SIEMを利活用した信頼性向上プロセスと実践

Copyright coconala Inc. All Rights Reserved. SIEMを利活用した信頼性向上プロセスと実践株式会社ココナラ川崎
雄太 2025/09/05 Cloud Operator Days Tokyo 2025 クロージングイベント

Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎雄太　Yuta
Kawasaki @yuta_k0911 株式会社ココナラシステムプラットフォーム部部長 Dev Enablingグループ Group Manager 株式会社ココナラテック執行役員情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM AWS Community Builder（Security）

Copyright coconala Inc. All Rights Reserved. まずは導入として・・・ 2024年の年末はDDoS攻撃によるシステム障害が多かったですよね😥
SREのプラクティス × セキュリティについてお話するので、このセッションが対策の一助になると嬉しいです！😁 4

Copyright coconala Inc. All Rights Reserved. 5 Agenda ココナラで抱えていたセキュリティの課題セキュリティログ分析へのアプローチ
SIEMの導入効果今後の取り組み 2 1 3 4

Copyright coconala Inc. All Rights Reserved. セキュリティ対策体制がどうしても脆弱になりがち 7 プロダクトセキュリティ専門組織が不在　プロダクトプラット
フォームグループ情報システムグループインフラ・ SREチーム（5名） CSIRTチーム（2名） CITチーム（5名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューション導入 - アクセス権限精緻化 - 新デバイス / OS検証・導入 - アクセス権限精緻化 ※SREチームがセキュリティ業務を兼務している企業は少なくない！

Copyright coconala Inc. All Rights Reserved. リスクアセスメントをしていても、全方位に対応するのは難しい 8 「外部脅威」に対する対策の弱さを感じていた 2021年の分析で、対
策度合いを数値化し、数値が小さい＝優先度高と定義。たとえば、この時点では「DDoS攻撃」の対策が弱みと認識はしていたが対策は …

Copyright coconala Inc. All Rights Reserved. 攻撃にさらされる機会は増える一方で目覚ましい対策は打てておらず …😢 他社の事例を見たり、ベンダーと
相談して、気づいたことが・・・💡 突然ですが、「セキュリティログ分析」に取り組んでいますか？🤔 9

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓
プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを減らす＝生産性向上では！？ 💪 10

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 12 システムのコンディション把握と打ち手の創出をすること分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態（コンディション）を把握」し、そこから「対応が必要な場合の打ち手を創出する」ことを目的としている。システムの規模が大きくなればなるほど、ログの量が膨大となるため、分析の仕組みが不可欠となる。

Copyright coconala Inc. All Rights Reserved. では、どうやって「セキュリティログ分析」をするか？🤔 1.人に読みやすくない 😵
→情報量が多すぎる＆相関関係がわかりにくい 2.ログの量が膨大 😵 →WAFログだけで150GB以上/日 13

Copyright coconala Inc. All Rights Reserved. 仕組みが必要なら「SIEM」のツールを使ってみよう！ 14 「SIEM」はセキュリティ領域でのログやイベント管理のこと以下の3つが目的。
1. 脅威の早期検出 2. 監査とフォレンジクス 3. コンプライアンス SIEMのツールは複数存在しており、ココナラは AWS環境で動作しているため、次ページの2択で比較を行った。

Copyright coconala Inc. All Rights Reserved. SIEMの手段比較 15 無計画に使うとコストがかかるが、容易性の高さで決めた SIEM
on Amazon OpenSearch Service S3 + Athena メリット可視化・モニタリングが容易継続したモニタリング / アラート発報にも適しているコストが比較的安価特定時点のモニタリングに適しているデメリット取り込むデータ量に応じて、コストが増加継続したモニタリングに不向きアラート発報などの作り込みが必要

Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch
Serviceとは？ 16 AWSが提供するログ相関分析・可視化のソリューション

Serviceを用いたWAFログのモニタリング（ 1/3） 17 日次で傾向把握と分析、過去との比較からパターン化ココナラは国内を中心にサービスをしているため、国内・海外の IPアドレスによるアクセス状況 / ブロック状況 / エラー発生状況などをモニタリングする。アクセス状況を見て、WAFルールの点検などを行い、プロアクティブに攻撃への対策を実施。

Serviceを用いたWAFログのモニタリング（ 2/3） 18 システム全体のアクセス状況を把握

Serviceを用いたWAFログのモニタリング（ 3/3） 19 アクセス状況の詳細を把握、分析

Serviceを用いたELBログのモニタリング（ 1/3） 20 日次で傾向把握と分析、攻撃の芽を早めに摘む 4xx系と5xx系のリクエストが 30秒あたりに100回を超えた場合に怪しいアクセスが増加したと判断し（アラート発報）、随時セキュリティログ分析を行う運用をしている。特に不正なURLへのアクセスを多数確認したら、WAFのIPアドレス拒否リストへ追加する運用を実現。

Serviceを用いたELBログのモニタリング（ 2/3） 21 HTTPレスポンスコードの状況から攻撃の芽を特定する

Serviceを用いたELBログのモニタリング（ 3/3） 22 IPアドレス別、国別、 UA別、URL別のアクセス状況を分析する

Copyright coconala Inc. All Rights Reserved. ココナラで実践しているセキュリティモニタリング運用 23 毎営業日モニタリングを実施し、アクションを創出する毎営業日17:00時
点の情報で定点確認（WAFログ以外も含めて、レポート作成）問題があれば、毎営業日18:00に集まり、確認・議論当日〜翌日以降のアクションを決めて、チケット化 ※↑は定常運用なので、異常が発生した場合は　アラートを発報し、随時調査しています！

Copyright coconala Inc. All Rights Reserved. 実際にセキュリティログ分析をしてみてわかったこと 24 意外と攻撃やお行儀の悪いアクセスは来ている想像していたよりもお行儀の悪いアクセス
・攻撃と思われるアクセスが頻繁に来ていた。例えば、◯snbotがとんでもない頻度でアクセス（おそらくスクレイピング）していて、閾値に引っかかっていた。怪しいアクセスは「 5xx系」ではなく、「403」で返せれば止まる（諦める）ことが大多数！

Copyright coconala Inc. All Rights Reserved. SRE組織がセキュリティログ分析 → 信頼性向上へのアプローチができるようになった 27
可視化 → 分析 → 改善のサイクルを回せるようになったシステム全体のアクセス状況をダッシュボード化し、ドリルダウンによって、セキュリティインシデントの予兆検知と発生後の分析高速化を実現した。その結果、たとえば悪意のある IPアドレスの拒否リスト登録〜定期リファクタリングまでつなげることができた。リクエスト成功率は99.95% → 99.99%以上を実現。

Copyright coconala Inc. All Rights Reserved. SRE組織とセキュリティ組織の協業 28 今まで縦割りだったものが、シナジーを創出できたもともとの目指す方向性は同じだが、手段が
違う2つの組織の協業を可能にした。たとえば、以下を実現できた。・セキュリティ運用（トイルとなっていたモニタリング、アラート運用）をSREが効率化・SREの観点になかった攻撃と判断するノウハウの共有とそこへの対策オペレーションのスキルトランスファー

Copyright coconala Inc. All Rights Reserved. 「SRE × セキュリティ」と「セキュリティ ×
SRE」というキャリアの掛け算 29 キャリアの掛け算 = 複数ロールの経験は強み複数ロールの掛け算自体が、そもそも希少性を作り出すことができた。たとえば、以下を実現できた。・SRE：DevSecOpsの実践、SRE領域以外のトイル削減 / 運用改善・セキュリティ：IaCの取り組み、監視改善などのプロアクティブな運用改善これらは汎用的に使える武器となる。

Copyright coconala Inc. All Rights Reserved. 継続したリファクタリングの実践 31 一度、導入して終わりではなく、継続したリファクタリングを行う攻撃は日々進化しているため、チューニング
/ リファクタリングが必要。今のアーキテクチャーが最適解では無くなるので、新たなソリューション導入検討も必要なアクションとなる。・閾値によるモニタリングの脱却 → 機械学習による異常予測検知・AIOpsによる速やかな原因分析・・・and more！

Copyright coconala Inc. All Rights Reserved. サービスの特性を認識したうえで対策を講じる 32 意外と攻撃やお行儀の悪いアクセスは来ている例えば、◯snbotがとんでもない頻度でアク
セス（おそらくスクレイピング）していて、閾値に引っかかっていた。怪しいアクセスは「5xx系」ではなく、「403」で返せれば止まる（諦める）ことが大多数！サービスの提供範囲（たとえば、国・地域）を元にドラスティックに対策するのもあり。

Copyright coconala Inc. All Rights Reserved. SREはどんどんセキュリティ領域に進出していくべき 33 キャリアの掛け算をより強みとして活かしていく繰り返しではあるが、「キャリアの掛け算
＝強み」であることは自明なので、SRE / セキュリティといった役割・職責の垣根を良い意味で継続して超えられるようにする。その結果、全員が信頼性向上とセキュリティ向上の意識改革ができ、改善に向けて動ければベスト。

Copyright coconala Inc. All Rights Reserved. セキュリティはどんどん SRE領域に進出していくべき 34 キャリアの掛け算を〜（大事なことなので
2回）セキュリティエンジニアは「セキュリティ」を手段として、信頼性の向上を実現している。信頼性の向上を実現する手段は複数あるので、SREと協力したり、より良い関係性を構築し、「サイトの信頼性を向上する仲間との信頼性」を高めていくのも大事。

Copyright coconala Inc. All Rights Reserved. セキュリティログの分析👀により、サイトの信頼性向上の糸口💡が見つかります！！😁 Security
logs analysis could be a silver bullet…?? The journey of combining a career in SRE and security has only just begun. 35

SIEMを利活用した信頼性向上プロセスと実践

SIEMを利活用した信頼性向上プロセスと実践

More Decks by coconala_engineer

Other Decks in Technology

Featured

Transcript