Amazon Web Service(AWS)とセキュリティをテーマに開催されてきた勉強会「Security-JAWS」もはや11回。遅ればせながら、2018年11月に開催された第11回勉強会のダイジェストをお届けする。今回もクラウドセキュリティトレーニング、セキュリティ設定ツール、ログ解析基盤、コンプライアンス対応などバラエティ豊かなセッションがいっぱいだ。
契約書からオートメーションまで? 一通り学べるSANSのクラウドセキュリティトレーニング
セキュリティに関するトレーニングとGIAC(Global Information Assurance Certificatio)資格試験をグローバルで実施しているSANS Instituteでは、ペネトレーションテストやフォレンジックといったコースに加え、クラウドセキュリティにフォーカスしたトレーニングコース「SEC545」も用意しているそうだ。
先日東京・秋葉原で開催されたSEC545トレーニングに参加した吉江瞬氏によると、5日間の講義では、クラウドならではのリスクとCASBも含めた制御の実施方法、データ保護、インシデントレスポンスやフォレンジック、さらにはDevSecOpsやAWS Lambdaを用いたオートメーションおよびオーケストレーションに至るまで、一通りの内容をカバーする内容だったとか。ハンズオンや腕試しのための「クラウドCTF(Capture The Flag)」もあり、「クラウドセキュリティをやりたい人にはお勧めかも」とのことだ。
講義を通じて印象に残ったことの1つは、アナログですが「契約書の重要性」だそう。「クラウドサービスを利用するに当たって契約書ってあまり読んでいなかったけれど、地域や用途によっては重要な項目が含まれていることもある。受講を機にきちんと読むようになった」(吉江氏)。
また、ハンズオンで実際に操作していい感触を得たツールとして、クラウド上でスナップショットを取得できる「AWS-IR」と、メモリダンプを作成できる「Margarita shotgun」を紹介。今後、クラウド上でのフォレンジックが必要になった際に有効かもしれないと述べた。
ただ、SANSのトレーニングはそれなりに費用がかかるだけに、参加に当たっては稟議を通すのが一苦労となる可能性がある。そこで、re:inventの「参加する理由を説明する」と同様、稟議書作成を支援するドキュメントも作成してみたそうなので、今後参加を希望する人はぜひ活用してほしいとのことだ。
「今、クラウド環境はどんな状態?」を可視化するDome9
JAWSのようなコミュニティに参加していると当たり前の存在となっているパブリッククラウドだが、まだ、「大事なデータを置いてもいいものか」とセキュリティを懸念する声は少なくない。ソフトバンクではこうした懸念を払拭するためのツールとして、イスラエルのセキュリティ企業、Dome9(Check Pointの傘下に入りました)の製品を国内で提供している。
「クラウドはダイナミックに設定を変更できるので、『今の状態はどうなっているか』『今日と明日とで同じ状態を保てているか』をチェックする必要がある。一貫したセキュリティ設定を保ち、また業界によってはPCI DSSやHIPPAといったさまざまなコンプライアンスに準拠しているかどうかも気になるポイント」と、ソフトバンクの北山正姿氏は説明する。
Dome9のツールは、エージェントレスでセキュリティグループ単位で依存関係などを可視化し、「今、クラウド環境がどんな状態にあるか」を直感的に把握できるよう支援するという。同時に、多数のコンプライアンスに則ったテンプレートも提供する。これをベースにカスタマイズを加えることで、一定のレベルを担保しつつ、自社に適した形にチューニングできるという。さらに、IAMアカウントの設定状況についても可視化し、必要に応じて適正化することで、権限管理を支援する。「承認フローと組み合わせたり、時間制限付きで特定のアカウントを有効化することもできる」(北山氏)
北山氏は「パブリッククラウドをうまく使うために、現状把握と修正、権限コントロールといった部分を意識してほしい」と述べ、Dome9をはじめさまざまな取り組みを通じて「セキュアなIoTサービスを作るための基盤を提供していきたい」とまとめた。
気合いではなくメカニズムでIoTデバイスのセキュリティを保つ「IoT Device Defender」
Internet of Things(IoT)デバイスとクラウドの連携に関してはさまざまな取り組みが進んでおり、AWSももちろん、それを支援するさまざまなサービスを提供している。また機能だけでなく、「認証・認可を適切に行なうため、デバイス1つ1つについてユニークな秘密鍵と証明書を利用する」「ポリシー設定はワイルドカードを用いず、具体的に設定する」といったベストプラクティスも公表している。
問題は「こうしたベストプラクティスをどうやって守ってもらうかということだ」とAWSJの園田修平氏は指摘する。その解決策として先日リリースしたのが「IoT Device Defender」だ。
「IoTのセキュリティは、今日は安全な状態でも明日もそうであるという保証はない。リリース前にテストや脆弱性検査をしていても、明日新たな脆弱性が見つかるかもしれない。では、どうしたら安全な状態にし続けられるか。そこには気合いではなく『メカニズム』が必要」と園田氏は語る。
そのメカニズムがIoT Device Defender。要は、デバイスが安全かどうかを確認し、もし安全な状態でなくなったらそのことを検出して運用者に通知し、修正を支援するわけだ。
園田氏によると、IoT Device Defenderは4つの価値を提供する。1つはIoTデバイスの設定を安全に保つこと。AWS側からのマネージドな形でデバイスのセキュリティ設定がベストプラクティスに沿っているかどうかをチェックする。たとえば、マルウェア「Mirai」に付け入れられるようなデフォルトパスワードが使われていないか、証明書の有効期限が近付いていないか、過剰な権限が追加されていないか、同じクライアントIDで重複した接続がないか、ログ出力が無効になっていないか……といった事柄を確認する。
2つめは、異常な振る舞いの検出だ。「IoTデバイスでは基本的にやることが定型で決まっているため、異常なふるまいの検出は比較的簡単」(園田氏)というわけで、サーバー側、つまりAWS側でデバイスのメトリクスを把握し、普段と異なる動きがあれば検出する。
3つめの検知は、AWS CloudWatchやAWS Lambdaなどを組み合わせて実現する。たとえば「普段のアラートはこちらに送るが、『証明書の有効期限が切れそうだ』という通知だけはあちらのアドレスに送ってほしい」といった具合に、日々の運用の仕組みに沿う形で通知の仕組みを作り、アラートの見落としを減らしていけるそうだ。
最後は修正で、ここは人間が対応することになるが、「判断に必要な情報はすべてアラートの中に入っているため、それを見て対応すればいい」(園田氏)という。
園田氏は実際にデモを紹介した上で、「IoT Device Defenderではデバイスをセキュアに保ち続けるために検査し、異常を検出し、通知し、対応できる。しかもサーバー側は数クリックで設定できる」と、その簡単さを強調した。
週刊アスキーの最新情報を購読しよう