[HeatWavejpMeetup#16] HeatWave MySQL採用による飛躍的な環境改善 [庄司 勝哉氏 (ラック)]

HeatWave MySQL採用による飛躍的な環境改善 ～脅威分析環境の移行事例のご紹介～ HeatWavejp Meetup #16 株式会社ラック サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所 庄司 勝哉 © 2025 LAC Co., Ltd. 2025/12/9

Profile 株式会社ラック サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所 庄司 勝哉 脅威分析をテーマに研究活動 • AIを活用したデータ分析 • インフラ構築・運用 (オンプレミス/AWS/OCI) 第002153号 © 2025 LAC Co., Ltd. 2

[飛躍的な環境改善] コストが 64%減 (約538万円→約194万円) © 2025 LAC Co., Ltd. ※HeatWaveフル稼働の場合 3

[飛躍的な環境改善] DB検索速度が 数十倍 (1:03:39→0:01:53 など) © 2025 LAC Co., Ltd. 4

1. ラックの脅威分析環境 Agenda 2. 移行によるインフラ環境の変化 3. 移行による環境改善 1. コストパフォーマンス 2. 運用面 4. 導入後の取り組みと今後の展望 5. さいごに © 2025 LAC Co., Ltd. 5

ラックの脅威分析環境 MISP(※)を中心としたデータ収集・分析 脅威レポート 収集 分析 攻撃グループの動向把握 脆弱性情報 脆弱性の悪用状況の把握 攻撃ログ マルウェアの活動状況の把握 有識者の SNS投稿 © 2025 LAC Co., Ltd. ※ MISP (Malware Information Sharing Platform):オープンソースの脅威情報共有プラットフォーム 6

ラックの脅威分析環境 移行前のシステム構成 オンプレミス環境 [移行対象(MISPサーバ)] AWS Cloud EC2 instance contents データ収集 サーバ VPN connection MISPサーバ (Web / DB) データ収集 サーバ © 2025 LAC Co., Ltd. SecureGRID Portal (Web) • 利用料は約540万円/年 • EC2インスタンス × 9台 • r6g.4xlarge × 3台 • r6g.2xlarge × 4台 • r6g.xlarge × 2台 • DBMSはMariaDB • 合計行数：約19億 [問題点] • コストが高い • 分析用途の性能が不足 7

ラックの脅威分析環境 分析用途のパフォーマンス ケース 1列を全行取得 SELECT value1 FROM attributes; 1テーブルの検索 (表探索) SELECT * FROM attributes WHERE value1 LIKE ‘%example.com%'; 移行前 0:34:35 0:14:05 3テーブル結合時の探索(表探索) SELECT * FROM attributes AS a INNER JOIN events AS e ・・・ WHERE value1 LIKE ‘%example.com%'; © 2025 LAC Co., Ltd. 1:03:39 8

移行によるインフラ環境の変化 移行後のシステム構成 OCI Region オンプレミス環境 … VPN Virtual Virtual Machine Machine Virtual Machine MySQL HeatWave MISPサーバ (DB) MISPサーバ (Web) データ収集 サーバ VPN AWS Cloud VPN EC2 instance contents データ収集 サーバ © 2025 LAC Co., Ltd. SecureGRID Portal (Web) • WebとDBを役割分担 • HeatWave MySQLを採用 9

移行によるインフラ環境の変化 導入から移行までの流れ 2023/12 利用開始 ～ (3ヶ月) 2024/3 移行開始 ～ (2ヶ月) 2024/4 移行完了 © 2025 LAC Co., Ltd. △MISP導入テスト (Web/DB分割, MySQL) △設定変更箇所調査 (データ収集ツール など) △移行手順作成/移行テスト/性能テスト △ネットワーク構築 △インスタンス作成・設定 △MISPインストール △dumpファイルによるリストア △設定変更 移行対象9台分 10

移行によるインフラ環境の変化 OCI移行作業に関する所感 • 使い勝手は各種クラウドと同等だと感じた (どの環境も慣れと知識習得が必要) • ユーザ発のドキュメントは少ないが、 公式のチュートリアルサイト(※)が非常に有益である • AWSーOCIの連携は容易に実現できた ※ Oracle Cloud Infrastructure チュートリアル | Oracle Cloud Infrastructure チュートリアル https://oracle-japan.github.io/ocitutorials/ © 2025 LAC Co., Ltd. 11

• https://oracle-japan.github.io/ocitutorials/

移行による環境改善 [コストの改善] 移行前(AWS)：約538万円 移行後(OCI) ：約194万円 (64%減) 実績 ：約136万円 (75%減) ※利用時にHeatWave起動 600 参考 別案(Amazon Redshift)：約217万円 ※利用時に起動 500 400 300 200 100 0 移行前 © 2025 LAC Co., Ltd. 移行後 実績 Redshift案 12

移行による環境改善 [パフォーマンスの改善] ケース 1列を全行取得 SELECT value1 FROM attributes; 1テーブルの検索 (表探索) SELECT * FROM attributes WHERE value1 LIKE ‘%example.com%'; 移行前 移行後 HeatWaveなし 移行後 HeatWaveあり Redshift 0:34:35 0:05:20 0:00:49 0:00:18 0:14:05 0:07:27 0:00:13 0:00:06 1:03:39 0:25:16 0:01:53 0:01:40 3テーブル結合時の探索(表探索) SELECT * FROM attributes AS a INNER JOIN events AS e ・・・ WHERE value1 LIKE ‘%example.com%'; © 2025 LAC Co., Ltd. 13

移行による環境改善 [運用面の改善] • 監視/バックアップをクラウドでシンプルかつ堅牢に実装 • データベースを9台→1台に集約 • 自前のスクリプトで監視/バックアップ→OCIの機能で実施 • 分析用途の利用が高速かつ容易 • 特定列の取得などの分析用途に耐えうる速度を実現 • Amazon Redshiftではデータ取り込みの手間が発生 © 2025 LAC Co., Ltd. 14

移行による環境改善 [運用面の改善(vs RedShift)] オンプレミス環境 都度ロードが必要 AWS Cloud EC2 instance contents データ収集 サーバ VPN connection S3に投入するプログラムの 開発が必要 © 2025 LAC Co., Ltd. データ収集 サーバ MISPサーバ (Web) Amazon Aurora (MISPサーバ (DB)) Amazon Redshift SecureGRID Portal (Web) Amazon S3 15

導入後の取り組みと今後の展望 • 規模の拡大 MISP 9台 MISP 2台増 他システムへの 活用検討中 11台 (+α) • HeatWave GenAIの検証 動作検証を実施 • • © 2025 LAC Co., Ltd. • in-database LLM • in-database vector store 他システムにおける活用に期待 16

さいごに • 脅威分析環境にHeatWave MySQLを採用(AWS→OCI) • コスト：64%減 / パフォーマンス：数十倍 • 運用面：シンプルかつ堅牢に実装/分析用途に容易に利用可能 列指向型DB(Redshift)相当のパフォーマンスを 低コスト/低負荷運用した形で得られた • HeatWave MySQLの活用拡大へ • 他システムでの活用 • 生成AI機能の活用 © 2025 LAC Co., Ltd. 17

※本資料は作成時点の情報に基づいており、記載内容は予告なく変更される場合があります。 ※本資料に掲載の図は、資料作成用のイメージカットであり、実際とは異なる場合があります。 ※本資料は、弊社が提供するサービスや製品などの導入検討のためにご利用いただき、他の目的のためには利用しないようご注意ください。 ※ LAC、ラック、JSOC、サイバー救急センターは株式会社ラックの登録商標です。その他記載されている会社名、製品名は一般に各社の商標または登録商標です。 © 2025 LAC Co., Ltd.