CloudTrailも、GuardDutyも、VPC Flow logsも… ログ多すぎ問題の整理術

Transcript

1. © 2025 SPLUNK LLC Security-JAWS 第37回勉強会 2025-05-26 CloudTrailも、 GuardDutyも、VPC Flow

   logsも… ログ多すぎ問題の 整理術 Splunk Services Japan 内田 大樹 @nikuyoshi

2. 将来見通しに 関する記述 © 2025 SPLUNK LLC このプレゼンテーションには、 1933年証券法および1934年証券取引法（いずれも改正済み）のセーフハーバー規定に基づく「将来見通しに関する記述」が含ま れている可能性があります。歴史的事実に関する記述を除き、すべての記述は将来見通しに関する記述とみなされる可能性があります。これらの記述は、当社 が事業を展開する業界に関する現時点での予想、見積もり、予測および投影、ならびに現在入手可能な情報に基づく経営陣の信念と仮定に基づいています。

   「期待する」「予想する」「目標とする」「計画する」「意図する」「信じる」「見込む」「継続する」「取り組む」「努力する」「〜かもしれない」などの語句、またはこれらに 類似した表現は、将来見通しに関する記述を特定するためのものです。 加えて、以下に関する記述も将来見通しに関する記述となります： 1. 当社の目標、取り組み、プログラム 2. 事業計画、イニシアチブ、目標 3.財務パフォーマン ス、製品、技術、戦略、顧客、市場、買収および投資に関する仮定や期待 これらの将来見通しに関する記述は、将来の実績を保証するものではなく、重大なリスクや不確実性、その他の要因を含んでおり、実際の結果、業績、成果が 記述された内容と大きく異なる可能性があります。読者の皆様には、これらの将来見通しに関する記述は予測に過ぎず、予測が困難なリスクや不確実性、仮定 が含まれていることをご留意ください。 これらのリスクについては、 Ciscoが2024年2月20日に提出したForm 10-Qおよび2023年9月7日に提出したForm 10-K、またSplunkが2023年11月28日に提 出したForm 10-Qに記載されている「リスク要因」セクションをご参照ください。 本プレゼンテーションに含まれる将来見通しに関する記述は、発表時点におけるものであり、 CiscoおよびSplunkは、法的に義務付けられている場合を除き、こ れらの記述を更新または修正する義務を負いません。また、 CiscoまたはSplunkのWebサイト等で公開された場合でも、初回の発表後に閲覧された場合は、情 報が最新であるとは限りません。 さらに、新製品、機能、機能性、製品ロードマップに関する記述は、当社の一般的な製品の方向性を示すものであり、予告なしに変更されることがあります。情報 提供のみを目的としており、契約等に組み込まれるものではなく、購入判断の根拠とすべきものではありません。これらの機能や機能性（ベータ版またはプレ ビュー版を含む）を今後のリリースで開発・提供する義務は負わず、その開発、提供、時期に関する判断はすべて当社の裁量に委ねられます。 Splunk, Splunk> and Turn Data Into Doing are trademarks and registered trademarks of Splunk LLC in the United States and other countries. All other brand names, product names or trademarks belong to their respective owners. © 2025 Splunk LLC. All rights reserved.

3. © 2025 SPLUNK LLC 前職は雲の会社でSolutions Architectとして活動を してました。趣味は写真撮影で、レンズはﾁｮｯﾄﾀﾞｹ持って ます。お酒 (主にビール)、ボドゲも好き。 　

   　 @nikuyoshi 内田 大樹 (うちだ ひろき) 　 Splunk Services Japan合同会社 Senior Solutions Engineer

4. © 2025 SPLUNK LLC

5. © 2025 SPLUNK LLC © 2025 SPLUNK LLC いきなりですが質問です！！ ご参加のみなさまの職種を教えてください！

   1. セキュリティエンジニア（SOC / CSIRT） 2. インフラ / クラウドエンジニア 3. アプリ開発・DevOps 4. 情シス・IT部門（全般） 5. マネジメント / 経営層 6. セキュリティ製品のベンダー・パートナー 7. 学生・その他 #secjaws #secjaws37 #jawsug 皆さまのXのポスト、お待ちしてます！

6. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Splunk、どれくらいご存知ですか？ 1.

   使って いる（業務で活用中） 2. 触ったことはある（PoCや検証含む） 3. 名前は聞いたことがある 4. 初めて聞いた #secjaws #secjaws37 #jawsug 皆さまのXのポスト、お待ちしてます！

7. © 2025 SPLUNK LLC © 2025 SPLUNK LLC 本資料の対象者、ゴール 対象者

   • AWSのサービス（CloudTrail、GuardDuty、VPC、IAMなど）に触れたことがある • AWS上のセキュリティ運用に課題感がある、または整理したいと思っている • SIEMやログ分析の専門知識はないが、効率的な分析・検知に興味がある この資料のゴール • 散在するAWSのセキュリティログの「見方・整理の仕方」の考え方を掴む • Splunkを活用した実践的な可視化・分析のイメージを持ち帰る

8. © 2025 SPLUNK LLC © 2025 SPLUNK LLC • AWSにおけるセキュリティのよくある課題の整理

   • CloudTrail、VPC Flow Logsなどのログをどう整理するか • Splunkを使った統合的な可視化の実践例（一例として紹介） 本日お伝えしないこと • 各サービスの基本的な使い方の詳細解説（公式ドキュメントをご参照ください） • Splunkの全機能の網羅的な紹介やチューニングTips • あらゆる環境に適用可能な唯一の正解の提示 本日お伝えすること

9. © 2025 SPLUNK LLC © 2025 SPLUNK LLC アジェンダ 1.

   AWSにおけるセキュリティのよくある課題 2. 解決策 3. さらなる活用 4. Next Action

10. © 2025 SPLUNK LLC AWSにおけるセキュリティの よくある課題

11. © 2025 SPLUNK LLC © 2025 SPLUNK LLC AWSの責任共有モデル （復習）

    お客様の “クラウドにおける セキュリティ ” 責任 – お客様の責 任は、選択した AWS クラウドのサービスに応じて 異なります。選択によって、 セキュリティに関する責任の 一環としてお客様が実行する 構成作業の量が決定されます。 https://aws.amazon.com/jp/compli ance/shared-responsibility-model/

12. © 2025 SPLUNK LLC © 2025 SPLUNK LLC AWS内のセキュリティを実装する各種サービス Identity

    & Access Management Detection and Response Network and Application Protection Data Protection Compliance AWS IAM AWS IAM Identity Center AWS Resource Access Manager Amazon Cognito AWS Directory Service Amazon Verified Permissions AWS Organizations Amazon GuardDuty AWS Config Amazon Inspector Amazon CloudWatch AWS Security Hub AWS CloudTrail Amazon Security Lake AWS IoT Device Defender AWS Elastic Disaster Recovery Amazon Detective AWS Firewall Manager AWS Shield AWS Verified Access AWS WAF Amazon Macie AWS Secrets Manager AWS KMS AWS CloudHSM AWS Certificate Manager AWS Payment Cryptography AWS Private Certificate Authority AWS Artifact AWS Audit Manager Amazon VPC Route53

13. © 2025 SPLUNK LLC © 2025 SPLUNK LLC • クラウドは整備されてきたけど、オンプレやネットワーク機器のログはまだ手つかず

    • 脅威検出をより高度に行いたい • ログがバラバラで、見る場所・保存場所・形式が統一されていない よくある課題 ここから先の世界線！！ ここから先の世界線！！ AWS Summit Japan 2024 - AWS 環境におけるセキュリティ調査の ⽤度化と⽤成 AI 活⽤

14. © 2025 SPLUNK LLC 解決策

15. © 2025 SPLUNK LLC © 2025 SPLUNK LLC S3バケットが 新規作成

    される 社内ユーザーが 怪しい添付ファイル付 きのメールを受信 セキュリティソフトの 無効化を試みる挙動 をEDRが検知 PowerShellで不審な スクリプトが実行される AWSアカウントで 広範なS3権限が割り 当てられる（ s3:*） IAMユーザー が新規に作成 される 永続的なアクセスキーが 作成される 6:55AM 6:58AM 7:03AM 1:55PM 2:03PM 2:07PM 2:15PM Amazon WorkMail Amazon SES AWS CloudTrail AWS IAM AWS CloudTrail Amazon S3 AWS CloudTrail AWS IAM AWS CloudTrail 分散したログを結びつけて浮かび上がる攻撃の全容 EDRソリューション クライアント端末ログ Windows Event Logs Splunkを活用することで、見落とされがちな サイバー攻撃の兆候を一貫性のあるタイムライン として捉えることができます

16. © 2025, Splunk Inc., Amazon Web Services, Inc. or its

    affiliates. All right reserved. Observability Security Security monitoring Compliance and data privacy Advanced threat detection Incident investigation and forensics Insider threat detection Incident response Cloud Monitoring Incident Response Infrastructure Monitoring Log Analysis Application Performance Monitoring Cloud Migration AWSとSplunkで実現する セキュリティ × オブザーバビリティの統合基盤 監視と脅威検出をひとつの視点でつなげ、クラウド環境の運用を加速する

17. © 2025 SPLUNK LLC © 2025 SPLUNK LLC SIEMとは何か？ 　SIEM（Security

    Information and Event Management）は、セキュリティ情報とイベントログを 一元的に収集・可視化し、脅威の検知や調査、対応を支援する仕組みです。 AWS環境においては、 CloudTrail、VPC Flow Logs、GuardDuty、Configなど、さまざまなサービスから発生するログを対象に 活用されます。 　AWS環境では、サービスごとに出力されるログの形式や項目が異なるため、それらをそのまま扱うと、全体の動き を横断的に把握することが難しくなります。SIEMはこうしたログを集約し、フィールド名の違いやフォーマットの違い を吸収する「正規化」を行うことで、複数のログを一貫性のある形で分析できるようにします。 　例えば、CloudTrailのログでAPIの実行履歴を確認し、同時にVPC Flow Logsで不審な通信が発生していないか を確認するといった横断的な相関分析を可能にするのがSIEMです。これにより、特定のアカウントでいつもと違う操 作が行われた場合に、ネットワーク上で怪しい通信が発生していないかを即座に調査できます。また、SIEMはア ラートの自動化や、レポートの定期出力、セキュリティイベントの時系列表示などにも対応しており、セキュリティオペ レーション全体を効率化します。

18. © 2025 SPLUNK LLC © 2025 SPLUNK LLC SIEM SOCオペレータ

    SOCオペレータ 正規化 正規化 正規化 正規化 サーバログ ファイアウォールロ グ プロキシログ ネットワークログ 正規化 認証ログ クラウド・オンプレミス問わず、サーバー、EDR、ファイアウォール、ネットワーク機器などのログは形式も粒度も バラバラです。これらを一元的に分析するには、ログの正規化 が不可欠です。システム ごとに異なるログを自動で正規化できる仕組み、または支援機能があることで、SOCオペレータの 負担を大幅に軽減し、調査のスピードと正確性が向上します。 セキュリティ調査を支える「データの正規化」の 重要性とその支援 手作業 自前 自動 支援

19. © 2025 SPLUNK LLC © 2025 SPLUNK LLC AWS CloudTrail

    （参考）正規化とは 1/2 課題：サービスごとに同じ情報でもフィールド名が異なる。例えば「送信元IPアドレス」を意味するフィールド名は、 • Amazon SES では sourceIp • AWS CloudTrail では sourceIPAddress • VPC Flow Logs では srcaddr のようにバラバラです。このままではSIEMでの横断的な分析が困難になります。 sourceIp sourceIPAddress srcaddr VPC Flow Logs えっと… AはsourceIp、 BはsourceIPAddress、 Cは…あれ、何だっけ？ （これじゃ相関サーチできないじゃん ……） Amazon SES

20. © 2025 SPLUNK LLC © 2025 SPLUNK LLC （参考）正規化とは 2/2

    解決策：異なるフィールド名を共通の名前に変換（マッピング）することで、一貫した分析が可能に sourceIpフィールドで統一されているからこそ、検索コマンド、レポート、アラート、相関分析等の機能が有効になる。 レポート アラート 相関分析 source Ip 検索コマンド sourceIPAddress srcaddr sourceIp 正規化（マッピングルールの適用） sourceIpに統一されてる から、もう迷わない！ AWS CloudTrail sourceIp sourceIPAddress srcaddr VPC Flow Logs Amazon SES

21. © 2025 SPLUNK LLC © 2025 SPLUNK LLC S3バケット CloudFront

    アクセスログ ELB アクセスログ CloudTrail ログ S3アクセス ログ その他の サービスのログ 構成のスナップ ショットと履歴 アプリケー ションログ 課金 レポート メトリクス S3 EBS DynamoDB RDS CloudFront ELB Kinesis EMR API Gateway Route 53 SNS EC2 ECS Lambda DBクエリー RDS RedShift アラームとイベント CloudFormation スタックイベント CloudWatch アラーム ElastiCache クラスターイベント ログ VPC Flow Logs API Gateway Lambda イベント AWS Config Rules CodeCommit Repoイベント Amazon Cognitoイ ベント S3イベント DynamoDB テーブルの 更新 API Gateway カスタム イベント PULL PUSH ネイティブAWSパス CloudWatch メトリクス Amazon Data Firehose AWS Lambda CloudWatch Logs EventBridge Kinesis Data Streams SNS SQS S3 AWS Config CloudTrail IoTイベント DBアクティビティ ストリーム RDS Oracle SQL Server Aurora MySQL & Postgres AWSのあらゆるログ、イベントを Splunkに集約するアーキテクチャ全体像 イベント ECSコンテナと タスクの 状態変化 EMRクラスターとイン スタンスの 状態変化 EBSボリュームと スナップショットの 通知 SSMイベント Management Consoleの サインイン イベント KMSサービス イベント Auto Scaling グループの 状態変化 CodeDeploy インスタンスと デプロイメント 状態の変化 Trusted Advisor イベント DBX AWS Add-On HTTP Event Collector

22. © 2025 SPLUNK LLC © 2025 SPLUNK LLC AWS Cloud

    AWS Cloud 主な3つの取り込み方法 AWS Cloud HEC エンドポ イント AWSアドオン AWS Python Boto3 SDK AWSサービス エンドポイント リージョン デフォルトでサポートされて いるAWSアドオン サービスエンドポイント HTTP / HTTPS Splunk PULLデータ XX秒ごと protocol://service-code.region-code.amazonaws.com 例：https://ec2.us-west-2.api.aws リージョン リージョン Lambda (お客様側で管理) AWSサービスX 同期、非同期、ポーリング Kinesis DataStream、 Agent、その他の AWSサービス 変換 HTTP* / HTTPS HTTPS HTTP* : Splunk Enterpriseまたはセルフデプロイ HECのみ Splunk EnterpriseまたはCloud PUSH PUSH PULL {api} AWSとSplunkの統合方法

23. © 2025 SPLUNK LLC © 2025 SPLUNK LLC ログ CloudWatch

    S3バケット CloudWatch EventBridge イベント Firehose (HEC) Splunk AWSアドオン (HWF) Splunk AWSアドオン (HWF) APIエンドポイント(HEC) PULL AWSのデータを Splunkに取り込む方法 PUSH Firehose (HEC) Firehose (HEC) AWSの製品とサービス メトリクス イベント メトリクス ログ Lambda (HEC)

24. © 2025 SPLUNK LLC © 2025 SPLUNK LLC 多様な可視化手法による運用・分析の高度化

25. © 2025 SPLUNK LLC © 2025 SPLUNK LLC InfoSec Appで始める、

    Splunkセキュリティダッシュボード InfoSec App for Splunk https://splunkbase.splunk.com/app/4240

26. © 2025 SPLUNK LLC さらなる活用

27. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Federated Search

    for Amazon S3 Federated Search for Amazon S3 は、Amazon S3 バケットに対してリモート検索を実行し、 その検索結果を Splunk Cloud Platform インスタンスに直接取り込んで、相関分析・データの 補強・分析を行うことができる検索機能です。 GZIP, BZIP etc... リモート検索 検索結果の取得 Amazon S3 バケット内のデータセットを、Splunk Cloud Platform から直接検索 Parquet CSV JSON

28. © 2025 SPLUNK LLC © 2024 SPLUNK INC. Federated Search

    for Amazon S3 の始め方 Splunk から Amazon S3 を検索するために必要な準備 • AWS 上で動作する Splunk Cloud Platform 環境（Federated Search は Splunk Cloud 専用機能） • Amazon S3 バケットと Glue データカタログへのアクセス権限（Splunk がリモート検索を実行できるようにするため） • Amazon S3 の各データセットに対応する Glue カタログテーブル（検索対象データを定義する必要があります） • Data Scan Units（DSU）ライセンスの取得（S3 検索の実行には DSU が消費されます） Splunk Cloud Splunk Search Head Federated Search for Amazon S3 SPL 結果の取得 ユーザー お客様のAWSアカウント AWS Glue catalog Amazon S3 Glueのメタ情報を活用して、最適化 された検索とデータの絞り込みを実施

29. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Federated Search

    for Amazon S3のユースケース ユースケース 活用パターン 価値（得られる効果） フォレンジック調 査 数ヶ月・数年前のアクセスや操 作履歴から不正の痕跡を 追跡 • 保存データに対してフィルタ 可能 • アーカイブデータを復元なしで検索 履歴分析 （トレンド分析） S3上の月次・年次ログを 活用して傾向を可視化 • 集計検索をその場で実行可能 • 月次・年次の傾向を モニタリング可能 データの 相関補強 Splunkに取り込んだデータとク ラウド上の他データセットを相 関させる • アドホック検索が可能 • クラウド上のどんなデータ セットも読み取り可能 保存データを直接検索 アーカイブされたS3上のデータに対し、 必要なときだけ検索して使えます。 データの取り込みは不要 データをSplunkに読み込むことなく、 低コストでそのまま活用できます。 SPLの活用 SPL（Search Processing Language）の 強力な機能を活用して、可視化・ ダッシュボード・アラート作成まで可能 です。

30. © 2025 SPLUNK LLC © 2025 SPLUNK LLC AWS Cloud

    VPC フローログ VPC EC2 インスタンス パブリック サブネット インターネットGW AWS WAF Amazon CloudFront ENI ユーザー Availability Zone 1 Cloudfront アクセスログ WAF のログ AWS Glue AWS Glue Data Catalog クローラー Amazon Athena Amazon S3 Bucket WAF スキーマの作成 VPC Flow ログ スキーマ作成 Splunk からのクエリ送信 スキーマの理解 結果の取得 Federated Search for Amazon S3の構成例 データスキャン

31. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Amazon Security

    Lake Amazon Security Lake ではじめる 簡易な SIEM https://pages.awscloud.com/rs/112-TZM-766/images/20230126_26th_ISV_DiveDeepSeminar_Amazon_Security_Lake.pdf

32. © 2025 SPLUNK LLC © 2025 SPLUNK LLC ユースケース •

    脅威検知：ほぼリアルタイムかつ短期間のデータに対して、繰り返し・ 高頻度な検知ロジックを実行 • 脅威ハンティング（Threat hunting）：数週間〜数ヶ月分のデータを対象に、柔 軟な条件で探索的に検索 • 過去ログ分析：特定の履歴データに対して、定期的な検知処理を自動実行 目的 • コストとパフォーマンスを最適化したセキュリティ分析を Security Lake 上のデータに対して実行。低頻度アクセスやノイズの 多いデータも含め、あらゆる場所にあるデータに対応できるSplunkの柔軟性を拡張 • あらかじめ用意されたAWSセキュリティ検知コンテンツを提供。Security Lake に保存されたデータから、 即座に価値を引き出せるよう支援 Federated Analytics on ASL (Amazon Security Lake)

33. © 2025 SPLUNK LLC AWS Security Lake 保持期間： Splunkの標準保持 設定に準拠

    Splunkによるセキュリティ検知と脅威ハンティング検索 ASLに対するFederated Analyticsの構成イメージ 古いデータ 最近のデータ ASL（Security Lake）から一部 データを取り込み （保持期間 30日未満） ASLに直接取り込まれるデータ Splunkに直接取り込まれるデータ Splunk検索によるクエリ処理 Splunkの標準 インデックス FA（Federated Analytics） データレイクインデックス FA Federated Index 新しいASLのデータ Splunk Data

34. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Amazon Security

    Lake × Splunk 連携 （AWS側の設定） サブスクライバー（データアクセス用） 1. ASL サブスクライバーを作成 ※Splunk の AWS アカウントIDと外部IDが必須 2. 取り込むASLソースを選択（例：Security Hub） 3. SQSアクセスを選択 サブスクライバー（クエリアクセス用） 1. 2つ目の ASL サブスクライバーを作成 ※Splunk の AWS アカウントIDと外部IDが必須 2. 検索対象とするASLソースを選択（例：Security Hub） 3. Lake Formation アクセスを設定 Splunk Data Lake Index （30日未満のデータ）で使用 Splunk Federated Index （フォレンジック分析用途）で使用 Amazon Security Lake

35. © 2025 SPLUNK LLC © 2025 SPLUNK LLC フェデレーテッドプロバイダーの作成 （Amazon

    Security Lake） 1. ASLサブスクライバー情報を入力 （データ取り込み & 検索アクセスの設定） 2. Amazon Glueの情報を入力 3. データレイクインデックスの定義 4. フェデレーテッドインデックスの設定 Amazon Security Lake × Splunk 連携 （Splunk側の設定）

36. © 2025 SPLUNK LLC © 2025 SPLUNK LLC （参考）Federated Search

    for Amazon S3 vs Federated Analytics on ASL 比較項目 Federated Search for Amazon S3 Federated Analytics on ASL ログの形式 自由（JSON, CSV, gz等） OCSF形式 Glue Catalogの要 否 必須 自動生成または提供される 分析の手順 Glue設定＋Federated Search設定 サブスクライブ → Federated Searchで利 用可能 ユースケース例 古いS3ログを突発的に調査したい場合 継続的な監視、フォレンジック分析 メンテナンス負荷 Glue管理など手動での整備が必要 Security Lakeが一定の運用を吸収 活用のしやすさ 柔軟だが前提知識が必要 フレームワークに乗るため取り組み やすい

37. © 2025 SPLUNK LLC © 2025 SPLUNK LLC Classmethod様、大変お世話になってます！ https://dev.classmethod.jp/tags/splunk/

38. © 2025 SPLUNK LLC © 2025 SPLUNK LLC 本日のまとめ、 Next

    Action 本日お伝えしたこと • AWSにおけるセキュリティのよくある課題の整理 • Splunkを活用した統合的な可視化の実践例 • Splunkにデータを取り込まず、AWS上のログを検索する手法 Next Action • 自社のAWS環境でどのログが「貯まっている」か、「使われている」かを棚卸してみる • SplunkやSecurity Lakeなどを活用して、整理して見る仕組みを検討してみる • AWS Security Incident Response Technical Guideを読む https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html • もしご興味あれば... SplunkのWorkshopにご参加いただく https://www.splunk.com/ja_jp/about-us/events.html

39. © 2025 SPLUNK LLC © 2025 SPLUNK LLC 参考書籍 実践

    CSIRTプレイブック CiscoのCSIRTチームが10年以上にわたり 蓄積してきた実践的知見をベースに構成されてお り、2018年発行ですが今も通用する 考え方や方針がまとまっています。 オススメ。 https://www.oreilly.co.jp/books/9784873118383/

40. © 2025 SPLUNK LLC © 2025 SPLUNK LLC 参考資料 1.

    AWS Summit Japan 2024 - AWS 環境におけるセキュリティ調査の⽤度化と⽤成 AI 活⽤ https://pages.awscloud.com/rs/112-TZM-766/images/AWS-18_Security_AWS_Summit_JP_2024.pdf 2. AWS Summit Japan 2024 - AWS でセキュリティ体制を強化 https://pages.awscloud.com/rs/112-TZM-766/images/AA-02_5-topics-Security_AWS_Summit_JP_20 24.pdf 3. Amazon Security Lake ではじめる 簡易な SIEM https://pages.awscloud.com/rs/112-TZM-766/images/20230126_26th_ISV_DiveDeepSeminar_Amaz on_Security_Lake.pdf 4. セキュリティ分析を簡素化するための Amazon OpenSearch Service と Amazon Security Lake の統合の ご紹介 | Amazon Web Services ブログ https://aws.amazon.com/jp/blogs/news/introducing-amazon-opensearch-service-zero-etl-integration-f or-amazon-security-lake/

41. © 2025 SPLUNK LLC Thank you!