森永乳業のクラウドセキュリティ 少人数運用に必要な「武器」 #devio_showcase

この記事はDevelopers.IO Showcase のセッション「森永乳業のクラウドセキュリティ〜少人数で運用するために欠かせない“武器”とは〜」のレポートです。このセッションでは森永乳業様にクラウドセキュリティの方針と、どういったSaaS導入の判断や運用を行っているのか、今後の課題についてセキュリティ体制構築を支援したクラスメソッド臼田を交えて話していただきました。

なお、レポート内容の詳細やAWSセキュリティ対策についてのご相談がございましたらクラスメソッドの担当エンジニアが承ります。下記のフォームにてご入力ください。

クラスメソッドに相談する

セッション概要

森永乳業のクラウドセキュリティ 〜少人数で運用するために欠かせない「武器」とは〜

我々森永乳業株式会社は、創業100年を超える総合乳業会社です。歴史の長い食品メーカーということもあり、比較的新しい分野であるIT領域では様々な課題を抱えておりましたが、デジタル社会を生き抜くため、2017年に「コスト抑制志向型IT（守りのIT）」から「付加価値創造型IT（攻めのIT）」へと大きく舵を切りました。経営と事業に貢献するIT部門を目指して今も改革の真っ最中ですが、今回のセッションでは掲げた複数のIT戦略・方針の中から「外部データセンター化・クラウド化」にフォーカスをあて、クラウド化や運用の内製化を推進するために導入した「セキュリティSaaSサービス」と運用の実態、今後の課題について紹介いたします。

動画リンク

講演者

森永乳業株式会社 情報システムセンター アシスタントマネージャー 清田雅一氏 2018年の7月に森永乳業に入社しました。普段の業務ではクラウドに限らずセキュリティに関わる業務全般に関わるという立場で仕事をしております。

クラスメソッド AWS事業本部 ソリューションアーキテクト 臼田佳祐 普段はAWS事業本部ソリューションアーキテクトとして特にAWSセキュリティまわり、そしてサードパーティーのセキュリティ製品を使ったコンサルティングを行っています。森永乳業様とは初期の段階から約2年程関わらせてもらっています。

セッションアジェンダ

1.会社紹介

我々は総合乳業メーカーになりまして創業100年を超えている会社になります。

「乳で培った技術を活かし私たちならではの商品をお届けすることで健康で幸せな生活に貢献し豊かな社会を作る」を経営理念としています。スライドに表示されている商品はほんのごく一部なんですけれど皆様も店頭で見たりですとか実際に手にとって購入して頂いてるかと思っております。気になった商品は是非見つけたら試していただいてリモートワークのお供にしていただけたら幸いでございます。

2.セキュリティ強化への歩み

森永乳業のIT部門の生い立ち・背景をご紹介致します。

3年前ぐらいまではリソースを抑制する方向性でした。どちらかというと「守り」で図の左側のようにネガティブな要素が並んでいました。クラウド化やDXの流れが来ている中、IT部門で抱えている課題に対して「何かしないとまずいでしょ」ということで2017年に大きく舵を切ることになりました。今後どうしていくのかという方向性（図の右側）を打ち出して早3年になっております。予算や人が足りないといった点も改善をしており私もその一環で入社することになりました。「守りのITから攻めのITへ」という方針を掲げて今日も業務に当たっています。

その掲げた方針の中で今回のテーマにも関わってくるんですけれどもクラウドサービス積極採用・クラウド化があります。オンプレミスをやめて外のデータセンターに移すとかそもそもAWSも活用していこうではないか、という方針になります。これまではWebサイトも各事業部門や関係会社がそれぞれの基準で独自に構築運用をしていた実態がありました。運用も我々IT部門が関われない状況が長く続いているという状況だったので危機感を持っていました。森永乳業には約80サイト存在していたのですがそれらの集約化を図っております。Webサイトの集約化だけでなくて合わせてセキュリティの強化も最重要課題として位置付け同時に進めていくという方針で対応しています。

そんな中で我々だけでは何から始めてどういうふうに進んでいけばいいのかが全くわからなかったのでアドバイザーを必要としていました。そこでクラスメソッドと出会い約2年前から一緒にやっております。

オンプレを止めてクラウド活用していく方針をゼロからスタートして2,3年経ちますが現在の位置はというと、基本的なWebサイトのAWSへのリフト&シフトをこの2年ぐらいかけてやってきています。80サイトの内、5〜60サイトはAWSへの移行が完了していて残りあと20サイトの集約を進めているところです。

（臼田）ご相談いただいた時はバラバラになってるものをまずはちゃんと管理したいんだっていう話を頂いていて、かつAWS利用も自分たちでやっていきたいという話を頂いてました。最初はとりあえずAWSへの持っていき方を相談させて頂いて弊社で環境の構築をやらせていただきつつ徐々に技術トランスファーをし、今では弊社の手がなくても移行を推進できるようになっていただきました。それと最初にセキュリティ方針をある程度すり合わせをさせて頂いたのでそれがうまくはまっていて現状も維持できているのかなという認識です。

Webサイト運用体制のビフォーアフターをまとめました。IT部門は元々あったのですがWebサイトの運用というところに専任する体制・リソースがなく都度都度対応するあまり良くない状況にありました。事業部門とか関係会社さんは独自にアプリベンダーとかレンタルサーバーを契約してその上でWebサイトを運用しており、IT部門もweb基盤を持っていてたとえば企業サイトとかはこちらの方で運用していました。これをAWSの方へリフト&シフトする中でクラスメソッドさんとセキュリティサービスのSaaSを導入していき、かつIT部門も専門のWebサイトの運用チームを作りまして、実担当者レベルでいうと2名なんですけども私含めると5名の体制で今は運用をしているところです。元々あったWebサイトの基盤はもう既に廃止できており、後は関係会社とか一部使っているレンタルサーバーをこれから移行すれば集約完了という流れになっています。

3.SaaS(セキュリティ)紹介

ここからは森永乳業が導入しているSaaSのセキュリティサービスをひとつひとつを紹介していきます。大きくカテゴリ分けすると4つで実際今導入しているサービスは図のようになります。

まず①防御②脆弱性管理のところから運用を確立させて③④のところをカチっと固めていくという方針をとっています。クラスメソッドさんから紹介いただいたものと、従来からあったものがあるんですけれどもこの導入状況っていうのは他社と比べるとどうでしょうか？

（臼田）かなり積極的に活用いただいているという印象です。

早速ですがカテゴリーごとにどんな運用してるのか、どういう課題感をもって日々運用しているかをご紹介します。

こちらかなり抽象化した図ですが動的サイト・静的サイトがあってこれから紹介するSaaSで守っています。

①防御

WAF(Web Application Firewall)

まず防御のWAFからお話しします。

Incapsulaを導入しております。これはWebサイトを集約する前から導入をしておりなかなか脆弱性管理をきちんとできていない時代に外からの攻撃を守ってくれていたものになります。比較的有名どころの製品と思われるのとルール設定が簡単にできて管理もしやすいという印象を持っております。運用状況ですが基本的には重要なサイト、たとえば企業サイトや個人情報を扱うようなサイトにはIncapsulaを適用しております。AWSへ集約していくにあたってサーバレスとか静的なサイトについてはAWS WAF（後述）へ移行してこちらは外していくようなことをやっています。ただ重要なサイトはIncapsulaでも守る考えでいます。後はMSSを活用しており運用コストを少しでも削減しようと効率化を図っていたり、アラートは自動的にチケット起票される仕組みを構築しております。アタッカーアナリティクスを使ってアラートと出た時には逐次状況を把握しています。月次レポートで前月の状況を確認してセキュリティを報告する会議等で活用しています。課題としてはまだSIEM連携が道半ばでここを構築してアラート発生時の運用負荷の軽減を図っていきたいと考えています。

続いてAWS WAFですがAWSの方に移行したサイトについては基本的には標準適用するようにしています。セキュリティコストの全体的なバランスをとるためにはAWS WAFを使うことが必須になっておりましてどんどん適用しています。使い方としてはフォームを持っているような動的なサイト、CloudFrontとS3でできいるような静的サイトの二つでルールを使い分けることで運用負荷を意識して活用しています。課題としてはログの可視化があり、少し過去に遡ってログを見たい場合など取得までにコストがかかっているので今後改善していく必要があると考えています。IncapsulaのようなサードパーティのWAFとこのAWS WAFの使い分けで何か補足ありますでしょうか？

（臼田）やはりIncapsulaの方がいろんなことができるので重要なサイトはIncapsulaで守っていただくというのもありかなと思います。AWS WAFの方は圧倒的に安いのと比較的インテグレートが簡単なのでバランスよく使い分けいただくのが良いかと思います。

アンチウイルス

次はアンチウィルスです。3製品使っています。

1つ目はTREND MICROのWorkload Security(Deep Security)です。不正プログラム対策、IPS/IDS、変更監視、セキュリティログ監視の機能をONにして使っています。使い分けのポリシーとしては重要なサイトの稼働しているインスタンスに対して入れています。クラスメソッドさんのフルマネージドサービスを活用して24365で監視しています。サポート窓口もありますし臼田さんにバックアップ頂きながら運用しています。レポートが出力できるのでセキュリティ報告すべき会議で定期的に報告するというのが今後やりたいことになっています。

残り2つはSophos Central Server ProtectionとF-Secure PSBを使っています。どこに対して適用をしてるかと言うとSophosについてはフォームのないサイト、リスクの低いサイトに対して適用しています。F-Secure PSBは一部の環境のステージングに対して今導入をしています。Workload Securityと違ってMSSがないので必要に応じて管理コンソールを自分たちでチェックする運用の仕方になっています。

課題としては今使ってるだけでも3つもサービスがありますし、今回お話ししませんが社内システムの方でも別の製品が入っていたりするので今後に向けて複数のサービスを絞っていきたいと思っております。

②脆弱性管理

続いて脆弱性管理になります。アプリケーションレイヤーとプラットホームのレイヤーを定期的に診断しています。

アプリケーションの方はF-Secure Radarというサービスで診断をしています。もともとオンプレミスのツールを使って診断をしていたのですが画像の左側にあげるような4つの課題がありこれをRadarで解決しました。状況としては平均月2,30サイトは診断しています。トリガーとしては①定期的な診断②リリース前診断で、②がほとんどになります。基本は手動の実行ですけれどもユーザー部門からのリクエストのスケジュールがタイトだと自動スケジュール機能を使って負荷を下げています。またSaaSなので昨今の働き方で在宅が増えてるんですが場所にとらわれずに実行できるというところが良いところだと思っています。Digest認証やアプリの作りが複雑な場合にRadarで診断できないサイトがあるため、その際は従来の製品を使いコスト的にダブつくことが課題になっています。

続いてプラットフォームの診断はTenable.ioというサービスを使っております。OSとミドルウェアの脆弱性チェックをしており基本は週次で自動スキャンを実施してその結果をメールで受け取って確認しています。環境によっては日次で実施している環境もあったりします。診断ツールとしては全く問題ないんですが運用にはそれなりにコストが必要で診断の結果クリティカルな評価出てくるんですけどもそれだけでパッチ適用する必要があるかどうか、緊急性はどうなのかが判断しづらいです。そこに運用コストがかかっているという課題があるかなと思います。

アプリケーションの脆弱性管理というところでこれから検討になるんですがFuture Vulsをトライアルでやってみたいと思っています。Tenable.ioの課題感をFuture Vulsだとどうなのかというところを検討していきたいと思っています。またいま導入しているTREND MICROのWorkload Securityとの連携ができますのでたとえば、今緊急でパッチをあてなくてもWorkload Securityがあるから大丈夫といった判定ができると聞いていますのでその辺を含めてトライアルをしていきたいと思っております。

（臼田）Future Vulsは最近できたサービスでOSとミドルウェア周りの診断ができます。とても使いやすいのでいろんな方にお勧めしてます。是非トライアルしてみてください。

ここまで紹介した①防御②脆弱性管理のところはこの2年間で運用が地に足つきました。③検知・分析④その他はまさにこれからと言ったところなのでその前提で話を聞いていただければと思っております。

③検知・分析（ログ分析）

ログ分析はsumo logicを使っています。どのように見たらいいかわからないログも可視化してくれます。ログの取り込みも正規化が不要です。取り込んだ時にデフォルトで用意されてる機能を使って可視化できます。使い方としてはアラート、障害ライクな事態が起きた時にはこちらを立ち上げてアクセス元、どれだけの短い間にどれだけのアクセスがあったのか、エラー件数などを確認する時に活用しています。ただ日頃のルーチンの運用業務の中には未だ組み込めていません。アラート発砲の仕組みを構築したり、またログ連携できてないものたちがたくさんいますので連携して相関分析できるようにするところが今後の課題になっています。

グレッドという改ざん検知サービスを使っています。これもWebサイト集約前からIncapsulaと同じようにいろいろなサイトに導入していたものになります。1日4回チェックを走らせて主にスクリプトの改ざんがないかチェックしております。

AWSのサービスであるGuard Dutyも活用してます。今はレベル7(高)以上を検知した時にメールで受け取り、チケット管理ツールとも連動してもそれを担当の方で確認すると言ったところでうまく活用しています。今後の課題はDetectiveとの連携をできていないので、連携をうまく活用してもっと運用を効率的になるようにしていきたいと思っております。

④その他

最後にその他としてDome9とNew Relicをご紹介します。

Dome9はクラウドセキュリティの可視化サービスです。我々もクラウド化を推進し始めて3年経つんですが徐々にAWS環境も数が多くなってきて現在アカウントだと10個程があると思います。コンプライアンス、ガバナンスをチェックする目的で導入しています。Dome9テンプレートを環境のチェックに使っており、たとえばセキュリティグループやS3の公開設定をチェックしていたりします。今後は森永乳業のオリジナルのポリシーを作ってこれもルーチンワークに組み込みたいと思っています。また特権昇格をマネジメントコンソールでやっているのをこれもDome9経由に集約しようとしています。またセキュリティグループの一時的なルール変更をDome9に一本化することでクラウドサービス利用する上であるあるなセキュリティ事故をなくす体制を作りたいと考えております。

冒頭でお話ししましたがIT部門の方でWebサイトを集約しているためサイトに対して責任持たなきゃいけない上、インフラの基盤だけ見てればいいかというとそうではなくなってきました。アプリケーションレイヤーも含めて監視して性能を見て行かないといけないため導入をしております。New Relicを入れることでトラブルシュートにかかっていた時間がだいぶ短く済みますしそれが最終的にサービスのお客様への信頼性向上に繋がると思うので今後も活用していきたいと思っております。運用状況としてはまだ全てのサイトには適用できていません。いくつかの重要サイトに導入して運用設計をしつつトライアルを今やっています。将来的にはできれば全部のサイトをこれで可視化できるといいなと思っております。元々アプリケーションの性能監視を目的に入れたのですがセキュリティの面でもどんどん機能拡張されいっており、ログの可視化もできるようになっていますのでうまくこれを使っていきたいと考えています。

4.本日のまとめ

Q&A

セッションの中で寄せられた質問について、こちらでご紹介します。

Q1. AWS基盤はやはりAWS Organizationsで統括されているのでしょうか？

現時点ではOrganizationsは使っていません。（課題としては持っています）

Q2. Imperva Incapsulaと連携しているチケット管理ツールは、具体的には何を使っていらっしゃいますか？

Backlogというサービスです。

Q3. システム投資の増額に見合う価値は、セキュリティに限らず どのようなものがありますか？どのように見出しましたか？ 攻めに転換するには、攻めて得られる効果やコストメリットが無いと中々守りの勢力を納得させることは困難なタスクだと考えており、是非ご教示頂きたいです。

私が考える「価値」は以下のようなものです。 ㈰運用コストの削減（運用のしやすさ） ㈪他のサービスとの連携 ㈫サポートの手厚さ、情報の多さ ㈬我々運用担当者だけではなく、上長、ユーザ部門、ベンダーなどのステークホルダーとも情報共有がしやすいサービスだといいですね。 セキュリティの側面だけでなく、コミュニケーション基盤になりうるサービスは付加価値があると考えています。 （レポーティング機能、ダッシュボードなど）

今までは「セキュリティ体制構築や対策」を最優先で進めてきた部分がありますが、今後は費用対効果の部分も含めて社内のステークホルダへ報告を行っていく必要があると考えています。

Q4. 1つのサイトにおけるWEB脆弱性診断の頻度はどの程度でしょうか？ 内製化されているようなので、頻度高くできると思うのですが管理するサイトが多そうなので。

アプリケーションの診断については、「定期診断」と「リリース前診断」があります。 コンテンツのリリースが頻繁に行われるサイトも多く、結果として定期診断を上回るペースで診断しているサイトもあります。 頻繁に更新があるサイトだと１〜２週に１回のペースで診断しています。

なお、プラットフォームについては週次（特定の環境では日次）でスキャンしています。

Q5. どのような区分でツールを使い分けているのでしょうか？ 対象システムの重要度によって？実装された機能によって？ 是非ご教示ください。

「重要度」の軸で使い分けています。 企業サイトや個人情報を扱うサイトなどは重要度「高」として位置付けています。

Q6. 入れているツール群、結構リッチですね。 こういったセキュリティ投資は経営からも理解を得られていて予算がしっかり付けられるのでしょうか？"

クラウド化・セキュリティ強化はＩＴ部門から経営に対し宣言した方針でもありますので、予算としても理解を得た上で確保して、進めてきました。 ただし、いくらでもＯＫという状態ではありませんので、今後は費用対効果を評価しつつ、進めていく必要があると認識しています。

Q7. コンテナなどは検討されていますでしょうか？

直近で具体的な案件はありませんが、将来的に検討していく可能性はあります。 ※相談ベースの話はあります。

Q8. EOSLを迎えたサーバの以降が出来ていない場合などに、マイグレーションのタイミングまで延命するために、一時的にセキュリティを担保するための仕組みなどもし、ご存知でしたら、教えて貰えると助かります

どのようなサーバかにもよるかと思いますが、公開系のサーバであればWAFは有効だと思います。 TrendMicroさんのWorkloadSecurity（DeepSecurity）の導入もよいと思います。 あとは、ACLによりアクセス元とサービス（ポート）を最小限にすることでしょうか。

Q9. 2名のご担当者とお聞きしました。 2名はクラウドセキュリティの専任なのでしょうか？

AWSへの集約（移行）に関する調整やWEBサイト運用全般の業務も含みますが、クラウドセキュリティ専任となります。

クラスメソッドへの技術相談はこちら

今回ご紹介した事例について具体的な支援内容の説明やご質問などありましたらフォームにお問合せください。担当者から折り返しご連絡いたします。 ※個人およびフリーランスの方、弊社が競合と判断した企業様からのお申し込みはお断りをさせていただく場合がございます。あらかじめご了承ください。