2021年のAWSセキュリティの想像
2年後のAWSのセキュリティについて想像したところ、今とのギャップがいくつか見つかりました。 今後の方針を決める上で、役に立つかもしれないので共有します。 本記事の内容はあくまで想像です。ポエムとしてお楽しみください。 想像の結果、AWSのセキュリティに関わるエンジニアは、サーバーレス、コンテナ、AI、インシデントレスポンス、CICDなど様々な技術に精通していく必要があると感じました。
EC2 Auto Scaling対応
EC2にインストールして使うアンチマルウェアなどの製品が、EC2 Auto Scalingに完全に対応します。 対応には2つの意味があります。 1つ目はEC2の増減に対応できるということです。 IAMロールを製品に連携することで、EC2の増減を検知します。 2つ目はライセンスの対応です。 月間xxx時間は、AutoScaling分のライセンス超過を許容するといった対応が考えられます。 パーセンタイルを使った方法もあるでしょう。
サーバーレス、マネージドサービス、コンテナ対応
セキュリティソフトをインストールするようなタイプの製品は、サーバーレス環境やマネージドサービスでは利用できません。 接続ログなどを解析し、攻撃を検知したりブロックするといったサービスが期待されます。 データベースログを見てSQLインジェクションを検知するなんていう製品が出たら嬉しいです。
既存のセキュリティ製品をコンテナでも利用できることがありますが、機能が制限されることがあります。 今後はコンテナを前提に作られた製品が普及すると思われます。
AIが人のように仕事をする
AI対応を謳ったサービスは今でもあります。 AIを使って検知率を上げるといったサービスです。 私たちがAIに本当に期待していることは、人の仕事を肩代わりすることです。 例を2つ想像してみました。
様々なデータソースをAIが解析する
複数のデータソースをAIが解析して、攻撃の成立から被害発生のタイムラインを見られるようになります。 「サーバーがマルウェアに感染して、スパムメールを送ってしまう」というインシデントがあるときに、VPCフローログ、アンチウイルス、変更監視、プロセス監視を横断して解析できれば、13:00に攻撃成立し、ファイルXが埋め込まれ、プロセスYが14:05に500通のスパムメールを送ったなどの被害を確認できるはずです。
別のケースを考えます。「フェデレーションを悪用され、仮想通貨をマイニングするEC2を作成される」ケースがあります。 AIがVPCフローログ、アプリケーションログ、CloudTrailログを見れば、あるリクエストにより、アプリケーションのフェデレーションを悪用され、EC2を起動するAWS APIを実行されているなんてことを検知できそうです。
私が大好きなGuardDutyはVPCフローログ、CloudTrailログ、DNSクエリログから、機械学習や行動モデルを組み合わせて脅威を検出します。AWS WAFのログやパートナー製品のログも組み合わせられれば、より良いサービスになりそうです。
様々な仕組みとセキュリティがシームレスに連携する
既存の仕組みとセキュリティがシームレスに連携し、人が介在する作業が減ると思われます。 例を2つあげてみます。
インシデント対応のサポート
AIがインシデントを見つけたら、JIRAのようなシステムでチケットを起票します。 チケットには推奨の対応方法が書いてあり、人が対応を行ったらクローズします。 同じようなインシデントが起きたら、過去のチケットが自動的に紐付けされ、簡単に参照できます。
CICDとの連携
マルウェアにサーバーが暗号化されたり侵害されたら、サーバーの再セットアップが必要です。 CICDと連携していれば、侵害されたサーバーを即時に撤去し、安全なサーバーをすぐに構築できます。 また、アプリケーションのバージョンや環境(本番/開発)に加えて、アプリが持つ脆弱性をCICDの中で管理できます。 セキュリティリスクを管理した上でデプロイできます。
まとめ
2年後のAWSのセキュリティについて、想像してみました。 直近の課題としては、EC2 Auto Scalingや サーバーレス、コンテナに完全に対応したサービスの登場が待たれます。 これはすぐにでも出て欲しいです。
現在でもAIを使ったサービスはあるものの、AIが人間を助けるというところまでは中々行けていない印象です。 今後数年間でAIはセキュリティの解析、運用を支援する存在になると思います。 セキュリティエンジニアはコンテナやサーバレスを理解しつつ、インシデントレスポンスも適切に取れるような高いスキルを求められるでしょう。 各種認証や法律の知識も求められる時代がきそうです。 私も頑張りたいと思います。