Wazuhによるマルチサイト・ネットワークセキュリティ監視のスケーリング
🚀 はじめに:なぜマルチサイト監視が重要なのか
多くの企業は、複数の拠点やデータセンターを世界中に持っています。
そのため、すべての拠点のセキュリティ情報を一元的に可視化することが、脅威の早期検知と迅速な対応に直結します。
Wazuhのマルチサイト構成は、各拠点でログをローカルに収集・分析しつつ、中央のダッシュボードで統合的に監視できる設計になっています。
これにより、ネットワーク負荷を軽減しながら、高い冗長性と可用性を確保できます。
🧩 1. マルチサイト・システム構成図
graph TD
subgraph SiteA["🏢 サイトA(バンコク)"]
A1["Ciscoデバイス / Agent"] --> M1["Wazuh Manager(マスター)"]
M1 --> I1["Indexerノード1"]
M1 --> I2["Indexerノード2"]
end
subgraph SiteB["🏭 サイトB(東京)"]
B1["Ciscoデバイス / Agent"] --> M2["Wazuh Manager(ワーカー)"]
M2 --> I3["Indexerノード3"]
end
subgraph SiteC["☁️ サイトC(クラウド・シンガポール)"]
C1["Agent / Cloud Logs"] --> M3["Wazuh Manager(ワーカー)"]
M3 --> I4["Indexerノード4"]
end
I1 <--> I2
I2 <--> I3
I3 <--> I4
I4 <--> I1
subgraph HQ["🌐 中央監視センター"]
D1["Wazuh Dashboard"] --> D2["全サイト統合ビュー"]
end
I1 & I2 & I3 & I4 --> D1説明:
- 各拠点にWazuh ManagerとIndexerを配置
- Indexerノード間でデータを複製し、クラスタとして動作
- ダッシュボードは全拠点からデータを統合表示
- WANが切断されても、各サイトはローカルで動作を継続可能
⚙️ 2. Wazuh公式ガイドに基づく設定手順
wazuh-certs-tool.sh -AコマンドでRoot CAと証明書を生成-
opensearch.ymlおよびossec.confにてノード設定を定義<node_type>master</node_type>:メインサイト用<node_type>worker</node_type>:リモートサイト用
wazuh.ymlのip.selector: trueを有効化し、ユーザーがサイトを選択できるようにするopensearch_dashboards.ymlに全てのIndexerホストを登録- RBAC(ロールベースアクセス制御)を設定し、例:
custom_read_site_aはサイトAのみ参照可
🛰️ 3. 各拠点でのCiscoデバイス統合
| ソース | 収集方法 | 転送先 | 備考 |
|---|---|---|---|
| Ciscoルーター / スイッチ | Syslog | ローカルWazuh Manager | 帯域を節約し低遅延化 |
| Firewall | SNMP | ローカルIndexer | Cisco用MIBルールを使用 |
| エンドポイント | Wazuh Agent | 近接サイトのManager | 暗号化通信対応 |
| クラウドVM | Agentless | クラウドIndexer | ハイブリッド環境に最適 |
🔄 4. サイト間のレプリケーションと高可用性
- Indexerノードはクラスタレプリケーションで同期
- サイトA/Bが障害発生しても、サイトC(クラウド)にバックアップが保持
- 接続が復旧すると自動で再同期
- 各拠点のログはローカルで保持され、ダッシュボードで統合表示可能
📊 5. ダッシュボード動作フロー
sequenceDiagram
participant User as 管理者
participant Dashboard as Wazuh Dashboard
participant Indexers as Indexerクラスタ
participant Sites as 各サイトManager
User->>Dashboard: サイト選択(バンコク / 東京 / クラウド)
Dashboard->>Indexers: 該当サイトのログ要求
Indexers->>Sites: 最新のイベント情報を要求
Sites-->>Indexers: 分析済みログを返信
Indexers-->>Dashboard: 集約データを送信
Dashboard-->>User: リアルタイムで可視化🧠 6. ベストプラクティスまとめ
✅ サイトごとにIndex名を分離(例:alerts-bkk-*, alerts-tokyo-*)
✅ サイト間通信はTLSで暗号化
✅ ILMポリシーで古いログの自動ローテーション設定
✅ RBACでアクセス権限を明確化
✅ /api/status でクラスタ状態を定期確認
✅ Indexerデータを毎日バックアップ
🔐 まとめ
Wazuhのマルチサイト構成を導入することで、次のような効果が得られます:
- 地理的に離れた拠点のログをリアルタイムで一元管理
- ネットワーク負荷を軽減し、安定性を向上
- 冗長化による災害復旧(DR)対応
- 拠点別に柔軟な運用と権限管理が可能
Ciscoデバイスやクラウド環境を含む大規模ネットワークのセキュリティ監視に最適なアーキテクチャです。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- 日本企業向け|EC・ERP連携に強いAI×ワークフロー型システム開発
- 信頼性の低い「スマート」システムが生む見えないコスト
- GPU vs LPU vs TPU:AIアクセラレータの正しい選び方
- LPUとは何か?日本企業向け実践的な解説と活用事例
- ソフトウェアエンジニアのためのサイバーセキュリティ用語マッピング
- モダンなサイバーセキュリティ監視・インシデント対応システムの設計 Wazuh・SOAR・脅威インテリジェンスを用いた実践的アーキテクチャ
- AI時代におけるクラシック・プログラミングの考え方
- SimpliPOSFlex 現場の「現実」に向き合うためのPOS(日本市場向け)
- 古典的プログラミング思考 ― Kernighan & Pike から学び続けること
- コードを書く前に:私たちが必ずお客様にお聞きする5つの質問
- なぜ利益を生むシステムでも「本当の価値」を持たないことがあるのか
- 彼女の世界(Her World)
- Temporal × ローカルLLM × Robot Framework 日本企業向け「止まらない・壊れない」業務自動化アーキテクチャ
- RPA × AI: なぜ「自動化」は知能なしでは破綻し、 知能は制御なしでは信頼されないのか
- 国境紛争・代理戦争をどうシミュレーションするか
- 検索とアクセスを最初に改善する 大学図書館の戦略的価値を最短で回復する方法
- 工場とリサイクル事業者をつなぐ、新しいスクラップ取引プラットフォームを開発しています
- Python で MES(製造実行システム)を開発する方法 ― 日本の製造現場に適した実践ガイド ―
- MES・ERP・SCADA の違いとは? ― 製造業における役割と境界を分かりやすく解説
- なぜソフトウェア開発の学習はこんなにも「つらい」のか ― そして、その解決方法
