Amazon Security Lakeは、組織全体のセキュリティデータを一元的に収集、標準化、分析するためのマネージドサービスです。複数のAWSアカウント、オンプレミス環境、サードパーティ製品からのセキュリティログをOpen Cybersecurity Schema Framework（OCSF）形式に自動変換し、長期保存と高度な分析を可能にします。

このサービスを効果的に理解するには、資格試験での重要トピックを理解することが重要です。

Amazon Security Lakeに関連した資格試験で重要な2つのトピックを解説します。

AWS Organizationsと統合することで、複数のAWSアカウントにまたがるセキュリティログを単一の委任管理者アカウントから効率的に管理できます。この統合により、組織の規模に関わらず一貫したセキュリティ監視を実現します。

図の最上部の管理アカウントでAWS Organizationsが組織全体を統括し、委任管理者アカウントにSecurity Lake管理権限を委任します。この委任により、管理アカウントのセキュリティリスクを最小化しながら、専門のセキュリティチームがログ管理を担当できます。

委任管理者アカウントのSecurity Lakeは、組織内のすべてのメンバーアカウント（Production、Development、Testing）からログを自動収集します。各メンバーアカウントでは個別の設定が不要で、Organizations統合により自動的にログ収集対象になります。新規アカウント追加時も自動的に監視対象に含まれます。

収集されたログは中央のS3バケットにOCSF形式で保存され、クロスアカウントIAMロールにより適切なアクセス制御が実装されます。セキュリティチームはAthena、QuickSight、サードパーティSIEMを使用して、組織全体のセキュリティイベントを一元的に分析・可視化できます。この仕組みにより、数百のアカウントでも単一コンソールから管理が可能です。

Security LakeはAWSサービスだけでなく、オンプレミス環境やサードパーティ製品からのログも収集し、すべてをOCSF（Open Cybersecurity Schema Framework）形式に標準化します。これにより、ハイブリッド環境での包括的なセキュリティ監視を実現します。

図の左側のAWSネイティブソース（CloudTrail、GuardDuty、VPC Flow Logs、WAF）は、多様なログフォーマット（JSON、CSV、検出結果形式など）を持っています。Security Lakeはこれらを自動的にOCSF形式に変換し、標準化されたフィールド名（activity_name、severity、src_endpointなど）を付与します。

図の上部のカスタムソースでは、オンプレミスのファイアウォール、Webサーバー、データベースからのログをKinesis Data Firehose経由で取り込みます。サードパーティ製品（SIEM、EDR、脆弱性スキャナー）もAPI統合やS3直接アップロードでデータを送信できます。これらのカスタムソースもOCSF形式に準拠したデータとして取り込まれます。

すべてのデータはSecurity Lakeで統合され、統一されたOCSF形式でS3に保存されます。この標準化により、Athenaでの横断的分析が可能になり、「特定の時間帯にオンプレミスとクラウドの両方で発生した異常なアクセスパターン」といった複雑な相関分析を実行できます。また、既存のSIEMツールとの連携により、従来の投資を活かしながら最新のクラウドセキュリティ機能を活用できます。

ここまで学んだ2つの核心パターンを、実践的な問題で確認しましょう。各問題は実際の企業シナリオに基づいており、パターンの適用能力を評価します。

Amazon Security Lakeは、組織全体のセキュリティログの一元管理と標準化を実現する強力なサービスです。2つの核心パターンを理解することで、様々なシナリオに対応できます。

これらのパターンを組み合わせることで、包括的なセキュリティログ管理システムを構築できます。