外部パートナーの力を借りたAWS運用のメリットと注意ポイント

IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > 外部パートナーの力を借りたAWS運用のメリットと注意ポイント
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

外部パートナーの力を借りたAWS運用のメリットと注意ポイント

データセンター 2016/02/25

 昨今の巧妙な改ざん、不正侵入の事例を見ると、どのような対策を施していても、狙いすました攻撃を100%防ぐのは困難だというのが実感です。AWSを利用しているからといって、ここは従来のオンプレミスのシステムと何ら変わりはありません。

 そこで連載の第4回は、外部からの攻撃をどう食い止めるかという視点を離れ、システムへの攻撃をどう検知するか、事故が発生したあとの再発防止をどうするかについて、外部パートナーとの協力の在り方を含めて書いてみます。

「ログの完全性」の確保が再発防止の出発点

 サイバー攻撃による改ざんや不正侵入を受けてしまった場合、復旧のために再発防止策を講じる事になりますが、それには攻撃がいつ、どのように行われたのかを把握するのが第一歩。その攻撃のあり様を知るための拠り所になるのが「ログ」です。ところが、攻撃の中には証拠を残さないようにログを改ざん・消去してしまう手口もあります。そもそもアプリケーションやミドルウェアのログを出力していないと話は始まらないのですが、AWSの場合には、サーバー停止の際にストレージ内容をクリアしてしまうインスタンスストアストレージもありますので、ログの出力先にも注意が必要です。ともあれ、何としてもログを安全に保管することを考えなくてはなりません。

ログをありのままに保管、利用するために

 OSなどはログを必ず記録できますが、ミドルウェアなどでは標準でログを書き出さないものもあります。まずは各種構成要素が、ログを出力するよう設定することから始めます。そしてログ収集、集約そして一元管理を行います。収集には自動収集ツールを利用することをお勧めします。

 例えばfluentdというツールは、ログを出力した瞬間に、転送先のログ管理サーバーに書き込むことができます。また、収集したログは「S3バージョニング」と「MFAデリート」を有効にしたS3へ定期的に転送し、保管するのが良いでしょう。「S3バージョニング」は、S3上のファイルにバージョンIDを付与し、ファイルの上書き・削除の際にオリジナルファイルを保持する機能です。「MFAデリート」は、バージョンIDを指定した削除操作について、MFAデバイスによる認証を必須とするオプションです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 これらの機能を使用することで、ログを格納するS3に、管理権限を付与されている人を多段階で認証しなければ削除できない仕組みを持たせることができます。

 ログを安全に保管しておくことが、何かが起きたときの対応の早さ・正確さを決める基礎となるので、ログの「完全性」を保ったまま記録できる仕組みをシステムに取り込むよう検討すべきです。慣れないうちは、AWS環境のシステム構築・運用に熟知した外部ベンダの協力のもとで、実装するのが良いでしょう。

攻撃の予兆を検知する運用体制

 ログの完全性を確保したところで、次はログから攻撃の予兆や痕跡を探り出せる仕組みが必要になります。これは普段から継続的に各種のログを監視する手間でもあり、セキュリティ専門の技術とノウハウが必要な領域になります。自社で人材が得られない場合、また育成が難しい場合には、セキュリティの専門会社に外注するのが第一の選択になるでしょう。セキュリティ製品を導入するときは、その製品の運用を任せられるコンサルやベンダから、その製品を導入するのが理想です。

 しかし間違えていけないのは、彼らセキュリティのプロは、ユーザ企業のセキュリティ対策を手伝ってくれる存在ではあるものの、ユーザ企業が負うべき“責任”をお任せできるわけではない点です。契約での責任分界の明確化も大事ですが、それ以上に、本当に事業を守るためにはどのように外部業者と協力し、自社の責任でセキュリティ対策を洗練させていくのか、真剣な議論が求められます。

セキュリティのプロと、ビジネスのプロとの協力関係が重要

 セキュリティ専門企業のプロは、専門的な視点で正しい判断をしてくれるでしょう。外部業者を利用するメリットそのものです。しかしシステムのオーナーは企業自身であり、そのビジネスの本質とビジネス遂行のためのシステムの役割に精通しているのも企業自身であることを忘れないようにしましょう。

 攻撃を受けた際に、調査の手がかりとなるのはセキュリティ製品の検知ログですが、実際にセキュリティ製品を監視していると、攻撃なのか正当な業務なのか区別がつきにくい現象が相当な量で見つかります。これは業務やシステム運用のあり方について理解している企業の担当者でなければ、白黒の判断が難しい部分です。つまりセキュリティのプロとビジネスのプロが協力しなければ、脅威の実体は多くのグレーな情報に埋没していまうということを前提に、協力体制を作ることが重要になります。

 典型的なのがIPS/IDSやWAF(Web Application Firewall)などのチューニングでしょう。より多くの脅威を検知しようとする方向に強く振ったチューニングは、肝心な攻撃通信が埋没し、セキュリティ製品での遮断が行えなくなる可能性があります。一方で、業務の利便性や管理のしやすさの方向に強く振ると、結果として攻撃通信を検知しなくなってしまうリスクが高くなります。このバランスを取るには、システムオーナーであるユーザ企業の担当者の協力が不可欠です。具体的には、自社システムの個々のサーバーの脆弱性対応を対応することで、対応済みの脆弱性に対する検知を抑止することや、グレーな検知内容からシステムで利用するサービス通信、利用しないサービス通信の仕分けを外部業者と協力していくのです。

 セキュリティ改善とビジネス上の利便性や生産性とは相反する場合が多いのですが、セキュリティベンダのアドバイスとビジネス上の都合を勘案して、最適なセキュリティレベルを定めていく必要があります。

 ちなみに、IT部門がセキュリティ製品のチューニングに取り組む場合、社内の業務部門、例えばマーケティング部門との調整を行う局面が出てきます。調整作業を通してIT部門と業務部門がお互いに理解を深め、よりいっそうの協力関係構築に努めることが、セキュリティと生産性のよりよいバランスのためにも重要です。

事故予防に効くセキュアコーディングと脆弱性テスト

 特に自社開発のアプリケーションを利用する場合には、セキュアコーディングを心がけ、開発時から脆弱性を排除する努力が必要です。Webアプリケーションのプラットフォームとして利用されるケースが多いAWSですが、オンプレミス環境と同様に気をつける必要があるでしょう。

 またコーディング時には気づかない脆弱性が潜在している可能性も考えなければなりません。それを潰していくのに効果的なのは脆弱性テストですが、テストのタイミングが非常に重要になります。開発工期の最後のフェーズで問題が見つかり、手戻りが生じるようなことは珍しくありません。

 従来はセキュリティベンダによる有料の診断とコンサルティングサービスなどを利用することが多かったでしょうが、現在は無料で使える脆弱性診断サイトがあります。無償の診断ツールも多数出てきており、脆弱性評価は低コスト化しています。

 OSやミドルウェア等のプラットフォーム面では、AWSのAmazon Inspectorと呼ばれるセキュリティ評価サービスを新サービスとして低コストでリリースされる予定です。こうしたツールを開発工程の要所要所で利用して脆弱性を発見し、修正を重ねることで結果的に工期短縮・品質向上に結びつけることができます。最終段階でプロのセキュリティベンダの有償の脆弱性診断を受けるといった工程にすれば、大きな手戻りは生じにくくなることでしょう。

 ちなみに調査会社のガートナー社はWAFに関する調査報告で、従来WAFは法的規制のために仕方なく導入してきたという見解を示していましたが、昨年の調査報告では「企業の情報セキュリティに必須不可欠な要素」と大きく評価を変えました。しかし、攻撃のみを神様のように遮断してくれるセキュリティ製品が存在しない以上、セキュアコーディングが不要になることはありません。WAFは、あくまでセキュアコーディングと相互に補完するツールとしての利用が望まれます。

最後に

 セキュリティ対策の難しさは、やりだすと際限がないことと、何をどこまでやったら良いかわからない不透明感が根源であると考えます。都度あれこれ考えながら、構築・運用を行い続けることの難しさもあります。今回は4回の連載でAWSのセキュリティの勘所について述べてきましたが、これらを特に意識しなくとも構成や運用、ひいては企画の段階から仕組みとして取り込み、自社のセキュリティ体質へと鍛えることで、強く意識せずともセキュリティのベースラインを確実に引き上げることができます。

 AWSのセキュリティ対策はオンプレミス構築の場合と本質的な違いはないものの、クラウド特有のポイントがあるいうことにお気づきかと思います。クラウド上にプラットフォームがあることと、セキュリティに関する豊富なサービスメニューがあることが大きな違いです。AWS固有の特長を理解し活かして使えば、安全なシステムが簡単・低コストにできる可能性は高まります。これからAWSをはじめとするクラウドの利用を考えている企業は、まずはクラウドでの構築・運用経験が豊富なベンダに相談するのが良いでしょう。

 今回の記事で、少しでもAWSの導入や運用にまつわるセキュリティの不安解消にお役に立てたら幸いです。また次回どこかでお会いしましょう。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008564


IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > 外部パートナーの力を借りたAWS運用のメリットと注意ポイント

このページの先頭へ

キーマンズネットとは
AWS認定ソリューションアーキテクト。AWSプレミアコンサルティングパートナーであるcloudpackにjoin後、インフラ構築チームリーダーを経て、2014年4月からcloudpackが提供開始したDeep Security 運用代行サービス「securitypack」の運用責任者を務める。「セキュリティは運用が命」を信条に日夜情報発信する。

ページトップへ