メインコンテンツへジャンプ

効率的なデータ管理によるサイバー耐性の強化:M-21-31への対応

DeloitteとDatabricksにより、公共機関全体でデータを安全に保存および共有し、規制コンプライアンスを維持する
ブレンダン・バーズネス
スジット・モハンティ
エリック・ポポウィッチ
Share this post

今日の環境では、積極的なサイバーセキュリティは公共機関にとって極めて重要です。 多くの組織では、セキュリティ担当者が効果的な脅威の監視やインシデント対応に必要なログ・データに容易にアクセスできる場所がなかったり、サイロ化された部門に分散していたりします。 場合によっては、データは短期間の運用目的のみのために保管される場合もあります。 これは、効果的なセキュリティ管理能力を著しく制限し、重要なサイバー情報への安全なアクセスだけでなく、効果的なログ保持の必要性を強調しています。

2021年、ホワイトハウスはOMB M-21-31覚書を発表し、連邦政府機関はサイバーインシデントの検出、調査、修復を支援するため、情報システムのログを複数年にわたって保持することを義務付けました。 これにより、政府機関が対処しなければならない複数の課題が生じます。 第一に、M-21-31で要求される長期間に渡る大量のデータの保存は、特に比較的高コストのオンプレミスや独自の商用のストレージで行う場合、コストがかかります。 さらに、一元化されたアクセスを提供するために大量のデータを単一のモノリシックなリポジトリに転送することも、コストがかかり、複数の環境でデータが重複してしまう可能性があります。 つまり、この覚書は、連邦政府組織に対するデータ管理とサイバーセキュリティの要求を大幅に増大させることになります。

レイクハウス・ハブ

DeloitteのM-21-31サイバーセキュリティ・ソリューションは、Databricks データインテリジェンスプラットフォーム上でハブ・アンド・スポーク・モデルを採用することで、これらの課題に対処しようとしています。 中央の分析用の「Lakehouse Hub」は、企業のクラウドやソースシステムである「Nodes」と連携し、ログデータの集中分析レイヤーを確立します。 データはノードの低コストのクラウドストレージに保持され、ハブからの集中クエリでアクセスできるため、クラウドの境界を越えて生データを転送する必要がありません。 このマルチノード連携モデルにより、各ノードから中央ハブへデータを安全に共有できるため、包括的なログアクセスが可能になり、潜在的なサイバー脅威に効率的に対処することができます。 このアプローチにより、企業は変化するサイバー環境をより効果的にナビゲートしながら、コストのかかるデータの保存と排出を回避することができます。

M-21-31 コンプライアンス

M-21-31 コンプライアンスでは、サイバーセキュリティの運用をサポートするために、長期保存期間のシステムログの広範なリストを収集するだけでなく、包括的なデータの可視性を確保する必要があります。 M-21-31のログ・データ量の規模は、現在のツールボックスでは、多くの組織にとって技術的にも財政的にもサポート不可能となる可能性があります。

DeloitteのM-21-31サイバーセキュリティ・ソリューションは、低コストのクラウドストレージを活用することで、こうしたコストと規模の課題に対応し、独自のシステムで高価なデータインデックスを作成する必要性を低減します。 これは、ペタバイト規模にまで増大している大容量のテレメトリデータにとって特にインパクトがあります。

フェデレーテッド・モデルは、組織全体に分散するリモート・データへの集中アクセスと可視性を提供します。 セキュリティ・オペレーション・センター(SOC)のアナリストは、M-21-31のログの編集、検索、および高度な分析を実行する機会があり、重要な履歴データを必要とするサイバー調査に迅速に対応することができます。

クラウド間での効率的なデータ管理

ハブ・アンド・スポーク・アーキテクチャは、データの重複を排除し、データの出力転送を削減することで、マルチクラウド環境にまたがる大容量のログデータを管理します。 このフレームワークは、Databricksワークスペースの連合体であり、分散メダリオンデータパターンを活用し、データが未加工の状態から消費可能な状態になるにつれて、各ノードでデータ品質を段階的に向上させます。 ノードは可能な限りソースシステムの近く、またはその近くに配置されます。 生のログデータは、ノードで取り込まれ、処理され、中央ハブから照会できるようになります。 これにより、ソースログデータを1つのノードに保持することで、クラウドや地域をまたいだコストのかかるデータのイグレスを排除します。 ノードからハブへは、ハブによるフェデレーテッドクエリに対してキュレーションされた応答のみが転送されます。

クラウド間での効率的なデータ管理

強力な中央ガバナンス

適切なユーザーがログデータに適切にアクセスできるようにすることが重要です。 Databricksのガバナンスフレームワークを活用することで、ハブはロールベースのユーザープールとログデータセットのコレクションを関連付けるアクセス制御ルールを定義し、実施します。 より詳細なアクセス管理が必要な場合は、行/列レベルのパーミッションやデータマスキングのための動的ビュー関数を構築することができます。

統合、拡張、導入

サイバーレイクハウスは、組織の従業員にとって馴染みのある一般的なシステムと統合され、継続性を維持しながら既存のツールセットを補強し、導入を加速します。 これにより、Databricks データインテリジェンスプラットフォームの利点を活用しながら、追加のトレーニングを行う必要がなくなります。 M-21-31サイバーセキュリティ・ソリューションでは、次のようないくつかのユースケースが実施されています:

  • BIツールのダッシュボードには、企業全体に分散されたログデータが集約されており、レイクハウスのハブから一元的にアクセスできます。
  • SIEMツールのクエリはレイクハウスにプッシュダウンされ、SIEMデータの取り込みとインデックス作成を必要とせずに結果を返します。
  • ノードで継続的に監視している間に検出されたアラートは、BIまたはSIEMツールのインターフェースにプッシュアップされます。

なぜDeloitteとDatabricksなのか

M-21-31 Cybersecurity Brickbuilder Solutionsは、Deloitteの深い業界専門知識とDatabricks データインテリジェンスプラットフォームを組み合わせたソリューションです。 Brickbuilder Solutionsでは、以下をお約束します:

  • 信頼できるパートナー:DatabricksはDeloitteと提携し、お客様が重要な分析の課題を解決し、コストを削減し、可能な限り摩擦を減らして生産性を向上できるよう支援します。
  • 信頼できるフレームワーク:デロイトのチームはDatabricks データインテリジェンスプラットフォームの認定を受けており、お客様の組織のサイバーセキュリティを実装し、最大のデータ、分析、AIのニーズに対応するために必要な専門知識を提供します。
  • 価値の加速:Deloitteは、Databricks データインテリジェンスプラットフォームの潜在能力を迅速に最大限に引き出し、生産性を向上させてデータから価値を引き出せるように支援します。

M 21-31 Cybersecurity by Deloitteが利用可能に

Deloitteは2月29日に開催されるDatabricks Government Forumに参加します。 そこでM21-31サイバーセキュリティ・ソリューションの実例をご覧ください。

Databricks 無料トライアル

関連記事

サイバーセキュリティアプリケーション向けDatabricks Lakehouseプラットフォーム

翻訳: Masahiko Kitamura 具体的なコードはIOCマッチングのソリューションアクセラレータの GitHub reo を参照ください。また、本ソリューションのPOC・トライアルについては [email protected] までご連絡ください。 金融機関、医療機関、政府機関がデータをクラウドに移行し、IoTセンサーや相互接続されたデバイスが増加しているため、サイバーセキュリティは依然として重要なデータ課題となっています。地政学的な脅威が続く中、企業は、大量のデータの処理、複雑なデータ処理タスク(人工知能や機械学習などの高度な分析機能を含む)のサポート、費用対効果の高い拡張が可能なDatabricks Lakehouseプラットフォームをサイバー業務に採用しています。Databricks Lakehouseプラットフォームは、データ、アナリティクス、AIを単一のプラットフォームで統合した、サイバーセキュリティ業界の隠れた標準基盤になっています。 企業やサイバーセキュリティベンダー

サイバーセキュリティ・レイクハウス Part 4: データ正規化戦略

November 17, 2023 デレク・キング による投稿 in プラットフォームブログ
この4部構成のブログ・シリーズ "Lessons learned from building Cybersecurity Lakehouses," では、サイバーセキュリティ・データ用のレイクハウスを構築する際に、組織がデータ・エンジニアリングで直面する多くの課題について議論し、それを克服するために私たちが現場で使用したソリューション、ヒント、コツ、ベスト・プラクティスを紹介する。 パート1では 、まず統一されたイベントのタイムスタンプ抽出から始めた。 パート 2では、ログの取り込みの遅れを発見し、対処する方法について見てきた。 そして パート3では 、半構造化された機械生成データの解析方法に取り組んだ。 このシリーズの最終回では、サイバーアナリティクスの最も重要な側面の1つである、 共通の情報モデルを使用したデータの正規化について 説明します。 このブログが終わるころには、サイバーセキュリティ・レイクハウスにデータを正規化する際に直面するいくつかの問題と、それを克服するために使用できるテクニックについて、しっか
プラットフォームブログ一覧へ