2024アドベントカレンダー
基礎資料: セキュリティ監視入門
Google Cloudで作るセキュリティ監視基盤
はじめに
[1] 概要
- このアドベントカレンダーの概要
- セキュリティ監視のためのログ収集、保全、分析、アラート検知、対応のための基盤をGoogle Cloud上で内製できるようにするためのガイド
- 検討から構築、運用までの流れを実践的に紹介する
- このアドベントカレンダーのねらい
- 必ずしも内製が正しいとは限らない、しかし内製できるということを知ってほしい
- 既存サービス・プロダクトを使う上でも内部的な構造を知ることで解像度が上がる
- 対象とする読者
- 情報セキュリティ担当
- インフラやプラットフォーム担当
- 想定する環境と技術スタック
- このアドベントカレンダーで紹介する技術スタックは固定するが、適当に読み替えて
- クラウドプラットフォーム:Google Cloud、BigQueryを使えるから
- 開発言語:Go
セキュリティ監視基盤を作る前に
[2] セキュリティ監視およびセキュリティ監視基盤とは
- セキュリティ監視とは
- 組織内で発生するセキュリティ上の問題を、継続的に分析・検知・調査をすること
- セキュリティ上の問題
- 継続的に
- 監査だと周期が長い
- 短い間隔で問題を検出し、即時の対応をする
- 広義の監視と何が違うか
- なぜセキュリティ監視が必要か
- 防御的対策には限界がある(サプライチェーン攻撃、単層防御、クソヤバ脆弱性)
- 防御的対策はユーザビリティを損ねやすい
- 規制やガイドラインへの対応
- セキュリティ監視基盤とは
- セキュリティ監視を支えるためにログ収集、保全、分析、アラート検知、対応をするための情報システム
- セキュリティ監視に特化したDWH
- セキュリティ監視を導入するメリット・デメリット
- メリット:ユーザビリティ、追跡性の確保
- デメリット:構築、運用コスト
[3] セキュリティ監視基盤をいつから始めるか
- セキュリティ監視に取り組むかを判断するための変数
- セキュリティ監視にかかるコスト
- 段階的なセキュリティ監視の導入