Wazuhによるマルチサイト・ネットワークセキュリティ監視のスケーリング
🚀 はじめに:なぜマルチサイト監視が重要なのか
多くの企業は、複数の拠点やデータセンターを世界中に持っています。
そのため、すべての拠点のセキュリティ情報を一元的に可視化することが、脅威の早期検知と迅速な対応に直結します。
Wazuhのマルチサイト構成は、各拠点でログをローカルに収集・分析しつつ、中央のダッシュボードで統合的に監視できる設計になっています。
これにより、ネットワーク負荷を軽減しながら、高い冗長性と可用性を確保できます。
🧩 1. マルチサイト・システム構成図
graph TD
subgraph SiteA["🏢 サイトA(バンコク)"]
A1["Ciscoデバイス / Agent"] --> M1["Wazuh Manager(マスター)"]
M1 --> I1["Indexerノード1"]
M1 --> I2["Indexerノード2"]
end
subgraph SiteB["🏭 サイトB(東京)"]
B1["Ciscoデバイス / Agent"] --> M2["Wazuh Manager(ワーカー)"]
M2 --> I3["Indexerノード3"]
end
subgraph SiteC["☁️ サイトC(クラウド・シンガポール)"]
C1["Agent / Cloud Logs"] --> M3["Wazuh Manager(ワーカー)"]
M3 --> I4["Indexerノード4"]
end
I1 <--> I2
I2 <--> I3
I3 <--> I4
I4 <--> I1
subgraph HQ["🌐 中央監視センター"]
D1["Wazuh Dashboard"] --> D2["全サイト統合ビュー"]
end
I1 & I2 & I3 & I4 --> D1説明:
- 各拠点にWazuh ManagerとIndexerを配置
- Indexerノード間でデータを複製し、クラスタとして動作
- ダッシュボードは全拠点からデータを統合表示
- WANが切断されても、各サイトはローカルで動作を継続可能
⚙️ 2. Wazuh公式ガイドに基づく設定手順
wazuh-certs-tool.sh -AコマンドでRoot CAと証明書を生成-
opensearch.ymlおよびossec.confにてノード設定を定義<node_type>master</node_type>:メインサイト用<node_type>worker</node_type>:リモートサイト用
wazuh.ymlのip.selector: trueを有効化し、ユーザーがサイトを選択できるようにするopensearch_dashboards.ymlに全てのIndexerホストを登録- RBAC(ロールベースアクセス制御)を設定し、例:
custom_read_site_aはサイトAのみ参照可
🛰️ 3. 各拠点でのCiscoデバイス統合
| ソース | 収集方法 | 転送先 | 備考 |
|---|---|---|---|
| Ciscoルーター / スイッチ | Syslog | ローカルWazuh Manager | 帯域を節約し低遅延化 |
| Firewall | SNMP | ローカルIndexer | Cisco用MIBルールを使用 |
| エンドポイント | Wazuh Agent | 近接サイトのManager | 暗号化通信対応 |
| クラウドVM | Agentless | クラウドIndexer | ハイブリッド環境に最適 |
🔄 4. サイト間のレプリケーションと高可用性
- Indexerノードはクラスタレプリケーションで同期
- サイトA/Bが障害発生しても、サイトC(クラウド)にバックアップが保持
- 接続が復旧すると自動で再同期
- 各拠点のログはローカルで保持され、ダッシュボードで統合表示可能
📊 5. ダッシュボード動作フロー
sequenceDiagram
participant User as 管理者
participant Dashboard as Wazuh Dashboard
participant Indexers as Indexerクラスタ
participant Sites as 各サイトManager
User->>Dashboard: サイト選択(バンコク / 東京 / クラウド)
Dashboard->>Indexers: 該当サイトのログ要求
Indexers->>Sites: 最新のイベント情報を要求
Sites-->>Indexers: 分析済みログを返信
Indexers-->>Dashboard: 集約データを送信
Dashboard-->>User: リアルタイムで可視化🧠 6. ベストプラクティスまとめ
✅ サイトごとにIndex名を分離(例:alerts-bkk-*, alerts-tokyo-*)
✅ サイト間通信はTLSで暗号化
✅ ILMポリシーで古いログの自動ローテーション設定
✅ RBACでアクセス権限を明確化
✅ /api/status でクラスタ状態を定期確認
✅ Indexerデータを毎日バックアップ
🔐 まとめ
Wazuhのマルチサイト構成を導入することで、次のような効果が得られます:
- 地理的に離れた拠点のログをリアルタイムで一元管理
- ネットワーク負荷を軽減し、安定性を向上
- 冗長化による災害復旧(DR)対応
- 拠点別に柔軟な運用と権限管理が可能
Ciscoデバイスやクラウド環境を含む大規模ネットワークのセキュリティ監視に最適なアーキテクチャです。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- ソフトウェア技術はどのようにしてチャンタブリー県の果物農家が価格主導権を取り戻すのか
- AIはどのように金融機会を発見するのか
- React Native およびモバイルアプリで ONNX モデルを活用する方法
- 葉の病害検出アルゴリズムはどのように動作するのか:カメラから意思決定まで
- Smart Farming Lite:センサーに依存しない実践的デジタル農業
- なぜカスタムMESは日本の工場に適しているのか
- AIが検索に取って代わる時代:書き手と専門家はどう生き残るのか
- リサイクル事業のための金属価格予測 (日本市場向け・投機不要)
- チーズは誰が動かした?
- 日本向け:業務に最適化されたEコマースシステム設計
- AIの導入がシステムを壊すアンチパターン
- なぜ私たちは「ソフトウェアを作るだけ」ではないのか — システムを実際に動かすために
- Wazuh管理者向け 実践プロンプトパック
- なぜ政府におけるレガシーシステム刷新は失敗するのか(そして、実際に機能する方法とは)
- 日本の自治体が「本当に必要とする」Vertical AI活用ユースケース
- マルチ部門政府におけるデジタルサービス提供の設計(日本向け)
- デジタル行政サービスが本番稼働後に失敗する7つの理由
- 都道府県・市町村向けデジタルシステムのリファレンスアーキテクチャ
- 実践的GovTechアーキテクチャ:ERP・GIS・住民向けサービス・データ基盤
- なぜ緊急対応システムは Offline First で設計されるべきなのか(ATAK からの教訓)
