サービス詳細・技術情報
BonaBase BBSACのアーキテクチャ、相関分析シナリオ、対応ベンダー、フルSIEMとの比較、SCS評価制度への対応について技術的に詳しく解説します。
対応ベンダーと収集ログの詳細
BBSACはEDR(エンドポイント検知・対応)・IDaaS(クラウドID管理)・SASE(セキュアアクセスサービスエッジ)の主要ベンダーに対応しています。各ベンダーのAPIからログを自動収集します。
| ベンダー | カテゴリ | 収集するログ | 収集方法 |
|---|---|---|---|
| CrowdStrike | EDR | Detection / Incident / Audit(テレメトリーは量が多すぎるため除外) | Falcon Streaming API |
| Microsoft Defender | EDR | Detection / Incident | Microsoft Graph API |
| Microsoft Entra ID | IDaaS | サインインログ / 監査ログ | Microsoft Graph API(Azure Blob 経由) |
| Okta | IDaaS | 認証イベント(System Log API) | Okta API |
| Google Identity | IDaaS | ログイン / 管理者アクティビティ | Google Admin SDK |
| Zscaler | SASE | NSS / ネットワーク(LEEF形式 key=value) | NSS Feeds |
| Cloudflare Zero Trust | SASE | Gateway HTTP / Gateway Network / Gateway DNS | GraphQL Analytics API(5分毎) |
データパイプライン(Bronze → Silver → Gold → Platinum)
収集したログは以下の4層で処理されます。各層の役割が明確に分離されており、個人情報(PII)の保護とAI分析の両立を実現しています。
| レイヤー | 役割 | 処理内容 | 保存先 |
|---|---|---|---|
| Bronze | 収集 | 各ベンダーから元ログをそのまま保存。フォーマット変換なし。改ざん不可の原本。 | お客様AWS S3 |
| Silver | 正規化・PII保護 | ベンダー固有の表記を共通形式に統一。ユーザー名・メール・IP・ホスト名をハッシュ化(SHA-256系)。相関分析の土台。 | お客様AWS S3 |
| Gold | 復元辞書 | ハッシュ値 → 実名のマッピングを暗号化して保管。通知時のみ参照。BonaBaseはアクセス不可。 | お客様AWS S3 |
| Platinum | AI要約 | Claude Haiku(Amazon Bedrock)が重大度・影響範囲・推奨対応を日本語で生成。ダッシュボードと通知に表示。 | お客様AWS S3 |
Goldレイヤーの実名データはBonaBase側からアクセスできない権限設計になっており、お客様のデータ主権が完全に保たれます。
相関分析シナリオ
BBSACは単一ベンダーのアラートだけでなく、複数ベンダーの情報を横断した相関分析を実施します。以下のシナリオを実装しています。
| シナリオ | 検知内容 | 重大度 | 必要ベンダー |
|---|---|---|---|
| Impossible Travel | 国内と海外から180分以内にログイン成功。物理的に不可能な移動 → アカウント乗っ取りの疑い | Critical | IDaaS(Entra ID / Okta) |
| ブルートフォース突破 | 短時間の多数認証失敗の後にログイン成功 → パスワード攻撃が成功した可能性 | Critical | IDaaS |
| マルウェア × C2通信 | EDRでマルウェア検知後、SASEで外部C2サーバーへの通信 → 感染端末が外部と通信している | Critical | EDR + SASE |
| フィッシング経由侵入 | URLフィルタリングのブロック後にIDaaS認証が成功 → フィッシングサイトで認証情報を入力した可能性 | High | SASE + IDaaS |
| 時間外ログイン | 過去30日の行動パターンから逸脱した時間帯(深夜・休日等)のログイン | High | IDaaS |
| 異常ロケーション | 普段と異なる国・地域からのログイン(Impossible Travelの前段階として検知) | Warning | IDaaS |
| 隔離バイパス | EDRで端末が隔離されたにも関わらず、その後にネットワーク通信が発生 | Critical | EDR + SASE |
相関分析はAthena SQL による決定論的な事実抽出で実施します。Claude Haikuは抽出した事実を受け取り日本語で分析・要約しますが、SQLの判定ロジックはコードで管理されているため、AIの「幻覚」による誤検知が起きにくい設計です。
BBSACとフルSIEMの比較
BBSACとフルSIEM(Splunk・Microsoft Sentinel等)の違いを整理します。BBSACはSIEMの代替ではなく、「SIEMが重すぎる中小企業」向けの軽量な補完サービスです。
| 項目 | BBSAC | フルSIEM | 監視ゼロ |
|---|---|---|---|
| 導入コスト | 低(SaaS型) | 高(ライセンス+構築) | 0 |
| 運用負荷 | AIが日本語で要約 | 専任アナリスト必須 | 対応不能 |
| 中小企業適合 | ◎ 向け設計 | △ 重い・高い | × 未監視 |
| お助け隊基準 | 主要要件に準拠 | 要件は満たす(過剰) | 非対応 |
| PII管理 | 顧客AWSに閉じる | ベンダー依存 | — |
| カスタムルール | コードで管理 | GUIで柔軟に設定 | — |
| レポート自動生成 | 週次・月次(AI生成) | 設定次第 | なし |
| 相関分析 | 主要シナリオを実装済み | フル対応(高度) | なし |
AWSアーキテクチャの概要
BBSACは、親アカウント(BonaBase)と子アカウント(エンド顧客)の2層構成で動作します。
ログ収集・分析・保管
- 各ベンダーからのログ収集(Lambda)
- Bronze / Silver / Gold / Platinumの4層保管(S3)
- PII識別・ハッシュ化(Sanitizer Lambda)
- Claude Haiku(Amazon Bedrock)でAI分析
- 相関分析(Athena SQL)
- アラート通知(EventBridge → Notifier Lambda)
ダッシュボード・認証
- ダッシュボード表示(React + CloudFront)
- 認証・テナント分離(Amazon Cognito)
- 週次・月次レポート生成
- APIレスポンス(アカウントロック・パスワードリセット)の中継
APIレスポンス機能(半自動対応)
ダッシュボードから、IDaaS(Microsoft Entra ID / Okta)への対応操作を実行できます。完全自動ではなく、人間が確認してから実行する半自動設計です。
| アクション | 対象 | 説明 |
|---|---|---|
| LOCKDOWN | Entra ID / Okta | 対象ユーザーのアカウントをロック。全セッションを即時無効化。 |
| RESET | Entra ID / Okta | 対象ユーザーのパスワードをリセット。次回ログイン時に変更を強制。 |
認証はKMS秘密鍵で署名したclient_assertion方式を採用しており、Okta(DPoP必須)とEntra ID(Bearer)の両方に対応しています。