週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

「AWS re:Invent 2018 Security re:Cap Seminar」レポート

ビルダーに必要なセキュリティは「門番」ではなく「ガードレール」

2019年02月20日 07時00分更新

 毎年AWSが開催している年次カンファレンス「re:Invent」では、聞いている方も追いつけないほど多数の発表がある。2018年11月に開催された「AWS re:Invent 2018」も同様で、機械学習などさまざまな新発表があったのは既報の通りだ。そしてこれらの影に隠れがちだが、実は多くのセキュリティ関連の新機能や改良も発表されていた。2018年12月20日に行なわれた「AWS re:Invent 2018 Security re:Cap Seminar」では、そのハイライトが紹介された。

ブレーキをかけるのではなく、どんなにスピードを出しても安全なセキュリティを

 セキュリティというと危険なものをブロックし、ルールを徹底し、リスクの高い行為を禁じるもの――そんなイメージを持たれがちだ。しかしそれではビジネスのスピードが鈍ってしまい、本末転倒な事態になりかねない。イノベーションを通して新しい価値を生み出す「ビルダー」を支えるプラットフォームと自らを定義しているAWSにとっては、セキュリティもまた「ビルダーを支える存在」でなくてはならないと、AWSのシニアセキュリティソリューションアーキテクト、桐山隼人氏は言う。

AWSのシニアセキュリティソリューションアーキテクト、桐山隼人氏

 2018年、AWSでは1800以上の機能を追加したそうだ。セキュリティについてもイノベーションを加速させており、のべ239件ものセキュリティ関連機能をリリースしたという。

 桐山氏はまず、さまざまな情報を収集・分析し、何か望ましくない兆候があれば原因を特定してアクションを取り、再発防止につなげるというセキュリティ運用の「仕組み」作りがポイントだと述べた。2つめのポイントは、インシデントが起きてからリアクティブに対応するのではなく、プロアクティブなチームにしていくこと。その重要な手段が「自動化」だ。そして最終的には、人をデータから切り離していくべきだという。

 「人が重要なデータにアクセスすることにはリスクが存在する。重要なデータにアクセスし処理するのはツールに任せていき、人はツールの開発や仕組み作りに専念するのが良い」(桐山氏)

 さらにAWSでは、今までとはちょっと違ったセキュリティのあり方を実現しようとしている。

 これまでのセキュリティは、関所のようにいったん止めて中身をあらため、ルールを守っているかどうか確かめる「ゲートキーパー」的なあり方が大半だった。しかしビルダーを支えるならば、流れを止めてはいけない。たとえるならば、車がどんなにスピードを出しても路肩にそれることなく安心して運転できる「ガードレール」のような存在であるべきだと桐山氏は述べ、「そうした新しいセキュリティのあり方によって、開発者も自由に、それでいてセキュアな新サービスを作ることができ、ハッピーになれる」とした。

 では、どうやってガードレール的なセキュリティを実現するのだろうか。その構成要素の一部は既にAWSで実装済みだし、ベストプラクティスも整備されているという。

 具体的な例の一つとして挙げられるのが、「AWS Organizationsのサービスコントロールポリシー(SCP)」や「AWS IAM Permissions Boundary」といった境界的な機能と、IDベースの制御やACLといった従来型のアクセスポリシーの組み合わせだ。セキュリティ部門が企業のセキュリティポリシーに則って境界を決めた上で、事業部門がさらに必要な細かなアクセスポリシーを定めていくことで、現場にも受け入れられるガードレール的なセキュリティを実現できると同氏は説明した。

 ……という前提で、re:Invent 2018で発表されたセキュリティサービスの中でも大きいのが「AWS Control Tower」だ。まるで空港の管制塔(Control Tower)のように、現場の状況を監視し、それに基づく意思決定や指示を与えるガバナンスを支援する役割を果たすという。

 「ベストプラクティスに基づくAWS管理基盤を構築するものであり、ガードレールのコンセプトで作られている。開発者のスピードを止めるゲートキーパーではない」

 AWS Control Towerには、複数のAWSアカウントの管理を支援する機能も含まれている。アカウントプロビジョニングやシングルサインオンのデザインテンプレートが含まれているほか、各アカウントがポリシーに反する挙動があればアラートを出すなどのセキュリティベースラインが実装される。「まるで空港の滑走路のような、この表示に沿って進んでいけばOKという『ランディングゾーン』を実現している」という。

多様なリソースからデータを集約し、一元的に表示する「AWS Security Hub」

 re:Invent 2018で登場した、セキュリティ関連のもう1つの発表が「AWS Security Hub」だ。AWS Control Towerがガバナンス強化を支援するものならば、AWS Security Hubは、さまざまなデータを集めて分析し、ビジネスパフォーマンスを高めていく一連のセキュリティマネジメントを支援する。

 AWSシニアソリューションアーキテクトの藤倉和明氏は、AWS Security Hubの背景に、「セキュリティとコンプライアンスについて、一元的に可視性を担保できていない状況がある。さまざまな種類の大量のアラートがある中でどれから対処すべきかという優先順位付けが難しいし、そもそもアラート自体、メールだったりSlackだったりと経路もバラバラならフォーマットもバラバラ。いま、自社がコンプライアンスを満たしているかどうかを確認するのも難しい」と指摘した。

AWSシニアソリューションアーキテクトの藤倉和明氏

 AWS Security Hubはこうした課題を解決するためにリリースされたもので、「アラートを集約して時間を節約するとともに、優先順位付けして表示する。さらに、さまざまなコンプライアンスを満たしているかのチェックを自動化し、しかも継続的に実施できる」(藤倉氏)という。

 まだパブリックプレビューの段階だが、Amazon GuardDutyやAmazon Inspector、Amazon Macieといったソースからデータを集約し、セキュリティ状態やコンプライアンス状態を可視化できるほか、パートナーのソリューションとの連携も視野に入れているそうだ。しかも、コンプライアンスのチェックは、業界標準であるCIS(Center for Internet Security)AWS Foundations Benchmarkに沿って行われるという。

 「マルチアカウントに対し、それぞれ『今、このアカウントは安全なのか』といった事柄を数分でチェックできる上、単一のコンソールで把握できる。顧客それぞれの固有の課題についても、カスタムインサイトを作成すれば追跡し、一元的に見ることができる」(藤倉氏)

 もし、パーミッションに反しているとか、適用すべきパッチが当たっていないといったリスクを検出した際には、Amazon CloudWatch EventsやAWS Lambda、AWS Step Functionsを用いて、あらかじめ定義しておいたカスタムアクションを実行することも可能だという。

「セキュリティのタグが付いてなくても、使えるものがたくさん」

 re:Invent 2018には、AWSの多くのパートナーも参加している。その1社、トレンドマイクロはイベントにおいて、統合サーバセキュリティ製品「Trend Micro Deep Security」(Deep Security)とAWS Security Hubの連携を発表した。

 トレンドマイクロのシニアセールスエンジニア、姜貴日氏は連携の一例として、Deep Securityの変更監視機能でhostsファイルの変更といったイベントをAWS Security Hubに集約していく方法を紹介した。Deep Securityからの情報に、GuardDutyで得た外部の不正なC2サーバとの通信情報なども加味することで、イベント単体だけでは判断がつかないリスクに相関分析を加え、本当に不正なプログラムによる攻撃かどうかの判断精度を高めていくアプローチだ。もし深刻な脅威だと判断したらカスタムアクションを実行し、当該端末をネットワークから隔離したり、メモリダンプを収集するといった対処も自動化できるという。

トレンドマイクロ シニアセールスエンジニア、姜貴日氏

 また、初期からのAWSカスタマーであり、2012年からre:Inventに参加してきたクックパッドのインフラストラクチャー部部長、星北斗氏は、「今年もたくさんの発表があった。必ずしもセキュリティのタグが付いていない発表でも、セキュリティシステムの構築に使えるものがたくさんあった」と述べた。

クックパッド インフラストラクチャー部 部長 星北斗氏

 たとえば「『Amazon CloudWatch Logs Insights』の登場によって、ついにCloudWatch Logsの絞り込みや集計、分析が可能になった。体感では10倍くらい早くてすごく便利」という印象を受けたという。また、後から上書きや削除ができない「Amazon S3 Object Lock」は、監査のために一定期間必ず保存しておかなければならないデータの保管に活用できそうだし、「Amazon S3 Glacier」の機能強化によってログをより保存しやすくなった。また設計には検討の必要があるけれど「Amazon S3 Intelligent Tiering」ではAmazon Athenaと組み合わせたログ検索が便利になるのでは……という具合に、あちこちにアンテナに引っかかる新機能があったそうだ。

 クックパッドでは、センサーとして使っているいろいろなソフトウェアやサービスのログを、個別のコンソールにログインして確認するのではなく、1カ所に集約して解析し、人間が本当に判断を下す必要のあるアラートのみに専念できるような環境作りを進めてきた。だがそれでも、アラートの正規化や集計・可視化、それに対応の自動化などに課題が残るという。今回の新発表を受けて星氏は「そこにSecurity Hubが使えないかと考えている」と述べたほか、Amazon Security Finding Formatと連携した可視化や、CloudWatch Eventsを生かした各種処理の自動化などにも期待を寄せていた。

 「すぐに使えるものが多くてうれしいし、セキュリティにフォーカスしていなくてもセキュリティに生かせるサービスが多く出たという印象だ」と星氏。これらも生かしながら、引き続き広い視点でセキュリティシステムの設計・実装に取り組んでいきたいという。

■関連サイト

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう