Akamai Diversity
Home > Akamai と SIEM と Cloud Security

Akamai と SIEM と Cloud Security

Akamai Cloud Security ソリューションの中核ソリューションである Kona Site Defender は継続的に機能の強化・拡張を行っており ますが、API Protection のような防御の為の機能強化だけでなく、SIEMとの連携をよりシームレス且つ容易に実現することが可能な SIEM Integration という拡張機能もリリースされております。

本稿では Kona Site Defender の SIEM Integration の機能の説明を通じて、Akamai と SIEM と Cloud Security という内容について解説をさせていただきます。

API Protection にご興味がある方はこちらで解説をさせていただいておりますので是非、ご参照ください。)

 

SIEMとは

SIEM とは Security Information and Event Management の略称であり、元々は企業内で発生するログやイベント情報を一元的に保管・管理し、脅威となる事象を把握する為の仕組みとして提唱・構築されました。近年ではサイバー攻撃等への迅速な対応を求められる中で、リアルタイムの監視・検知の実現、フォレンジック対応へと発展を遂げております。よって SIEM は、 CSIRT や SOC が活動する為のベースとなる仕組みであるとも言えます。

どのような仕組みかという点では「ファイアウォールやIPS/IDSなどのネットワーク機器、様々なセキュリティ機器、サーバーやOS、データベースやアプリケーションという企業システムが生成するログやイベントを統合して相関分析することで、埋もれている攻撃の痕跡や予兆をリアルタイムに可視化する仕組み」とも言えます。

SIEM_Overview_image.png

SIEM では基盤を構築するだけでなく「有益である情報を如何に速やかに取り込むか」という点もリアルタイムに可視化・検知を行う中で重要となります。

 

Kona Site Defender の SIEM Integration とは

その名の通り、SIEM向けを想定した Kona Site Defender(以降、KSD) 上で検出される Security Event のリアルタイム配信機能となります。

KSD は WAF を含む統合Cloud Securityソリューションであり、インターネット上の脅威の中で DDoS攻撃やWeb Applicationへの攻撃の検知・防御、Botからのアクセスの管理(Bot Manager)などを行っており、その Security Event は 実際の攻撃である Attack Event が多く含まれており、SIEMにとって非常に有益な情報となります。

Akamai ではこれまで SIEM Integration以外にも、Security Event を参照・取得する方法を提供してきました。SIEM Integration がリリースされたことにより、全体的には以下のように整理されます。

<Akamai の Security Event の参照・取得方法>

  • セキュリティソリューション含む配信ソリューション全般
    • Log Delivery Service:Security Event 情報を含むアクセスログファイルの提供
    • Cloud Monitor:Security Event 情報を含むアクセスログのPush型リアルタイム配信
  • セキュリティソリューションのみ
    • Security Monitor/Center:LUNA(製品管理ポータル)の画面上で Security Event のリアルタイムモニタリング / レポーティング
    • SIEM Integration:Security Event のPull型リアルタイム配信

リアルタイム配信としては Cloud Monitor と SIEM Integration がありますが、SIEM Integration は Security Event のみ且つ Pull型となっており、オンプレミスの SIEM からも連携して情報が取得しやすいようになっております。

<SIEM Integration 概要>

SIEM_Integration_Overview_image.png

SIEM Integration として提供される機能は大きく以下の2つとなります。

  • REST API:Security Event を取得する為の REST API のエンドポイント(Akamai Intelligent Platform上で稼働)
  • Connector:ポーリング設定やフォーマットの変換の実施(お客様サーバ上へ導入)

Security Event の大まかな流れは以下の通りです。

  1. Akamai Edge Server 上のKSDが不正なアクセスを検知/ブロック
  2. Akamai Edge Server が ASEC に Security Event を送信
  3. Connector が定期的に ASEC から REST API 経由で Security Event を受信
  4. Connector が受信したメッセージをSIEMのCEF形式などへ変換してSIEMへ格納

APIのエンドポイントとしては、アカマイの他のAPIと同様に OPEN API としてセキュアな配信ができるようになっており、REST API として JSON でメッセージをレスポンスする方式となっております。

Connector については、ポーリング頻度等のリクエスト実施に関する部分と、 JSON の Syslog 変換や SIEM提供ベンダのCEF(Common Event Format)に合わせた変換などのフォーマット変換に関する部分の機能を提供しております。もちろん REST API として API の仕様は公開されておりますので、Connector を用いずともお客様自ら Security Event を取得する仕組みを構築いただくことも可能です。
※ 現時点で提供可能な Connector や今後のリリース予定等はお問い合わせください。

 

Akamai と SIEM と Cloud Security

昨今の攻撃の状況は、高度化・複雑化・長期化しており、攻撃側の予算規模も大きくなっており
インシデントを100%完全に未然に防ぐことは以前に比べて一段と困難な状況となっています。

このような状況の中、セキュリティデバイス・ソリューション導入による防御能力の向上だけでなく、インシデントによる被害を極小化する為に、インシデントの発生を速やかに検知することが必要です。その為には、ログ管理から統合ログ管理へ、統合ログ管理からSIEM基盤の確立・運用へ、という流れが加速してきていると感じております。

Akamai として SIEM Integration の機能を提供することによりKSDで攻撃を防御するだけでなく、高度化・複雑化された攻撃への対応を行っている CSIRT、SOCに対して「有益な情報のリアルタイム連携」という新たな価値が提供できるようになったと考えております。

また SIEM への有益な情報の提供という観点では、Akamai が保持する Big Data の一つである Cloud Security Intelligence(以降、CSI) という Security Information をお客様へ提供するサービスも行っております。

CSI は Akamai Intelligent Platform 上の攻撃トラフィック(1時間当たり8千万件のWAFのトリガー、1秒当たり 60万件のログライン、1日当たり 20 TB の新しいアタックデータ)が流れる Akamai Intellgent Platform 上の Security Information をソースとして、専任のリサーチチームによる分析を行ったSecurity Intelligence 情報です。

Akamai はこの CSI の情報を様々なソリューションの開発・拡張や運用で利用しており、KSD では WAF の Ruleの作成や精度向上、Client Reputation (振る舞い検知)機能のスコアリングの情報ソースとして活用しております。Akamaiが実際に開発・運用で利用している高度な Security Infomation は、SIEM を用いた運用でも相関分析のソースなどで、非常に有益であると言えると思います。(Data Feed と呼ばれるサービスのご契約でお客様でも API 経由で情報を取得しご利用可能)

また、こちらの CSI を活用したソリューションとして Akamai は Enterprise Threat Protector という出口対策ソリューションを今年の7月にリリースを行い、順次機能を強化・拡張中となっております。

(Enterprise Threat Protector ご興味がある方はこちらがソリューション紹介となります。)

このように Akamai はオンプレミス型ソリューションとして先行して進んでいる Unified Threat Management(統合脅威管理)、Next Generation Firewall(次世代型ファイアウォール)と呼ばれる領域のセキュリティ対策を Akamai Intelligence Platform という非常に強固でSecureな Cloud プラットフォーム上で実現できるように力を注いでおります。

今回紹介させていただいた Kona Site Defender の SIEM Integration は、機能としては非常にシンプルな機能です。しかし、増大する脅威に対して効果的なセキュリティ施策を実施しなければならない企業やそのCSIRT・SOCにとって、 Akamai Intelligent Platform と オンプレミスの橋渡しをする、選択肢を広げる重要な機能であると考えております。

また、新たに出口対策ソリューションを提供するなど Akamai として Cloud Security / Enterprise Security 領域は非常に注力している領域となります。本日ご紹介できなかった機能・ソリューションも含めて、本領域に対してのソリューション・サービスの強化・拡張を継続して行って参りますので、今後の展開にもご期待ください。

Leave a comment