(レポート) AWS導入ガイド 2017年版: AWSを活用してセキュリティ強化!利用者が行うべきセキュリティとその実装方法

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

本記事は10/4(水)にオンラインで開催された「AWS導入ガイド 2017年版 〜 オンプレからの移行、運用・監視、セキュリティ対策 〜」のセッション「AWSを活用してセキュリティ強化!利用者が行うべきセキュリティとその実装方法」のレポートです。

クラウドを利用することは、企業のセキュリティレベルを向上させるうえで有効な手段です。 そのためにAWSが提供してくれるセキュリティ範囲、そして利用者が担保する範囲をどう理解したらいいのか。 「責任共有モデル」のご案内とともに、トレンドマイクロの考える総合サーバセキュリティソリューションを紹介します。

講師はトレンドマイクロ株式会社の姜貴日様。

かんさん

レポート

トレンドマイクロとは

・メインで販売している製品はウイルスバスター。
 ・APTサンドボックス製品も取り扱っている。
 ・TippingPointを買収しトレンドマイクロとして販売。
 ・機械学習なども行っている。
・どこの国の会社ですか。
 ・日本の会社です。
 ・本社は新宿。
 ・アメリカなどの海外に支社を持っている。
・サーバ向けセキュリティ対策製品で7年連続シェアNo1。
・AWSでの取り扱い→多数のお客様に導入頂いている。

AWS環境におけるセキュリティの実態

・AWS環境でのセキュリティの実態を調査。
 ・約40%のお客様が、AWS以外の追加のセキュリティ対策は不要と回答。
 ・多くのお客様が、重要な情報を置いていない、追加コストがかけられない、という理由で追加セキュリティ対策を導入していない。
・AWSのIaaS責任共有モデル。
 ・クラウド内のセキュリティ、お客様のデータはお客様自身に責任がある。
 ・コストがかけられないのではなく、コストをかけてでも守る必要がある。
・質問。
 ・AWS上でアンチウイルスを入れている人は?→0。
 ・ファイアウォールを入れている人は?→1割。
 ・その他のアプライアンスを入れている人は?→1名。
・AWSで追加導入しているセキュリティ対策は?
 ・調査の結果、ウイルス対策とファイアウォールが多い。
 ・ウイルス対策とファイアウォールだけで脅威に対応できるか?
・ウイルス対策は事後対応。
 ・ウイルスが侵入した後に対処するもの。
 ・そもそも侵入させない、攻撃を成功させない仕組みが必要。
・公開サーバからの情報漏洩の原因の割合。
 ・脆弱性を狙われた被害が、2016年が44%、2017年は68%。
・2017年に発覚した深刻な脆弱性。
 ・Apache Struts2。3月に発覚。
  ・サーバー上で任意のコードが実行可能。
  ・漏洩した個人情報が数十万件規模。

TrendMicro Deep Security

・総合サーバセキュリティ対策製品。
 ・IPS/IDS、ファイアウォール、不正プログラム対策など複数の脅威に対応。多層防御。
・IPS/IDS。
 ・脆弱性を利用した攻撃に最も効果的なのは、正式なパッチを当てること。
  ・しかしパッチを適用することで発生する影響をしっかり検証する必要がある。
 ・Deep Securityでは仮想パッチ機能があり、脆弱性を狙う攻撃をネットワークレベルでブロックする。
 ・脆弱性は傷口、仮想パッチが絆創膏。
・サーバー台数が増えるとサーバーごとの環境の違いを管理するのが大変。
 ・Deep Securityには推奨設定がある。サーバーごとにスキャンを実行し仮想パッチを適用する。
  ・仮想パッチを適用せずにログでレポートだけ出力することも可能。
・2つの提供形態。
 ・Deep SecurityにはManagerとAgentがある。
 ・Deep Security as a Service。Managerをトレンドマイクロ上のクラウドで提供。
 ・お客様側でManagerを構築する形式の提供も行っている。

AWSのフルマネージドサービスとの連携

・複数ある。今回紹介するのはAWS WAFとの連携。
 ・DeepSecurity as a ServiceがAgent側で脆弱性を検知したら、AWS WAFにルールを適用。
 ・攻撃者のIPアドレスをAWS WAFのIPアドレスリストに追加し、攻撃を遮断。
  ・実装はDaaSからSNSに通知しLambdaをキック。

まとめ

・Deep Securityでオンプレミスと変わらないセキュリティを確保。
・運用やセキュリティ分析にリソースが避けない場合も多い。
 ・クラスメソッドのフートセキュリティ
 ・セキュリティ専門家が24時間365日対処。

さいごに

参加者の方にヒアリングしても、AWS上で追加のセキュリティ施策を行っている人はごく少数でした。ユースケースに寄りますが、情報資産のレベルによっては追加のセキュリティ施策も検討し、リスクに合わせたコストをかけていく必要があります。これはオンプレミスでもクラウドでも同じですね。