるが、検出条件、パターン、アラートの種類のカスタマイズも可能だ。
SIEM製品やSOARの場合、このカスタマイズが実際の脅威の検知とその自動化の要となる。平均的でシンプルなシステムなら、組み込まれた分析設定で十分かもしれないが、通常、業務やシステム構成によってどんなイベントが脅威なのか、そうでないのかが変わってくる。この設定作業が、セキュリティ担当者やベンダーの経験とスキルがものをいう領域だ。
調査機能はパブリックレビュー段階
Azure Sentinelには、SOARとしての機能も備わっているので、検知されたイベントやアラートに応じてタスクを起動することもできる。「プレイブック」という機能を利用して、全体の統合管理、脅威検出時の処理、つまりインシデント発生時の作業フローを記述できる。プレイブックに組み込まれた既定処理だけでなく、任意のコード、ServiceNow、Jira、Zendeskといったフレームワークの利用も可能だ。HTTPリクエストを発行したり、Microsoft TeamsやSlackと接続したりもできる。クラウドベースのセキュリティ分析サービスMicrosoft Defender ATPなどと連携してカスタムロジックを作ることもできる。
監視やモニタリングのような使い方以外に、脅威の証拠収集から分析、報告までをカバーするフォレンジックのような深い調査、ログの静的な解析をしたいこともある。Azure Sentinelでは、現在調査機能はパブリックレビュー段階(2020年10月時点)にあるが、SLAに基づく機能保証がない形で利用可能だ。
以上がAzure Sentinelの概要となる。オンプレミスや他社クラウドとの連携は可能だが、Azureおよびマイクロソフト製品との連携に強く高い導入効果も期待できる。Azure Sentinelは、マイクロソフトのセキュリティ製品・サービスを統合的に利用できるクラウドサービスという言い方が、より正確な表現かもしれない。
筆者プロフィール:中尾 真二(なかおしんじ)
フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。