リアルタイムでのリスク検知はどのように実現しているのか
それでは、具体的に「Elastic Stack」を活用したリアルタイムでのリスク検知は、どのようにして実現しているのか。「Elastic Stack」では、検索・分析エンジンのElasticsearchに加え、可視化にKibana、データ投入でBeats、Logstashを組み合わせ、「Elastic Stack」として提供している。
ポイントは、あらゆる構造・非構造データをBeatsとLogstashによって統一されたデータソースに取り込み、取り込まれたデータはすぐに検索可能となることだ。Beatsは軽量シッパーで、ほぼすべての市販の機器に対応し、何百何千もの機器からElasticsearchやLogstashへとスピーディにデータを転送できる。なおElastic Agentによる統合管理も可能となっている。そして、Logstashはデータ変換ツールによるデータ収集を行い、Elasticsearchに出力していく。拡張性の高いプラグインを持っており、多種多様なデータに対応可能だ。たとえば、IP情報を地図情報としたり、個人情報などを匿名化したりなど、データの変換も得意としている。
そして、Elasticsearchにデータが格納され、どのようなルールで検知されるのか。「Elastic Stack」には300を超えるプリビルドの検知ルールが入っており、Kibanaで設定をオンにするだけですぐに利用ができる。それぞれにコンプライアンスや異常検知のノウハウが詰まっており、たとえばクラウドの脆弱性やオンプレミス環境をカバーしたり、MITRE ATT & CKとグローバルトレンドにおける高度な悪意ある行動の検出を行ったり、また300の検知ルールをすべて使えば統合検索エンジンとしても使用が可能になる。また、カスタムで検知ルールも作成して登録することもできる。「広い範囲でリスクを検知する仕組みが、まさに既に実装されている」(空久保氏)というわけだ。
また、Elasticsearchには機械学習機能が搭載されており、データサイエンティストでなくても手軽に実装可能な機械学習がかなうという。まず、「教師なし学習」ではElasticsearchにデータが投入されれば、自動的にデータに潜むパターンを検出し、異常値を検知する。他にも時系列モデリングで現在のデータの異常値を検知したり、顔データから将来の傾向を予測したりすることも可能だ。そして、「教師あり学習」ではデータの分類やリグレッションなどトレーニングデータを与えることで判断し、学んだことをElasticsearchに入れて運用することも可能となる。
そして、リスク検知とアラートの問題調査・分析については、Kibanaで一元的にすべてのアラートを監視しており、メールやSlack、ServiceNowなどのツールと連携することができる。また、Kibanaに搭載されているダッシュボードでログやメトリック、APMなどあらゆるデータを1つの画面で調査可能だ。
そして最後にKibanaのダッシュボードや検知画面などの紹介、教師あり機械学習によるデータフレーム分析にデモンストレーションが行われた。実際の不正カードデータをダウンロードして教師データとし、不正検知を行ってみせた。空久保氏は「だれでも感覚的に分析が可能なので、データサイエンティストでなくても容易に分析ができる」と語り、改めて「Elastic Stack」による「リアルタイムでのリスク検知」の価値について触れてセッションを終えた。