Deep Security User Night #6 参加レポート

森永です。

9月5日に開催されたDeep Security User Night #6のレポートです。
会場は、前回と同じくHAPON新宿でした。シャレオツ空間です。
ビアバッシュ形式で色んな飲み物が用意いただいていました。

レポート

Deep Security vs Docker

株式会社ワークスアプリケーションズ 椎名さん

途中参加のため冒頭聞けていません。。。

• k8sにDSを導入する方法
  • コンテナはOSが見えないのでインストールできない
  • ホスト側にDSを導入する
• DS + Docker環境でおきた問題
  • syslogが肥大する
    • 原因：ds_Filterドライバが対応できるネットワークインターフェースを超えていた
  • 新規にコンテナが立ち上がらない
    • Ubuntu 14.04.4 LTS
    • DSA 9.6
    • 原因：iptablesをDSが無効化してしまうことが原因だった
    • 無効化しないように設定
  • Dockerのコンテナが一切起動しない
    • Ubuntu 14.04.4 LTS
    • DSA 9.6
    • 原因：カーネルをアップデートしたところ、DSが対応していない
    • カーネルをロールバックするか、DSを止めるか
  • カーネルパニックでOS停止
    • Ubuntu 14.04.4 LTS
    • DSA 10.0.0.2413
    • 原因：現在のところ不明。再現しない。
    • 不正プログラム対策を無効化すると再現率が非常に下がる
    • 停止しても自動復旧ツールで立ち上がるので今のところ問題ない
• 現状
  • k8s + Docker
    • 一部DSを無効化して運用
    • OSのハングアップには自動復旧ツールで対応
  • それ以外
    • DSで保護
• 伝えたいこと
  • HUEは個人情報をめちゃくちゃ扱っているのでセキュリティは重要視している
  • HUEの操作には専用のリモートルームへ行く必要がある
  • サーバレス化が進んでいる
  • セキュリティ面で色々な対策をしている
• セキュリティ対策色々しているけどDS入れる必要あるの？
  • セキュリティ対策に漏れがあることを考慮して、セキュリティ製品は必要
  • HUEサーバ内での操作があるので、内部犯対策として必要
    • DSはホスト型なので気付ける
  • ユーザが納得してくれる（DS入ってるよ！）
• その他のメリット
  • 脆弱性を含む古いバージョンのソフトウェアを発見
  • 作法の宜しくないURL生成を発見
  • TCP上限到達により不具合を発見
  • メールに添付されていたウィルス、Excel内のマクロを削除
• 今後の展開
  • サーバレス化
    • DSは不要になる可能性はある
  • AWSでFargateやEKSがリリースされたらそちらへ
    • k8s+Dockerはネットワーク周りが難しい
    • そのへんをいい感じに出来る
• Trend Microへの期待
  • Web APIの正式サポート
  • ManagerでのAmazon Linuxの正式サポート
  • サーバレスアーキテクチャへの対応
  • Relay要求スペックの低減
  • 各コンポーネント同士で利用するIPの固定

うちのDeep Security運用事情

伊藤忠テクノソリューションズ株式会社 千田さん

• 前後の発表が尖ってて辛い…
• 経歴：インフラエンジニア→アプリエンジニア→クラウドエンジニア
• 注力したいAWSサービス：AWS Fargate/Kinesis/IoT/Alexa for Business
• CTCの提供しているサービス
  • ライセンス提供
  • マネージドサービス
• マネージドサービス構成
  • 同一VPC構成（一つのVPC）→取り敢えず試したい
  • 分割VPC構成（VPC Peeringで）→本番環境と分けたい
  • 集約管理VPC構成（一つのVPCで管理して複数繋ぐ）→沢山管理
• 運用時の問題
  • ウィルス検出のためのコンポーネントがサポート終了問題
    • 特定ビルド以下のものは停止します
    • 対応：ManagerからAgentへpushでインストール
      • Windowsの場合はOS再起動が必要
    • 2018年10月中旬に同じようなことが起きる旨のアナウンス
      • 最新のビルドを使うようにしましょう
  • バージョンのライフサイクル早いよ問題
    • サポート期限情報
  • 管理対象が増えるとライセンス高いよ問題
    • ライセンスがエージェント単位なのでインスタンスが増えるとライセンス追加購入がいる
      • ホスト型だと起きる問題。。。
      • ネットワーク型/SaaSにしたいというお客様が出て来る
    • 対応：ホスト型とネットワーク型/SaaSとの違いを説明
      • ネットワークだとSPOFになるよー
    • 補足：AutoScalingにも対応できるライセンス
      • 888時間/年間は上限超えられる
  • アラートのクリアが面倒だよ問題
    • 警告/エラーを検出した際にDSM管理コンソールから明示的に消さないと残る
    • 対応：手動対応
    • 補足：APIで自動化出来ればいいが、SOAPは辛い
  • シグネチャのチューニングが大変だよ問題
    • 推奨設定検索以外の個別シグネチャチューニングが必要
    • 対策：TMのサポートを活用して対応
    • 補足：CTCではMSSサービスを提供しているので、セキュリティ要件が厳しい場合は専任のセキュリティ担当者が対応

休憩

＼Ʊ"-ʓ／＼Ʊ"-ʓ／
ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ

FutureVulsで検知した脆弱性をDeepSecurityで防御！

フューチャーアーキテクト株式会社 林さん

• ビール飲んで酔っ払ってきたのでよろしくお願いします
• Vulsは脆弱性を検査するツール
• 悩み：ブラウザのタブを開きすぎること
• セキュリティ運用って大変ですよね
  • 新種のマルウェアの数が数十万種/日
  • 多層防御を施さないといけない（40くらいあるらしい）
• でも他の業務と兼務の人が多い
  • インフラやりながらセキュリティ→つらい
  • 脆弱性は日々でまくる
  • 脆弱性は年間10000万超
• その課題を解決するために開発したのがVuls
  • オープンソースで誰でも使えます
  • 仕組み
    • ソフトウェアの情報をSSHでとってくる
    • JVE、、NVE、OVALなどの情報を取ってくる
    • 突き合わせて重要なやつをサマリしてくれる
• Vulsをリリースしてわかったこと
  • 脆弱性の管理ってだいたいの企業はやってなかった
  • Vulsでやっと可視化出来た
  • 可視化出来たら、どうする？
    • そっと閉じる
  • ではダメなので、そのあとを対処するサービスを作った
  • FutureVuls
    • 環境に合わせた優先度つけ
    • 適用すべきパッチのアドバイス
    • 脆弱性への対応、ステータスの管理
    • Windows対応、大規模対応
  • いやいや、脆弱性分かってもパッチ適用できません！アプリが動かなくなる！
    • どうしよう。。。。
• Deep SecurityとVuls連携するスクリプトをTMが作っていた！
  • パッチ適用をすぐ出来ない場合はDeep Securityに守ってもらおう！
  • Vulsは日々どんな脆弱性が出ているか、関係するものだけ見れる
  • ロール（このサーバはDMZにあるよ、など）を設定できる
  • すると優先順位をそれに合わせて計算する
    • やらなくていいことを増やせる
  • Vuls側でDeep Securityの連携設定ができる
  • ロール単位でDeep Securityのポリシーを作成できる
    • Deep Securityで防御できるようになる！！！
• この機能を昨日プレスリリース
  • フューチャーアーキテクトの株価高騰
  • トレンドマイクロの株価は変わらず…
• トレンドマイクロの株価に影響できるように頑張ります
• 今後のはなし
  • 今はVuls→DSでポリシー作る
  • 今後はDSで守ってるから大丈夫だよ、をVulsで表示できるようにする予定
• QA
  • Q. DSの推奨設定検索があるけど、Vulsでやる意味は？
    • A. 対応社をアサインしたり、サーバの属性などで検知できるので、棚卸しになる
    • コンテナのスキャンもVulsは出来る
    • スキャンの精度が高い自信がある（OvalのDBを取り込んでいる、有償のものも対応注）
    • 特にプログラミング言語のライブラリなど（すごいニッチなものも）
      • GitHubのissueなども見てる有償DB

トレンドマイクロサポートチーム内の裏話　～Episode 1～

トレンドマイクロ株式会社 小林さん、田中さん

• 田中さん
  • サポートのエンジニア、Level 3エンジニア
  • 料理が好き
• 小林さん（こばちゃん）
  • サポートのエンジニア、Level 3エンジニア、グローバルプロダクトマネージャーの雑用（クレームをグローバルにフィードバックする）
  • 特技：ダンクシュート（今は体重増加のためできない）
• DSの新しいバージョン出るの早すぎませんか？
  • 2017年からhotfixを作らずに、Updateモジュールを毎月リリースしている
  • 他の製品：ウィルスバスターは年間1,2回、ServerProtectは1回…
  • 2018年は新しいバージョンが33回予定されている（2017年以降月2件以上）
  • サポートはリリースの時なにしている？
    • リリースページは手動で作っていた→スクリプトで作れるようにした
    • Readmeのレビュー
      • 海外で作って→翻訳メンバーが翻訳→サポートでレビュー
    • 製品サポートニュースと有償サポート通知
      • 社内フローがめん…ｹﾞﾌﾝｹﾞﾌﾝ
  • なんでこんなにリリースするの？
    • 新機能を少しでも早く使って欲しい
    • 既存のバグをプロアクティブに対処するため
• なんで調査に時間が掛かるの？
  • プレミアムサポートの場合は殆ど1営業日以内に最終回答している
  • 時間のかかる回答は？
    • 再現に時間がかかる案件
    • ダンプ解析などソース解析が必要な障害は開発へのエスカレーション
    • 事象の再現が難しく、開発へのエスカレーションが必要な場合時間がかかる
  • 使われているコンポーネントが多すぎる
    • 不正プログラム検索
      • ファイル検索エンジンは他のチーム
    • セキュリティアップデート
    • 別チームでやってるので、エスカレーションが必要になる
  • こんなことありませんか？
    • こないだは1営業日で回答来たのにおそいよ！
      • 海外の色々なチームに問合せをしている…
• 機能実装について
  • Deep Securityにこんな機能が欲しい、というリクエストを送れる
  • 例
    • アプリケーションコントロールのWindows対応をして欲しい
    • AWS WorkSpacesに対応して欲しい
  • ただし、以下の理由で時間がかかることがある
    • 開発リソースを安易にアサインできない
    • 実装されても嬉しいユーザが一部
    • 実装してもコストが見合わない
  • ユーザ→サポート→プロダクトマネージャの流れで機能要望
    • 他の国からそんな要望来てないと言われて弾かれることも
  • 通りやすい機能要望
    • 機能が明確であり、必要な理由が明確
      • （良い例）Linuxでリアルタイムスキャンをしたい
      • （悪い例）不正プログラム検索の負荷を下げて欲しい（抽象的）
    • インパクトが明確である
      • （良い例）XXがないと運用が手動で、XXX円運用コストが掛かる
      • （悪い例）XXがないと運用がつらい（不明瞭）
    • 他のリージョンからも同様のリクエストが来ている場合
      • 運任せ…
  • どんどん機能要望はして欲しい
• サポート担当者って問合せ以外の仕事しているの？
  • お客様からの問合せ以外に
  • 海外メンバーと情報共有
    • トリリンガルのメンバーが海外メンバーとやりとり
  • ツール作成
    • サポート担当者がツールを作ったりしている
  • 製品リリース対応
  • ドキュメントのチェック
  • 社内プロジェクトへ参加
    • トラブルシューティングガイドやアップグレードガイドなど
    • 設定診断プロジェクトなど

最後に

非常に内容の濃い回でためになりました！
サポートの方の話は機能要望の仕方などすぐに役に立つ内容で非常に良かったです。