クラウド 元SEママの情シスなりきりAWS奮闘記

【セキュリティ】 開発者インタビュー AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(前編)

【セキュリティ】 開発者インタビュー AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(前編)
2021年10月13日掲載

こんにちは。シイノキです。どこにも行けない夏休み(2回目)、子どもたちが家のなかでも楽しめるように、次から次へと遊びのネタを考えるのに疲れ果てました。

さて、そんななかですが、ソニービズネットワークスのAWS導入運用支援サービス「マネージドクラウド with AWS」でセキュリティ強化を支援するパッケージをリリースしたとのお知らせが!AWSでは、OSやアプリケーションのセキュリティ対策・運用はユーザの責任です。設定を間違えると外部公開されてしまうこともありますし、情報漏えいのニュースを聞くことも……。どう設定し、どう運用すればよいのか、なかなか自信が持てない、と悩む企業も多いようです。

そんな悩みを解決するのが今回のパッケージ。そこで、実際に開発を担当したエンジニアおふたりに、開発の背景から、実際どんなことができるのかまで、詳しく伺いました。まずお話を伺ったのが、エンジニアの濱田さん。期待の若手でとっても明るい方でして、しかもこのコラムのファンだとか!!!うれしい気持ちをなんとかおさえてインタビューした内容をお届けします!

セキュリティ運用への不安に応えるために

—AWSのセキュリティ対策はなかなか大変そうだな、と思っているのですが、やはり懸念する企業は多いのでしょうか?
濱田 AWSに移行したものの、セキュリティ対策として現状がベストかどうかわからない、と不安に思っているお客さまは多いと感じています。もちろんセキュリティグループなどの初期設定は私たちもサポートしますが、セキュリティは最初に設定して終わりではなく、定期的にチェックして、問題があれば対策する、というのを続けなければいけません。やるべきなのは分かっているけれど、やり切れていないのでは……と悩む企業も多いようです。
AWSにはセキュリティ関連のサービスが20ほど用意されていて、これらを活用することでセキュリティ対策はできますが、日々の運用まで考えると単体で使うのではなく、複数サービスを組み合わせて異常時に通知するなど、ひと手間かかります。そこまで自分たちで作り込むとなると、どうしてもハードルは高くなるので、より簡単に使えるように6つのシンプルパッケージをリリースしました。

—この6つはどういう対策ができるのでしょう?
濱田 今回のシンプルパッケージでは、「CIS Controls(https://www.sans-japan.jp/cis_controls)」というセキュリティ対策のガイドラインに準じる形でラインナップをそろえています。これは、米国国家安全保障局(NSA)や米国国防総省など多数の専門家がいる組織が集まり、「現状の一般的なサイバー攻撃に対して、ベースラインとしてやるべき対策」を取りまとめたものです。日本国内ではまだそれほど知名度が高くないのですが、グローバルではかなり普及していますし、膨大なセキュリティ対策のなかから、今すべきものをまとめたガイドとしてここまで具体的に対策が書かれているものはほかにないと思います。シンプルパッケージではAWSサービスを組み合わせて、ここで定められた内容を実装しており、「最低限ここはやらないと!」という対策は網羅できていると思います。

効率的なセキュリティ運用を実現する6つのシンプルパッケージ

①ソフトウェア保全管理パッケージ、②脆弱性対策パッケージ、③IAMリソース保全管理パッケージ、④AWSリソース管理パッケージ、⑤AWSガバナンス強化パッケージ、⑥アカウント侵害検知パッケージ

OSパッチ適用自動化&違反アプリケーション検知を実現

—では、各パッケージの詳細を伺えますか?
濱田 まずは「① ソフトウェア保全管理パッケージ」ですね。これはEC2インスタンスで稼働するOSのパッチ適用自動化と、セキュリティ違反の検知・通知をおこなうものです。

—パッチ適用自動化はイメージできますが、セキュリティ違反の検知とは具体的に何をするのでしょうか?
濱田 これは、禁止されたアプリケーションのインストールを検知します。たとえば弊社ではフリーソフトの利用が禁止されているのですが、事前に禁止対象のフリーソフトなどを一覧化して定義することで、インストールされたタイミングで通知されます。

—なるほど。「EC2インスタンスでフリーソフトを勝手にインストール」というのもよくあることなのでしょうか?
濱田 確かにフリーソフトなどは個人のデスクトップ環境で……というイメージが強いですが、リモートデスクトップサービス用にEC2インスタンスを使うケースもあり、そういった際に勝手なアプリケーションをインストールされないよう監視するのに有効です。また、たとえば、EC2インスタンス上の環境構築などをベンダーに任せるときなどに、作業内容を目に見える形で残しておく、といった用途にも活用できます。
ちなみに、OSのパッチ適用は細かくカスタマイズできることが特長です。

—カスタマイズというと……?
濱田 これはAWS Systems Managerのメンテナンスウィンドウを利用して実行するのですが、パッチのカテゴリなどを指定して実行することができるんです。たとえば、セキュリティカテゴリのパッチだけ適用する、緊急度の高いものだけ適用する、といったことも可能です。

① ソフトウェア保全管理パッケージのAWSサービス構成

AWS Systems Manager内のPatch Managerでパッチ適用管理。Maintenance Windowでメンテナンススケジュールを管理し、EC2インスタンスに対してコマンド実行、Inventoryでコンプライアンス違反チェック。AWS Config Rulesで違反アプリケーションリストを管理。Amazon EventBridge、Amazon Simple Notification Service(SNS)経由で管理者に通知。

—確かに、OSのパッチはセキュリティ上、すぐに適用するのがベストとはいえ、アプリケーションに影響が出るリスクがありますから、緊急度の低いものは保留して、すぐに適用しなければリスクがあるものだけ選んで適用するといった運用もアリですよね

AWSリソースに「意図しない設定」がされていないか監視する

濱田 2つ目は、番号順ではなくなりますが、先に「④ AWSリソース管理パッケージ」について紹介しますね。ソフトウェア保全管理パッケージが、EC2インスタンス上のOSやソフトウェアの管理をしていたのに対し、こちらはEC2インスタンスなどのAWSリソースの設定を監視して、意図しない設定が見つかった場合に通知します。

—「意図しない設定」とは、どういったものなのでしょうか?
濱田 一例ですが、「セキュリティグループの設定がフルオープンになっている」「S3バケットが外部公開になっている」「AWS CloudTrailのログがオフにされた」などがあります。AWS活用を進めるなかでは、ある程度現場の担当者に権限を委譲して、各自で管理してもらうような運用も出てきますし、やはり設定に問題がないかは定期的にチェックする必要があります。かといってこれらを手作業でチェックし続けるのは現実的ではありませんから、自動で監視するAWSリソース管理パッケージをうまく活用いただければと思います。

④ AWSリソース管理パッケージのAWSサービス構成

Security group、EC2インスタンスの変更をAWS Configに記録、Amazon CloudWatch(EventBridge)、AWS Lambdaを経由し、Amazon Simple Notification Service(メール)またはSlackにて通知

—AWSリソースの設定というのは、割とよく変更するものなのでしょうか?
濱田 よくあるのが、本番環境と検証環境を分けていて、テストのために検証環境の設定を変えていたときに、間違った設定をしてしまった、というケースです。本人は違う設定をしようとしていたために、そもそも意図しない設定になっていると気づかないことも多くなります。これらを見逃さずに対処していくためにも、監視・自動検知の仕組みは大切です。

長く続くセキュリティ運用をサポートするパッケージは魅力

今回は、セキュリティのシンプルパッケージを開発した背景から、2つのパッケージの詳細をお届けしました。セキュリティは、初回の設定が大切なことは当然ですが、その後もおかしな設定になっていないか、うっかり外部公開していないかをチェックし続ける“運用”こそが要、と改めて認識しました。とはいえ、これらの情報をすべて漏れなく、確認し続けるのはやっぱりちょっと難しい。AWSの各種サービスはありますが、それらを組み合わせて、ちゃんと異常検知時にメールが届く仕組みまで自分で実装できるかというと、やはりなかなか大変です。「こうすればちゃんとできますよ」を実装した状態で提供される、これらのパッケージの価値は大きいと思いますし、もちろん事前にヒアリングシートなどでお客さまごとの状況を伺い、それにあわせた設定などをおこないます、とのこと。気になる方はぜひお問い合わせください。では、次回は残る4つのパッケージについてお届けします。

AWSセキュリティ強化支援サービス

AWSのセキュリティが不安な方へ 運用負荷をおさえた効果的な対策強化を支援します

AWS運用管理・自動化ツール「クラウドポータル」

「はじめてでも運用できる」 「もっと使いこなせる」 独自開発ツール

マネージドクラウド with AWS

はじめてのAWSから 一歩進んだ活用までトータルサポート

パンフレットをダウンロード

マネージドクラウド with AWS

「マネージドクラウド with AWS」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。

関連コラム

このコラムに関連する製品

  • AWSセキュリティ強化支援サービス

    AWSのセキュリティが不安な方へ
    運用負荷をおさえた効果的な対策強化を支援します

    詳細はこちら

  • AWS運用管理・自動化ツール「クラウドポータル」

    「はじめてでも運用できる」
    「もっと使いこなせる」
    独自開発ツール

    詳細はこちら

  • マネージドクラウド with AWS

    はじめてのAWSから
    一歩進んだ活用までトータルサポート

    詳細はこちら

このコラムに関連する
導入事例

このコラムに関連する
セミナー・イベント

【セキュリティ】 開発者インタビュー AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(前編)

SHARE
シェアシェア ツイートツイート
【セキュリティ】 開発者インタビュー AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(前編)
SHARE
ツイート シェア