MIRU — 可観測性重視のセキュリティ基盤
MIRU — Observability-first Security Platform
中小企業向けに、eBPFによるランタイム検知、SBOM / 依存脆弱性スキャン、IAM変更監視を統合した軽量セキュリティ基盤。アラート疲労を減らすために、コンテキスト付きのインシデント相関を重視する。
ライブデモ
実際のアプリケーション画面のプレビュー
脅威レベル
軽微な脅威を検知 - 監視中
12,847
3
99.97%
23ms
アクティブ脅威
5件| 脅威名 | 重要度 | 検知時刻 | 送信元 | ステータス |
|---|---|---|---|---|
SQLインジェクション試行 | 重大 | 14:32:18 | 203.104.xx.xx | ブロック済 |
ブルートフォース攻撃 | 高 | 14:28:05 | 91.234.xx.xx | 監視中 |
異常トラフィックパターン | 中 | 14:15:42 | 複数IP | 調査中 |
不正ポートスキャン | 中 | 13:58:31 | 45.33.xx.xx | ブロック済 |
SSL証明書の不整合 | 低 | 13:42:10 | 内部 | 確認中 |
ネットワーク活動
コンプライアンス
5/7 完了ファイアウォール設定
最終確認: 2時間前
SSL/TLS 暗号化
証明書有効期限: 89日
アクセスログ監査
自動実行: 毎日 03:00
脆弱性スキャン
最終スキャン: 6時間前
バックアップ検証
最終検証: 12時間前
インシデント対応計画
更新が必要(30日超過)
ペネトレーションテスト
次回予定: 2026年5月
準拠率: 71%
課題
既存のSIEMは高価で運用負荷が高く、中小企業にはオーバーキル。一方でオープンソースを寄せ集めるとアラートが断片化し、対応者の疲労と見落としが発生する。クラウド/コンテナ/エンドポイントを統合的に扱える軽量な解が必要。
ソリューション
eBPFでLinuxホストのシステムコールを観測し、Sigmaルール + Falcoポリシの統合実装を採用。GitHub / クラウドIAMのイベントをWebhookで取り込み、OpenTelemetry Collectorで正規化した後、Vectorで集約→ClickHouseに蓄積。インシデントは LLM支援のノイズ削減 でコンテキスト化し、担当者の認知負荷を削減する。
成果
- ベンチマーク上の検知ルール 180 を標準搭載
- アラートの重複/ノイズ削減率 68% (社内検証)
- インシデント MTTA (平均確認時間) 目標 5分
- eBPFエージェントのオーバーヘッド CPU 2% 未満
Measured Impact
標準ルール数
180
ノイズ削減
68%
MTTA 目標
5分
eBPF CPU
<2%
What it does
検知
eBPFランタイム検知
Linuxホストのシステムコールを低オーバーヘッドで監視。
Sigma標準ルール
OSS Sigmaルールをそのまま取り込み、ClickHouseでクエリ化。
対応
インシデント相関
LLM支援で関連アラートをクラスタリングし、コンテキストを提示。
Runbook自動化
典型的な対応手順をRunbookで半自動実行。
ガバナンス
SBOM & 依存監視
プロジェクトのSBOMを生成し、脆弱性DBと突合。
IAM変更監査
GitHub / クラウドIAMの変更を監視し、逸脱を検出。
System Layers
Layered architecture showing components, responsibilities, and data flow.
Layer
センサー
Linuxホスト・Kubernetes・GitHub/IaCの変更を監視するセンサー群。
Layer
取り込み
多様なフォーマットをECS/OCSFに正規化し、冗長経路で配送。
Layer
ストレージ
ホットは30日、アーカイブはS3。コストと検索性を両立。
Layer
検知
SigmaルールをClickHouse SQLに変換し、LLMでインシデント相関を支援。
Layer
対応
Playbookに沿ったオンコール通知とRunbook自動実行。
How we built it
Discovery
対象規模のIT環境を想定した脅威モデルとユースケース整理。
Deliverables
- 脅威モデル
検知ルール整備
Sigmaルールから優先度の高いものを選定し、ClickHouse SQLに変換。
Deliverables
- ルールカタログ
センサー実装
eBPFエージェントをRustで実装し、性能予算内で動作することを確認。
Deliverables
- エージェント
取り込み層
OTel Collector + Vectorで多段配送を構築。
Deliverables
- パイプライン
相関エンジン
LLM支援のクラスタリングと根拠提示を実装。
Deliverables
- 相関モジュール
SOCドリル
模擬インシデントによるSOCドリルを実施。
Deliverables
- ドリルレポート
Iteration
誤検知・見逃しフィードバックを基にルールと相関を改善。
Deliverables
- 改善PR
Delivery Timeline
- P0Done2026-04-04
アーキテクチャ検証
eBPF / Falco / OSquery の比較検証を実施。
- P1In Progress2026-04-22
eBPFエージェント
Rustで低オーバーヘッドのeBPFエージェントを開発中。
- P2Planned2026-05
イベント正規化
OTel Collector + Vectorで多様なソースをECS/OCSFに正規化予定。
- P3Planned2026-06
インシデント相関
LLM支援のインシデントクラスタリングを予定。
- P4Planned2026-07
SOC運用
Runbook自動化とオンコールフローを整備予定。
Who built it
Roles
- セキュリティエンジニア
- プラットフォームエンジニア
- フロントエンド
Tools & Platforms
Frontend
Backend
Data
Infrastructure
Other