JAWS-UGのセキュリティ専門支部であるSecurity JAWSを仲間と共に手がける南原 正樹さん。南原さんが所属するトレンドマイクロではTrendMicro Deep SecurityとAWSを組み合わせた「DevSecOps」のアプローチを提唱している。DevSecOpsでどのようなセキュリティの自動化が可能になるのか聞いてみた。
AWSビジネスをキャッチアップするためにJAWS-UGへ
トレンドマイクロの南原さんがAWSについて知ったのは、2012年頃にさかのぼる。「当時は、転勤で東京に戻ってくる前、大阪勤務の際はクライアントPC側のセキュリティ対策を主に提案していたため、AWSの小島さんに聞いたPay as you goのAWSの世界には本当に驚いた」と南原さんは振り返る。クラウド時代の到来を予期したトレンドマイクロは、多層防御機能を提供するDeep SecurityのAWS対応を他社に先駆け、2012年末から開始することになる。
トレンドマイクロ 南原正樹さん
しかし社内でもAWSのノウハウは少なく、提案のストーリーの作成やライセンス関連の整備など課題が多くあった。ただ、AWSでビジネスするにあたっては、こういったトレンドをキャッチアップしないといけない。「イノベイターやアーリアダプターをきちんととっていかないと、クラウドがキャズムを超えた時に、大きくマーケットをねらいにいけなくなる」という危機感があったという。
そこで、南原さんはcloudpack(アイレット)の後藤和貴さん、吉田真吾さんの誘いでJAWS-UGに顔を出し始め、コミュニティに足を突っ込む。以降、都内の勉強会にも数多く参加し、2016年には自らが仲間と共にSecurity-JAWSを立ち上げることになる。ここでは専門支部ならではの立ち位置で、AWSのセキュリティの課題をディープに語り合っており、現在までの2回で200人近い参加者を得ているという。
JAWS-UGで得たものは、技術よりも、むしろ参加するエンジニアの姿勢だという。南原さんは「すごく新しいテクノロジーな好きな人、技術に対して情熱的な人が多い。こういう人が多いと、会社と異なる場所に身を置くとモチベートされる。あと、パッケージベンダーとしては、利用者とどうしても距離が出てしまうときがあるし、利用者のリクエストに答えるという捉え方になりがちなんですけど、コミュニティではいっしょにやろうぜ、という感じ。こういうところも刺激を受けています」と語る。実際、コミュニティでの人脈が同社のパートナーシップにつながっており、AWSビジネス拡大の原動力にもなっているという。
AWSでもユーザーのシステムを守るのはあくまでユーザー
南原さんが手がけるDeep SecurityはAWSのEC2インスタンスを外部の攻撃から守る多層防御型のセキュリティソフトである。Deep Securityの製品概要の前に、まずはAWSを利用する際に最初に理解しておかなければならない共有責任モデルについておさらいしておこう。
共有責任モデルでは、AWSとユーザー企業で担当するセキュリティの分界点が定められている。AWSがクラウド自体のセキュリティを担保する一方、企業やエンドユーザーごとのセキュリティはユーザーが責任を負わなければならない。AWS自体もさまざまなマネージドサービスを提供しているが、ユーザーのシステムはあくまでユーザーが守らなければならないのだ。
AWSにおけるセキュリティ対策の分界点である共有責任モデル
こうしたユーザー側のセキュリティをホスト単位で提供するのが、トレンドマイクロのDeep Securityである。Deep SecurityはファイアウォールやIDS/IPS(侵入防御)、セキュリティログ監査、変更管理、マルウェア検出などの多層防御をオールインワンで提供する。
EC2を多層防御で守るトレンドマイクロの「Deep Security」
通常、外部からの攻撃はアプリケーションやOSの脆弱性を突く攻撃が行なわれ、管理者権限を奪取の後、システムの情報詐取・改ざんという手はずを踏む。これに対してDeep Securityでは各攻撃フェーズに応じたセキュリティ機能により、攻撃の遮断、早期発見を行なうことで、予防的な対策のみならず、侵入や改ざんを検知。被害を最小限に留める事後対策も重視しており、クラウドの安全性を確保する。
さまざまな外部からの攻撃にAWSのサーバーを狙われる
EC2のホスト単位でセキュリティを守り、オートスケールにも対応
Deep SecurityのAWS対応でもう1つ特徴的なのは、Amazon EC2のホスト単位で防御するというアプローチだ。従来のオンプレミスではゲートウェイでのセキュリティ製品でネットワークを防御するという形が一般的だったが、AWS上で用いると、単一障害点になるほか、スケールアウトを考慮した設計が別途必要になるという課題がある。つまり、ゲートウェイがせっかくのAWS環境の可用性やスケーラビリティを阻害してしまうのだ。そのため、あくまでインスタンス単位でセキュリティを確保していくというのが、トレンドマイクロの考え方。スケールアウトで台数が増えても、ホスト単位でDeep Securityを適用することで、必要な時に、必要な分のセキュリティを確保できるわけだ。
ゲートウェイ型のアプローチでAWSを守ると、単一障害ポイントやスケールアウトの障壁となる
Deep Securityのようなホスト型であればクラウドの特性にあっている
さらにDeep SecurityではAWS Management Consoleとの連携を実現しており、インスタンス情報をリアルタイムに可視化できる。「AWSのAPIにコールして、サーバーのリストを全部Deep Security Managerに持って来ることができます。セキュリティ対策がすでに施されているかどうかも一目でわかります」と南原氏はアピールする。
クラウドならではのオートスケーリングにも対応し、AWS Management ConsoleとDeep Security Managerが連携することで、動的に増えるインスタンスを自動的に保護してくれる。しかも、一時的な増加に関しては、購入したライセンス数と同じ数量を1年間にあたり888時間まで、オートスケール環境に追加利用してもよいという。「インストールスクリプトを追加することで、AWSに自動的にDeep Securityをインストールすることも可能です」(南原氏)ということで、柔軟で迅速なシステム展開にセキュリティも追従できる。
