DevOpsにセキュリティを組み込む「DevSecOps」の実現へ
このようにAWSとの連携を深めるDeep Securityだが、トレンドマイクロが次に狙っているのが、DevOpsにSecurityを加えた「DevSecOps」のアプローチ。つまり、Deep SecurityとAWSの各サービスを連携させることで、開発と運用にセキュリティまでを組み込み、対策の自動化を実現しようというものだ。「AWSとの連携でセキュリティをより高度化・自動化することで、お客様の管理ミスや運用負荷を減らしつつ、セキュリティを確保していくことが可能です。これが他社と異なる大きな差別化ポイントになります」と南原さんは語る。
DevOpsにセキュリティを組み込むDevSecOpsの概念
具体的には、「予測・評価」「検知・防御」「監視・対処」「監査」などの一連の運用フェーズにおいて、AWSの各サービスとDeep Securityを連携させ、運用を自動化するというものだ。
一連の運用フェーズにおいて、AWSの各サービスとDeep Securityを連携
まず予測・評価のフェーズでは、アプリケーションのセキュリティを診断する「Amazon Inspector」のアセスメントを結果に応じて、Deep Securityによって脆弱性に対応する仮想パッチをインスタンス上に適用することができる。
Amazon Inspectorとの連携で、脆弱性に対する仮想バッチを適用
また検知・防御のフェーズでは、Webアプリケーションへの攻撃を防ぐAWS WAFとの連携による検知や防御も可能になっている。Deep Securityには各インスタンスのアプリケーション情報、パッチ適用状況を検索する機能があり、その結果に応じて、Deep Security Managerが推奨するルールを選択・自動適用できる。さらに、この結果を元にあらかじめ用意されているクロスサイトスクリプティングやSQLインジェクションなどの攻撃に対するルールを自動的にAWS WAFに適用することも可能。HTTP経由での攻撃はAWS WAFで対応し、それ以外のサーバーに対する個別の対策はDeep Securityで行なうという多層防御で、外部攻撃への耐性も高まるわけだ。
AWS WAFに向けて、クロスサイトスクリプティングやSQLインジェクションに対するルールを自動生成
さらに監視・対処のフェーズでは、Deep Securityのクラウドサービス(Deep Security as a Service)から出力されるイベントやログをAmazon SNSで通知し、これをトリガーにAWS Lambdaで各種アクションを実行することができる。「たとえば、SNSの通知を元にセキュリティグループの設定を変更するAWS Lambdaを起動し、不正なインスタンスを隔離しするなどといったことが可能です」(南原さん)。
最後の監査のフェーズでは、AWS Configを用いて、社内で決められたポリシーがきちんと実装されているかどうかチェックすることが可能だ。AWS Configでは、EBS(Elastic Block Storage)の暗号化、インスタンスのタグ付けなどのあらかじめ用意されたポリシーの監査に加え、サードパーティや顧客ごとに新規のルールを作成することもできる。
AWS Configとの連携で、カスタムルールによる監査を実現
トレンドマイクロでは、Deep Securityによるプログラム対策やその他セキュリティ対策の導入の有無、顧客ごとのセキュリティポリシー、インスタンスに導入された製品にアラートが発令されていないことなどをチェックできるカスタムルールを用意しており、GitHub上で公開している。各インスタンスの情報はDeep Security ManagerからAPI経由で収集され、S3上のルールファイルを元にAWS Configで監査されることになる。
自動化を推進することで、チェック漏れも、監査もやりやすくなる
さまざまなツールを用いて開発と運用をシームレスに連携させるDevOpsの潮流にセキュリティ部門は後れをとっていると南原さんは指摘する。「大企業だとクイックデプロイができるようになっていたり、オペレーションもSaaS系のツールを使って、API経由で管理に必要な情報を取得するといったことが可能になっています。それでも、セキュリティ部門によっては管理項目のExcelシートや手順書を手動でチェックしているようなところが多く、クラウドにおいてはストッパーになることもあります」(南原さん)
これに対して、DevOpsにセキュリティを取り込み、自動化を推進することで、チェック漏れもなくなり、監査もやりやすくなるというのが、トレンドマイクロの考え方だ。「コードで書くと、べき等性が保たれ、必ずその状態を保つことができます。これってセキュリティ界隈では重視されている要素。あるべき姿をきちんと保持するためには、人の手よりも、自動化してやるべき」と南原さんは語る。
「DevSecOpsで「あるべき姿をきちんと保持する」ことで、セキュリティを確保できる」(南原さん)
DevSecOpsで提供されるセキュリティの自動化は、エンタープライズ企業よりも日本に多い中堅・中小企業の方がメリットが大きいと南原さんは語る。「エンタープライズ企業の場合は、インシデントの原因追及と復旧に時間をかけますが、中堅・中小企業であればむしろサービスの継続性を重視します。だったら、AWSの場合、むしろインスタンスをいったんつぶして立て直した方が速いし、そこまで自動化した方が恩恵を受けられると思います」(南原さん)。
「従来の製品はそれ自身が提供できるセキュリティ機能にのみに焦点を当てがちですが、Deep SecurityであればAWSのAPIと連携して、保護に加え運用の自動化を実現させることができます」と語る南原さん。今後の方向性として、AWSと既存のオンプレミス、プライベートクラウドを含めたハイブリッドクラウドでのセキュリティ確保を志向しており、「さまざまなインフラ上で安全」という環境を実現していくという。
(提供:トレンドマイクロ)
