【PR】AWS活用におけるセキュリティ対策と課題と今後の展望について、ガリバーインターナショナル様とトレンドマイクロ様に聞いてきました

take3000

2016.02.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

※ 本エントリーはトレンドマイクロ株式会社様にご協賛いただいております。

2015年12月吉日、AWS活用におけるセキュリティ対策と課題と今後の展望について、ガリバーインターナショナル様とトレンドマイクロ様にお話をお伺いしてきました。ガリバーインターナショナル様が Trend Micro Deep Security を利用されるにあたり、ユーザー企業が考えるセキュリティ対策と、セキュリティ製品を開発されているトレンドマイクロ様の考える Deep Security の活用方法や、今後の展望など非常に興味深い内容となりましたので、Developers.IO にてご紹介いたします。

インタビューに答えていただいた方

株式会社ガリバーインターナショナル ITチーム月島学様トレンドマイクロ株式会社マーケティング本部フィールドマーケティング部エンタープライズマーケティング課担当課長福井順一様

インタビューをした人

クラスメソッド株式会社 AWS コンサルティング部シニアソリューションアーキテクト大瀧隆太

参考記事

導入事例：「車のことならガリバーへ! 221616.com‎」 https://classmethod.jp/cases/gulliver/gulliver-221616-com/

クラウドのセキュリティ対策。スケーリングとどう向き合うか？

クラスメソッド大瀧、以下、大瀧: 今回の導入プロジェクトの背景を教えていただけますでしょうか。全体的な話をお願いします。

ガリバーインターナショナル月島さん、以下、月島さん: なぜ Deep Security を採用しようとしたのかと言うと、元々、コンシューマ向けのサイトとして 221616.com‎（ブーブーいろいろ）があって、老朽化とプライベートクラウドから脱却しようということもあり、これを AWS 化しようという話がありました。コンシューマ向けのサイトなので、Elastic であるべきという話もあって、AWS 化を選択しました。クラスメソッドさんには、他のシステムも含めて様々なご協力をしていただいていますが、元々、221616.com‎ でのセキュリティ対策というのは、日々の運用ということで定期的なペネトレーション・チェックとか、パッチの対応などは行っておりましたが、コンシューマ向けのサイトということでコンテンツの充実化が優先となりがちで、セキュリティ対策はどうしても後手に回りがちでした。そこで Deep Security をご提案いただきました。

大瀧: 導入にあたり、ガリバーインターナショナル様内で運用面や技術面で課題はございましたか？

月島さん: 主にクラスメソッドさんが一番苦労をされたと思いますが (笑)、AWS 化された221616.com‎ は Amazon Linux や CentOS など様々なディストリビューションを採用しています。元々のサイトのつくりが、PC向け、モバイル向けなどの違いや、コンテンツの違いによるマルチベンダー構造になっていて、様々な Linux ベースのディストリビューションが稼働していました。そうすると、作りやコンテンツも各開発ベンダーの色がでてくる。そこを合わせていくことが大変でした。

大瀧: Deep Security だと、それらのディストリビューションに対応しているというのがポイントになってきますね。 CentOS を採用するということが決まっていて、Deep Security の選択は OS 決定の後だったので、それから（課題が）わかったって感じでしょうか？

月島さん: そうですね。あと、時間がかかったところでいうとインシデントの整理です。ケースごとにどう判断するかは、殆どのコンテンツベンダーも深い知識をもっていたわけではなかったので苦労をしました。結果的には底上げになったと思います。

大瀧: Deep Security の採用は、クラスメソッドからの提案だったとは思いますが、導入決定時の決め手はなんでしょうか？

月島さん: ひとつはスケーリングに対応していることです。ここが一番大きい。元々、業務系でゲートウェイ型を採用していたこともあり、当時は、ゲートウェイ型も検討していました。しかし、ゲートウェイ型は拡張していくとそこがボトルネックになる。AWS を使っていくことでいろいろなチャネルや利用方法が視野に入っていたので、全てがゲートウェイを通るというのはボトルネックになります。そこで、ホスト型の Deep Security を採用しました。

補足：ゲートウェイ型とホスト型とは

ゲートウェイ型とは

セキュリティ製品をゲートウェイとして使用してバックエンドのサーバを保護する方式。トラフィックを集中して管理できるが、システム拡張などでボトルネックになりやすい。

ホスト型とは

各サーバにセキュリティ製品を導入し、サーバ単位で保護する方式。システム拡張してもセキュリティ製品がボトルネックになりにくい。

大瀧: 他社製品では、ホスト型を前面に押し出しているものはあまりないですからね。

月島さん: そうですね。

ユーザー企業から見た Deep Security の良さ

大瀧: Deep Security によって大きく改善された運用のポイントはなんですか？

月島さん: 運用で言うと、先ほどのインシデントの話に近いのですが、元々、セキュリティが後手に回っているという意識がありました。今回Deep Securityの導入に合わせてアズジェントのSOC(Security Operation Center)サービスに加入し、インシデントの切り分けをしていただくことで、セキュリティ対策のレベルを体系立て、底上げを図ることができました。あと、バーチャルバッチ。去年いっぱいあったので（苦笑）

大瀧: 最近ちょっと落ち着きましたね。

月島さん: アプリケーションでの対応が後で済むというのが大きいです。アプリケーションにパッチを適用するためには、適用後の動作確認のために非常に手間がかかり、そもそもアプリがパッチ適用によって動かなくなってしまうリスクがあります。例えばアップデート対応で言うと、弊社ではApple製品が多く、 iOSのアップデート対応をしなければならないというのが辛いです。iOSは非常に暴挙的なアップデートがかかるじゃないですか(笑)。セキュリティについてはコンシューマ向けでやっているものは待ってはくれないので、そういうところを調整してパッチあたっていることで安心できるし、本来のビジネスに注力できる。

サーバレス、API化でビジネスに注力する

大瀧: AWS 環境を運用し改善していくにあたって、興味のあるトピックなどはございますか？

月島さん: いちばんやりたいのはサーバレスですね。それが大丈夫なのかっていうのは別の議論がありますが、サーバレスにより OS に依存しない状態になります。API Gatewayとか、Lambdaとか、それぞれ検証は必要ですが、コンポーネントとして意識するポイントが減るというのが大きい。また、AWS はセキュリティに関してのレスポンスが早いというのも安心材料の一つになります。そういったところで、サーバレスっていうのは一つのキーワードなのかな、と。

大瀧: レスポンスが早いっていうのは HeartBleed とか何かでてきたところの初動っていう意味でしょうか？

月島さん: そうですね。そういったサービスを上手く組み合わせつつも、全部サーバレスにできるかっていうとそうではないので、Deep Security のようなツールももちろん上手く活用して、並行してサーバレスもやってみてって考えています

大瀧: サーバレスについては、先進的な技術だからやりたいというよりは、運用負荷を減らすという観点でしょうか？

月島さん: そうです。セキュリティや AWS の運用のオフロードという捉え方です。

大瀧: トレンドマイクロさんは他にも AWS WAF との組み合わせとかいろんなタイプの製品がある。サーバレスになってもリクエストはとどくので、そのリクエストが正規のものであるかフィルタのところは引き続き考えなければならないのかな、と。

月島さん: AWS WAF はやっていきたいですね。

大瀧: 現状、AWS WAF だけだと厳しいですけど。（月島さん）そうですね。そういった意味だと、AWS WAF と連携できるっていうのはやりたいですね。

大瀧: AWS の運用で Deep Security に欲しい機能はございますか？

月島さん: まず、新しいことや、ビジネスに直結することをもっともっとやっていきたい。そのためには、クラスメソッドさんへの期待とも重なりますが、運用はシステマチックに自動化を進め、API 化などを検討し、システムで運用が完結できるようにしていきたいです。もちろん、人が判断しなければいけないものは人が入るんですけど、ものによっては AI も入るだろうし、パターン化されたものはパターンで処理をどんどんまわしていくっていうかたちで、我々が意識しないですむレベルで、自動化、API 化ができるようになると嬉しいです。

大瀧: 判断ロジックを含めた API 設計になっていければ、ですね。

月島さん: そうですね。全部自動化は難しいと思うけど、API 化されていれば、このアラートは通知を出す、このアラートは自動処理するなど、連携元システムとしては API を突くだけで、処理の自動化、平準・共有化の効果があり、スケーラビリティも享受し易くなります。

Deep Security についておさらい。そもそも誰向け？

大瀧: Deep Security の特徴について改めて教えて下さい。

トレンドマイクロ福井さん、以下、福井さん: トレンドマイクロといえばウィルスバスターであるとか、ウィルス対策ベンダーとしてご利用いただいていることが多いですが、Deep Security は、ウィルス対策のみならず仮想パッチ、ファイヤーウォール、変更監視などの複数のセキュリティ機能を備えた総合セキュリティ製品となります。クライアント向けはウィルスバスター、サーバは Deep Securityということで製品を棲み分けさせていただいて、最近のサイバー攻撃であるとか、非常に攻撃がトリッキーになってきている中、いろんな機能をつかってサーバの多層防御を実現するソリューションになります。

大瀧: どのようなユーザーにフィットしますか？

福井さん: オンプレミスの物理サーバ環境から仮想化環境に移行するユーザー様や、ガリバー様のようにクラウドへ移行するユーザー様など、そういった移行のタイミングでシステムをリプレースするユーザー様に、場面・場所に合った最適なモジュールを使ったセキュリティ対策をご提案をしています。

大瀧: 統合型というかたちではあるけれど、ある程度、用途や構成によってモジュールをチョイスするのでしょうか？

福井さん: たとえば VMware さんのような仮想化環境であれば、仮想アプライアンス型のものであったり、クラウド型であればホスト型というような使い分けです。そして、Deep Securityをインストールした複数のホストをひとつのマネージャーで統合的に管理してくというのが我々としてのご提案内容となります。

大瀧: マルチクラウド対応も含まれるのでしょうか？

福井さん: そうですね。クラウドも複数対応しています。いままではシステムごとに管理サーバを立てログもバラバラで、ポリシー設計や適用を統一するのは難しいというのが、これまでのセキュリティ対策でしたが、トレンドマイクロとしては単一の仕組みによる統合管理を目指すべきと考えます。これまでセキュリティ対策としては、システムごとに異なるセキュリティベンダーの複数のセキュリティ製品を利用する形態が主流でしたが、全てのシステムのセキュリティポリシーを完全に管理できたかというと限界があったと思います。これからは、シングルベンダー、セキュリティ製品で複数の機能を組み合わせセキュリティポリシーの適用・管理を徹底させる流れになっていきているので、トレンドマイクロとしても一つの製品で複数の機能を使えるというのを推奨しています。

大瀧: 複数対応と、それを統制をもって、全体を管理できるという構成ですね。Deep Security だとマネージャーをつかって実現していく。

福井さん: はい。そうです。

大瀧: かなり頻繁にアップデートされているとはおもうのですが、最近の Deep Security のオススメ機能を教えてください。

福井さん: 先ほど月島さんがお話された仮想パッチもあるんですけど、どうしても IPS、IDSはチューニングが難しいというイメージがあり、ユーザー様も導入するインテグレータも入れて終わりというケースが多いと思います。そこに、去年のような HeartBleedなどの脆弱性が報告されると、都度ユーザー様もしくはインテグレータで対応をどうするか協議しなくてはならず、運用負荷が高くなりがちです。 Deep Securityですと、定期的に自動で必要なポリシーやルールを自動でアップデートし、追加する「推奨設定」という機能があります。こちらを活用することで、運用負荷を抑えたセキュリティ対策が可能です。もう一つ、地味というか、カーネルの話がありましたが、Deep Security 自体が一番注力しているのが AWS さんへの対策というか、連携を強化しています。AWS さんのAmazon Linuxのカーネルはバージョンアップのスピードがすごく早く(笑)、みなさんも追従するのが大変だと思うんですが、Deep Securityではカーネルの新バージョンリリースから2週間以内で対応しています。おそらくセキュリティベンダーで2週間以内の対応を謳っているのはトレンドマイクロだけだと思うんですね。そこに、開発リソースも投入していますし、我々はすごい注力している。セキュリティ強化だけでなく、いかに広いところで使えるようにしていくかっていうところが、AWS への連携というところでアピールできるポイントだと思っています。

セキュリティ対策は自前でやるべき？　それともアウトソーシング？

大瀧: 先ほど月島さんから SOC のお話もありましたが、Deep Security 自体が機能強化していくところと、セキュリティ対策の運用をアウトソースする SOC とのからみっていうのは、どのようにお考えでしょうか？

福井さん: 自分のところで運用するパターンと、SOC に依頼されるパターンがあると思うんですけど、セキュリティの製品は入れるだけで終わりではないので、定期的に見ていただくのが重要かなと思います。トレンドマイクロとしてはユーザー様ご自身で運用できるようになるためのトレーニングも提供しています。月島さまのお話のように、本業に力を入れていくために、SOC に関してもいろんな SOC ベンダーさんと連携させていただいて、アウトソースできるようなアライアンス関係の構築もトレンドマイクロとして取り組んでおりますので、ユーザー様の状況にあわせてご選択いただければと思います。

大瀧: 感覚的には、自前と SOC はどっちのほうが多いですか？

福井さん: やはり、自前でやっているお客様が多いです。そのため、先ほどご説明した Deep Security の推奨設定である程度カバーできるのは、メリットが大きいと思います。難しいのは、その後ログが出た時の判断とか、これが本当に攻撃されたのか、どう対処していくかの判断です。SOCですとSOC ベンダーの独自ノウハウから具体的なアドバイスを得られたりするので、そこはアドバンテージになります。いずれにせよ、どの程度のセキュリティレベルを確保するのかによります。

AWS と Deep Security

大瀧: AWS 環境との相性で気をつけることはありますか？

福井さん: 全自動ではないので、ある程度の手作業やログ管理などはあります。アンチウィルスは入れて終わり、パターンアップデートだけしておけば大丈夫って印象があるかもしれないけど、IPSや変更監視についてはそうではないので、導入した後のチューニングとかログ管理とかをきちっとしていただくのはユーザー様の課題になります。リスクの大小はユーザー様にご判断いただくように、なるべくたくさん出して、そこから絞り込んでいただくことで、より製品として洗練されていくと思っています。トレンドマイクロとしても初期アラートの増減といったところのチューニングは継続して取りくんでいく所存です。 Deep Security は入れてからどれだけ高めていくか、磨いていくものだという認識を持ってご検討・導入いただきたいです。

大瀧: あんまりアラートが上がっても…、ていうのはありますね(笑)。そこのさじ加減は、運用をしながら調整をしていくことになるんですね。

これからのセキュリティ対策と Deep Security の展望

大瀧: 今後の Deep Security の機能強化や、製品としての展望などをお聞かせいただけますでしょうか？

福井さん: 製品の方向性としては、先ほどの AWS WAF の連携などもあったと思うんですけど、クラウドベンダーさんの機能を使わせてもらって、トレンドマイクロはルールの提供とかセキュリティのナレッジを提供し、サードパーティのインフラを組み合わせたセキュリティを強化していくのがひとつの方向性になります。もうひとつ、標的型攻撃などの高度な攻撃に対して、トレンドマイクロの他の製品と連携してセキュリティを強化していくとうのがあります。例えば Deep Security で捕まえた通信を、我々の持っているサンドボックス製品に投げて、そこでおかしいふるまいだと判断したら Deep Security 側で自動的にルールがあたって止められる。これからはもっとそこを拡張していって、あとはウィルスバスターとの連携とか、トレンドマイクロ製品としてもっと強化できるような、エンハンスをしていく予定になっています。

大瀧: そのあたりだとだいぶ未来な感じですけど、サンドボックスでのふるまいとかだと、月島さんが先ほどおっしゃっていたような AI やパターンによる自動対応なども視野に入っているのでしょうか？

福井さん: そうですね。外部からの攻撃は、比較的、今の技術で防げると思います。内部のサーバとか、広く使っていこうとすると足りない部分であるとか、もっと強化すべき部分があります。そこは2016年、次のバージョンには入ってくるので来年度中にはそういった使い方ができるようになります。

大瀧: AWS WAF の他に対応する予定の製品ってありますか？

福井さん: AWS に関しては、Config Rules は対応予定です。他には、変更監視の機能をつかって改ざんされたら元に戻す機能とか。我々が戻すというよりは、改ざんされたことを AWS 側に通知してイメージを元に戻す。AWS の機能をもっと使って、自動化を目指していくとうのは力を入れていきます。全部、自社でやろうとすると重くなってしまうので、上手く外をつかって、我々は元々製品としては API であるとか、拡張性はもっているのでそこを上手くつかって、周りを活かして、ユーザー様としては全体が自動化されているようにしたい。

大瀧: WAF も Config Rules も AWS 的にもできたてほやほやなので…(笑)

福井さん: これから磨いていく感じです(笑)。Config Rulesのやつは Github に上がっています。

大瀧: トレンドマイクロさんの Github のリポジトリがあるんですね。

福井さん: トレンドマイクロと Deep Security 両方の Github ページがあります。Config Rules は Deep Security の方を見てください。

大瀧: ログインして見る製品ページじゃないところにあるのが驚きです（笑）

月島さん: ウィルスバスターと連携できると嬉しいです。

大瀧: サーバもクライアントまとめて管理もみえていくる感じでしょうか？

福井さん: トレンドマイクロの統合管理ツールがあるので、そこでの統合管理を目指していきます。サンドボックスの部分とかも、ウィルスバスター(エンドポイント側)で先にみつけた怪しいファイルをサンドボックスに上げて、やつを Deep Security (サーバ側)にわたしてルール適用できるような、会社としてトレンドマイクロの製品をつかっていると、どこでみつけても、他のところに攻撃が波及しないようにしたい。