codaichi’s note

Corporate Engineerの学習記録

Corprate IT 10月の振り返り -SIEM導入とMCP活用-

Monthly

10月の進捗

10月の目標は下記でした。

  • 導入中のMDMで、既存のデバイス(120台)のうち最低30台をMDMで管理する
  • 導入するSIEMを決定し、6つのSaaSとの連携後にアラートをSlack通知できるように設定する
  • 退職時の業務改善についてはルールに基づいて4つのサービスのアカウント削除or無効化を自動化する

このうち、MDMは導入したもののバグが多くMDMで管理しようとしていたことができなかったため、社内に展開することができませんでした。

現在もサポートとのやり取りを続けている状態です。

SIEMについては製品を決定し、社内に導入することができました。

退職時の業務改善については、アカウントの無効化を自動化するための社内調整を終え、自動化の実装も完了しました。

また、1つ自動化を行なったことで、他の部署から業務の自動化の相談を受けることも増えてきて、嬉しい限りです。

やったこと

MDMに関しては、アプリの配布などの機能は問題なかったのですがセキュリティ関連で、クライアントから収集したいと考えていたデータを収集できないことが判明し、インドのサポートチームのエンジニアと2週間ほどやりとりしながら問題の特定と解決策の模索をしました。月の途中で2週間ストップしてしまい、計画通りに社内へ展開となりませんでした。

一方SIEMについては、社内での調整がうまくできました。

元々の予算には入っていなかったので、アドオンでの予算確保となり導入は難しいかもしれないという状況にもなりましたが、社内への必要性の証明とサービス提供側への情報共有や交渉により無事に導入できました。

すでに社内で利用中のIdPや主要なコミュニケーションSaaSとの連携と検知ルールに基づいたアラートのSlack通知を実施済みです。また実際に検知したかった挙動を把握し、能動的にアクションに繋げられる場面もありました。その際、コーポレートのマネージャーからは、早速効果が出ていてこれはすごいと評価してもらえており、1つアウトプットを出せたので安心しています。

まだまだ検知ルールの調整は必要なので、引き続き運用定着に向けて運用していきます。

余談ですが、検知ルールはPythonで書くため、5月まで学んでいたPythonを活かすことができていて、とても楽しく運用できています。

トライできたこと

今月は難しかったことではなく、トライできたこととして、SIEMサービスが提供しているMCP(Model Context Protocol)サーバーの活用について書きたいと思います。

SIEMサービスはSecurity Information and Event Managementといって、連携したサービスのログを収集し保存しておくためのサービスです。各サービス(例えばGoogleやNotion, Slackなど)それぞれでログを取得することができたとしても、アカウント数が多ければログの量も増えるため、管理者がそれぞれのサービスの管理画面でログを確認することは非効率です。

また、セキュリティの文脈では、例えば1つのアカウントに対してGoogleに10回のログイン試行をした後にNotionから大量のエクスポートが発生していた場合、ブルートフォース攻撃を疑う必要があります。各サービスの管理画面を確認しているだけでは見逃してしまうことでも、SIEMを使って1つアカウントに関する複数のサービスでの挙動を確認することで早期に検知対応することができるのです。

SIEM側でMCPサーバーを用意してくれているということは、上記のブルートフォース攻撃を疑って対応する際に、実際のログを人間が確認するまでもなく、SIEMのMCPサーバーを連携したAIツール(ここではCursorとします)にサマリーをヒアリングしたり、さらに調査を深掘りしたり、次に行うべきアクションを提示してもらったりすることができます。

MCPサーバーを利用できることのメリットとして、社内の情報は社内で契約しているCursorに留めたまま、SIEMの情報にアクセスできるため、セキュリティ上の機微な情報をSIEMに渡す必要がありません。また、Cursorに対して自然言語を使ってインタラクティブなコミュニケーションをとる中でSIEMでの調査やアクションを進めることができます。

このようにSIEM側がMCPサーバーを提供している場合、AIを使って運用を効率的に回すことができ、検知からアクションまでの時間を短縮することができるのです。

今回のMCPサーバーの設定では、APIのクレデンシャルをSIEM側で発行し、Cursorに登録。MCPサーバーはSIEMのGithubからMCPサーバーのリポジトリをクローンしてきて、Dockerを使って立ち上げました。

対応した内容としてはたった2行ですが、昨年までの自分ではできなかったことが出来るようになっていることを実感した瞬間でもありました。自分にとって安くはない費用を支払ってでもプログラミングスクールに通ったことで、出来るようになったと思いますし、それによって自分の業務でのアウトプットが出せるようになり、ひいては組織に貢献できるようになったことがとても嬉しく感じました。

11月の目標

さて、11月の目標を決めたいと思います。

基本的には10月の目標の続きとなりますが、退職の自動化について目処がついたので次は入社時の自動化も進める予定です。

  • MDMについては、バグの解消後に安定的に運用できるのか確認して社内へ展開する
  • SIEMについては基本的なルールは運用していますが、どんなルールを運用していくのか決めきれていないので、ルール策定とルール変更のログを追えるようにする
  • 入社時のアカウント作成や備品の用意に関するオペレーションを自動化する

今月も最後までお読みいただきありがとうございました。