近年、セキュリティ被害が社会問題となっており、情報漏えいなどのニュースをテレビで見かけることも増えています。IT企業に限らず、自社の情報をセキュアに管理できる環境にするために、さまざまなセキュリティ対策を実施していると思います。
早速ですが、質問です!
みなさんはセキュリティサービスを導入しただけで満足していませんか?
セキュリティ対策は、導入するだけではなく、その後の「運用」が重要です。
ちなみにアイレットではお客様がAWSを利用するにあたり、移行するシステムに対してトレンドマイクロ社が提供する「Trend Micro Deep Security™(以下、DS )」の導入および運用をサポートすることが多いです。それはAWSが責任共有モデルで「クラウド内のセキュリティに対する責任は利用者側の責任」と定めており、ゲストOS以上はAWSの利用者の責任になるからです。
クラウドでもオンプレミスでも、自社システムに襲いかかる脅威は、自社で防ぐしかありません。
今回は、セキュリティ対策にフォーカスし、アイレットのセキュリティチーム・グループリーダー 稲田一樹(写真右)が、トレンドマイクロ社のサイバーセキュリティチーム シニアソリューションアーキテクト 姜 貴日様(写真左)に「DSの運用」についてお話をお伺いしました。
DSの運用は自社でやるべきか、パートナー企業に任せるべきか?
「DSの運用」とひと言でいっても、実はかなり労力がかかる仕事です。ルールのアップデート作業やサーバー追加時のポート設定など、気にしなければいけないことが多いです。アイレットが提供するセキュリティサービス「securitypack(セキュリティパック)」では、DSの導入からセキュリティアラートの対応、サーバーの脆弱性調査まで対応していますが、お客様自身でDS導入を実施する場合、まず何から対応するべきでしょうか?
DSをご導入いただく際、まずはどのサーバにどの機能を有効化するか、ウイルスの予約検索をいつ行うかなどのポリシーを設定していただく必要があります。トレンドマイクロでは、お客様がDSをご購入する前にプリセールスが課題のヒアリングをした上で、お客様の環境に最適なセキュリティやDSの適切な構成を提案しています。原則としてトレンドマイクロがお客様の環境に手を加えることはしませんが、購入後にお客様が設定を行う上で不明点があればトレンドマイクロのスタンダードサポートセンターが対応しています。また、アイレットさんのsecuritypackのように、マネージドセキュリティサービスをご販売いただいているパートナー企業様にご協力いただいています。
お客様自身でポリシーの設定を行うのは、意外と大変だったりしますよね。第一段階であるポリシーの設定が完了したら、運用フェーズに入っていきますが、トレンドマイクロさん目線でDS運用のコツはありますでしょうか?
コツをひと言でお伝えするのは難しいです(笑)。実際にお客様のシステムごとに運用方法が違うので、一概にこうやってほしいということは言えないんです。もちろん推奨している設定はありますが、お客様の規模や求められる運用方法よって全く異なります。ただし最低限の運用として、脆弱性からサーバを守る仮想パッチのルールのアップデートや、その適用はやってほしいと思っています。そして、DSの侵入防御機能には「検出モード(IDS:攻撃と思われる通信を検知する)」と「防御モード(IPS:攻撃だと思われる通信を遮断する)」があるのでこの2つをうまく使いこなすことがコツでもあります。
そうですね。最新の仮想パッチのルールを適用していなければ、脅威にさらされるリスクが高くなりますよね。ただ、仮想パッチのルールを最新のものに適用することも重要ですが、ルールによっては敵用した影響による誤検知を起こし、正常な通信を遮断してしまうリスクもあるとアイレットは考えています。そこで姜さんのおっしゃる通り、「検出モード」と「防御モード」の使い分けが重要になると私も思っています。アイレットがセキュリティ運用を実施するお客様の環境では最新の仮想パッチのルールを適用した後、2週間ほど「検出モード」で様子を見て問題なければ防御モードに戻すという運用方針をとっています。
ちなみにアイレットがDS運用サービスを提供した当初は、全てを「検出モード」に設定していました。でも「検出モード」って、検知するだけで通信自体はミドルウェアに到達してしまうため、全てのアラートに対して脆弱性の有無やログの調査など対応をしないといけなくて、このままだとお客様が増えたときは無理だと思っていました(笑)。
ちなみにアイレットがDS運用サービスを提供した当初は、全てを「検出モード」に設定していました。でも「検出モード」って、検知するだけで通信自体はミドルウェアに到達してしまうため、全てのアラートに対して脆弱性の有無やログの調査など対応をしないといけなくて、このままだとお客様が増えたときは無理だと思っていました(笑)。
確かに「検出モード」だと運用負荷はかなり高いですよね。アイレットさんのやり方のように、「検出モード」で運用を開始し問題なければ「防御モード」にすることが1番理想だと僕は考えています。ですが、そういった運用がシステム的に難しく、「検出モード」にしかできないというお客様もいらっしゃる中で、アイレットさんならどちらの場合でも調整しながら運用していただけるので、お客様はとても助かっていると思います。
ちなみにアイレットの場合、検知したアラート1件につき10〜15分くらい調査と報告の時間がかかります。全てのアラートに対して、同様の対応を実施するとかなりの工数がかかります。サービスとして提供しているため、案件増による適切なサービス提供ができないことは問題になりますので、現在は「防御モード」を基本設定としています。「防御モード」のメリットは、DSは検査したペイロードを「攻撃通信」と判断した場合、その通信を遮断するため、それ以上の深追いが不要になりますし、攻撃通信かつDSにて遮断したアラートは、影響がないものとしてクローズすることができます。
なお、アイレットで提供している「securitypack」では、サービスを利用する前提としてサーバーの運用保守の契約が必要になっています。そのため、ルールを「検出モード」で運用している際にアラートを検知すると、お客様のサーバーにアイレットがログインして状況を確認し、問題がなければ影響がないものと判断してクローズしています。アラート検知時にエスカレーションするだけだとお客様自身が調査しなければいけませんが、上述したような対応をアイレットが24時間365日で実施しているため、安心したインフラ運用ができるようになっています。
なお、アイレットで提供している「securitypack」では、サービスを利用する前提としてサーバーの運用保守の契約が必要になっています。そのため、ルールを「検出モード」で運用している際にアラートを検知すると、お客様のサーバーにアイレットがログインして状況を確認し、問題がなければ影響がないものと判断してクローズしています。アラート検知時にエスカレーションするだけだとお客様自身が調査しなければいけませんが、上述したような対応をアイレットが24時間365日で実施しているため、安心したインフラ運用ができるようになっています。
企業によって「検出モード」で運用することを希望するケースもあるのでしょうか?
アイレットが運用しているお客様の場合、決済系や基幹系のお客様は「防御モード」を嫌がる傾向があります。「securitypack」を導入する際には、まず「防御モード」で運用することを説明をさせていただき、どういうメリットがあるのかをお客様に伝えています。
実はDSの製品設計の思想としては「オーバープロテクション」という考え方があるんです。攻撃される可能性がある通信は、事前にとめることでお客様を被害から防ごう、という考え方です。しっかり攻撃を止める事もできますが、お客様の環境によっては正常な通信を止めてしまうこともあります。本来であればDSで止めてしまう部分の精度をもう少し上げることができるのが良いのですが、お客様ごとに環境やアプリケーションは異なるため、まだまだ足りていない部分はあるかと思います。ですので、パートナー様がそういった部分をカバーして、サービスを提供できるのがDSを活用方法として一番良いことかもしれません。
そうですね。そういった部分が僕らの仕事だと思います!すべて製品だけで自動で完結してしまったら、僕らはいらないですからね。そのため、アイレットでは正常な通信を遮断しないようにチューニングすることを心掛けています。
もちろん初期段階のチューニングだけでは終わらず、お客様のアプリケーションやサイト更新によってリクエスト内容が変わることもあるので、DSを導入している限りお客様とは密にコミュニケーションをとって、実施し続けなければいけない作業になります。
もちろん初期段階のチューニングだけでは終わらず、お客様のアプリケーションやサイト更新によってリクエスト内容が変わることもあるので、DSを導入している限りお客様とは密にコミュニケーションをとって、実施し続けなければいけない作業になります。
常に最新の状態を保ってチューニングを行わなければいけないので、セキュリティ運用はかなり労力がかかります。でも、しっかり対応しなければ対策ができているとは言えません。自社のリソースがないことが課題になっている企業様も多いので、トレンドマイクロとしてはそのような課題を抱える企業様は、アイレットさんをはじめとしたパートナー企業さんに支援してもらうことがセキュリティ対策の第一歩だと思っています。
セキュリティ対策はシステム設計から始まっている!?
既存の環境に手を加えて、セキュリティ対策をやるのは実は大変だったりするんですよね。すでに構築されている環境に導入するよりも、最初からセキュリティ運用を考慮した設計をする必要があると考えています。アイレットさんはお客様の環境設計の段階からやられているんですよね?
はい、インフラ周りの設計から入ります。アイレットのインフラ構築を担当するメンバーはセキュリティに対する知識を持ち合わせているので、ある程度構成を考えた上でセキュリティ設計してくれます。僕らセキュリティチームもお客様のサービスや利用しているサーバー(EC2)の構成やスペックなどAWSコンソールを確認させていただき、問題がないことを確認した上でDSを導入および運用を始めるというのをセオリーとしています。既に構築が完了している環境においてもセキュリティ運用をお受けすることは可能ですが、DS導入において問題なる点を確認してから導入を進めています。
そこが御社の強みですよね。我々のようなセキュリティベンダーが相談を受けてヒアリングに行くと、インフラ構成などは既に決まっていて、お客様が要望するシステムやサービスにあったご提案がしづらいというのが、すごくジレンマだったりします。アイレットさんのようにインフラ設計の初期段階からセキュリティにも着目しながら、構築・運用までをワンストップで対応できるのは、お客様にとって非常に有益だと思います。
ワンストップをひと言でいうと、アイレットの人間しか関わらないというのが強みだと思います。案件によってはアプリレイヤーをSI企業様が対応するケースもあるので窓口となるお客様とは関わりますが、アイレット内で完結している案件では、社内の人間には気軽に相談できるのでコミュニケーションコストがかからないのが特長です。僕の場合は、「稲田」というキャラのおかげもありフランクに話しかけてもらえるので、仕事は非常にやりやすいです(笑)。
さすが稲田さん(笑)。アイレットさんにはDSを今でもとても使いこなしていただいていますが、今後もドンドン使いこなしていただいて、開発に対してもフィードバックしていただきたいです。アイレットさんだからこそ、できることだと思っています。
そうですね。僕らは24時間365日、常に見張っているのでDSで何か変化があればすぐに気づく事ができますし、問題が起きて解決しないと僕らも納得できないんですよ。今後もアイレットはウルサイな!と言われるくらい、トレンドマイクロさんにフィードバックしていこうと思います!
期待しています!
編集後記
今回の対談を行い、「セキュリティ対策」はセキュリティにフォーカスした設計をしていくことがスタンダードであり、ベストプラクティスと言えるでのはないかと思いました。また導入しただけで満足するのではなく、「セキュリティ対策=セキュリティ運用」としっかりと認識した上で、自社が提供するサービスやシステムにあったセキュリティ運用をしっかり行うことが大切ですね。
セキュリティ対策を怠ればサービスや業務の停止など、大きな問題に発展する可能性もありえます。セキュリティ運用はとても労力がかかるので、企業にセキュリティの専任者がいない場合は、トレンドマイクロさんのパートナー企業に支援してもらうことが、しっかりとセキュリティ運用をするひとつの手段だと思います。アイレットではお客様のセキュリティに関する課題をトレンドマイクロさんと一緒に解決し、お客様が自社のビジネスに集中できるようしっかりとサポートさせていただきます。
最後までお読みいただきありがとうございました!
