情シスにAWSのセキュリティを高める方法を聞いてみた〜インサイトウォッチインタビューシリーズ第1弾〜
今年の5月末にクラスメソッドがリリースした、AWSアカウントを無料でセキュリティチェックするサービス「インサイトウォッチ」はご存知でしょうか?
私もこのサービスに関わるまでは、AWSはセキュリティが盤石なので、クラウドに載せるだけで、セキュリティは担保できると思っていたのですが、そうではないようなのです。そこで、実際のITの現場が気になってきたので、インサイトウォッチのPM(田子)と一緒に、まずは弊社クラスメソッドの情シス担当の植木 *1に、AWS運用におけるセキュリティ対策の実態について聞いてきました。
AWSのセキュリティを強化したい、AWSのセキュリティ対策で何をしたらいいか分からない、AWSのセキュリティを高めたいが、上司を説得できるような良いサービスが見つからない...そんなかたは是非御覧ください。
AWSのセキュリティを高めるためのポイントは?
植木:網羅的なセキュリティチェックの体制をつくることが大事です。
PCI DSSというクレジットカード業界のセキュリティ基準があります。AWSの運用では、この基準にしたがって、ファイアウォールの設定を確認しないといけないとか、IAMユーザーの棚卸しをしなきゃいけないとか、要件が決められているんです。これを守るのがポイントですね。
私はセキュリティに関する責任者なので、パスワードやセキュリティグループの変更とそれらの事由は毎月チェックしています。ただ、そもそも現状のセキュリティが完全なのかどうか、何を元に安全性を判断するか分からない部分もあるんです。
部分的には人間の目で確認できますが、見るべき項目が抜け漏れている恐れも常にあります。なるべく多くの要件を満たせる安定した体制をつくることが大切なんです。
その点で言えば、インサイトウォッチはCISという一つの指標にもとづいて網羅的なセキュリティチェックをしてくれるのは強みに感じます。
「システム全体で重要な問題がいくつあって、注意すべき問題がいくつあります」という客観的な事実をレポートしてくれるのはとても役立ちます。
チェックで悪い結果が出たら怖いですか?
植木:最初にやったときは、もう真っ赤っかでしたよ。「重要」な問題が「22」も検知されました。
でも、最初はそんなもんだと思います。CISのような基準がないと、そもそも何をやっていいかわからないんです。なんとなく自分らでルール決めているところが多いと思うけど、外部基準を何も適用しない時は、本当にそれで安全なのかっていう保証がなにもないので。
事実は事実ですし、対応しないと仕方ない。弊社アカウントでチェックしましたが、いまだに9項目は赤(セキュリティ対策が必要な項目)のまんまです。赤のものに対して、これら全てをゼロにするかどうかってのは、各企業なりの判断ですし、一つ一つに対する理由がちゃんと言えればいいと思っています。
これこれこういうものだったら、うちはこれ赤のまんまにしますと。
ただその、わかっているけど対応しない重要な項目を他と区別したいんで、こないだ田子さんに、「無視にできませんか」って要望を出したんです。
赤をそのまま残すことは、セキュリティ上、CISとしてはリスクがありますよという状態です。とはいえ、そのリスクをなくすのか、対応するのか、これはいいのだと受容するのか、それは各企業の判断次第になるんです。
最後に行った結果は9でした。ただ、9よりも減らすことは、できはしますが、現実の運用と照らし合わせるとちょっと難しいなと思います。弊社にとってのいい塩梅が、9なんです。
アラートメールが対応しやすくて良い
こちらで言及されているアラートメールを送信する構成を行うCloudFormationテンプレートを、クラスメソッドメンバーズ加入の方限定でご提供しています。 詳しくはこちらをご覧ください。
植木:AWSから送られるアラートメールは英語なんですが、インサイトウォッチの場合は、日本語でくるし、どのアカウントで発生しているのか、URLまで付いてきます。メールを見るだけで、必要なログまで一発で飛んでいけるんです。さらに、どのアラートに引っかかったのか、検索条件が送られてくるので、原因追求がとてもスピーディで助かります。
「ああ、間違えて、スイッチロールするの忘れてうちの基幹関係に対してなんかCloudFormation叩こうとしてるな」とかが、すぐに分かるんです。
問題が起きてから実際にログを確認して、突き止めるまでの流れが、とてもわかりやすいのは、緊急時にも特に重宝すると思います。
さっきも、社内の人間から、パスワード忘れたからリセットしてくれってきたんです。その後即座に、「MFAが有効じゃないユーザがログインしましたよ」ってメールがきて教えてくれるんですよ。アラートの内容によっては、検知だけでなく対応方法まで記されてます。
運用をしやすいというか、なにかあった時の対応がしやすいんです。対応にたどりつくまでに考えなくてもいいっていうのは、組織運営にとって、強いと思います。
よくあるアラートメールは、優先順位もわからず、たくさん送られてくるけどこのメール受けとってどうすればいいんだ?っていう場合が多いです。ログだけとか、起きたことだけ書いて通知されるだけだと、そこから改めてどうしたらいいか考えなければいけない。インサイトウォッチのアラートメールには、次のアクションが明示されているので、取り組みやすく、とても助かってます。
インサイトウォッチのご利用は無料です
インタビュー、いかがでしたでしょうか?
まずは、ご自身のアカウントをチェックしてみるところから始めてみてください。情シスのかたであれば、「重要」が22未満であるかどうか、外すチェック項目は、自分だったらどれを選ぶか?など、併せて考えてみてもらえると面白いかもしれません。
インタビューはまた次回へと続きます。
インサイトウォッチとは
AWSの総合支援を長年行い、AWSプレミアコンサルティングパートナーであるクラスメソッドは、AWSアカウントのセキュリティチェックや監査対策サービスとしてインサイトウォッチを無料で提供しています。
インサイトウォッチのメリット
- アメリカのセキュリティ団体であるCISの策定した網羅的なセキュリティチェックが自動でできる
- アカウントを連携するだけで、チェックやレポート出力がワンクリックでできるため、共有しやすい(そのまま上司への報告にも使える)
- チェックした後もアラートメールで、問題発生→検知→対応の流れがスムーズにできるようになる
レポートは以下のようなものが、pdfで出力できます。
脚注
- IT推進室室長・最高情報セキュリティ責任者 植木和樹
IT推進室ではPCIDSS認証取得 や SOC2 Type1 システム報告書の作成など、様々な施策で社内情報セキュリティの向上に取り組んでいます。
この中で特に重要になるのが、クラスメソッドの基幹サーバーがおかれるAWS環境の安全性です。
これまで独自の指標に基づきセキュリティ対策を実施してきましたが、インサイトウォッチはCIS AWS Foundations Benchmark に基づき網羅的なチェックを実施してくれるため、定期的なセキュリティチェックにかかる工数を大幅に削減することができました。 ↩