オンプレミスの運用をそのままクラウドへ移行すると運用は回らない
大谷:聞けば聞くほど魅力的に思えるセキュリティオートメーションですが、まだまだ活用されているイメージはありません。クラウドにサーバーをマイグレーションし、オンプレミスの運用という例が多いようです。
姜:確かに、エンタープライズ系のお客様にAWSとDeep Securityによるセキュリティオートメーションの話をすると、設計の方からは「まだその段階じゃないんだよね」とか、「今の運用をそのままクラウドに移したいんだよね」という反応が返ってくることも多いです。一方、運用チームの方たちはすごくうなづきます(笑)。AWSを使っている方だと、特に納得してくれますね。
とりあえず「面白いね」とは言ってもらえるのですが、いっしょにやっていくところまでなかなかいけません。だから、こういう記事やイベントで裾野を広げるような活動をしています。
大谷:担当している役割やAWSの知識によっても違うし、難しいですね。自動化しているとは言え、やっていることはそれほど複雑でもないし、Lambdaも実績あるし、チャレンジするところが増えてもよいかと思うんですけどね。
桐山:姜さんに聞きたいのですが、やっぱりお客様は既存の運用のままクラウドに移行したいんですかね。
姜:全部ではないけど、持って行きたいというお客様はいますね。でも、まさにそここそがSIerの腕の見せ所で、きちんと話をして、クラウドに最適な移行を提案してほしいところです。これをしっかりやらないと、クラウドに移行した瞬間に運用が回らないという事態に陥ります。
桐山:なるほど。車の自動運転の自動化レベルに、人間のインタラクションを優先するレベル3以前と、完全に機械に任せるレベル4以降があるのですが、どちらが開発が楽かというと、レベル4以降の方が圧倒的に楽という話があります。過去の行動様式を考慮した開発は大変で、むしろ過去を捨て去ってしまった方が、制約が無い分、速い。クラウドの世界も同じで、過去のやり方を踏襲することと、クラウドネイティブなやり方のトレードオフをきちんとお客様に理解してもらわないといけないなと思っています。
自動運転の話だと、レベル3は車を運転する喜びを得たい人向けで、レベル4は定期運転バスのようなルーティンな運転に向くと言われます。これと同じで、期間限定で運用する単純なWebのマイクロサイトであれば、運用する喜びもなにもないので(笑)、やはりクラウドネイティブな技術でオートメーション化したほうがよいですよね。
オートメーションを突き詰めると本質的な作業が浮き彫りになる
大谷:セキュリティオートメーションを進めていくと、どのような世界が見えるのでしょうか?
桐山:先ほど話したとおり、必要な作業はなにかを見極めるプロセスが欠けてはいけないと思います。逆にセキュリティオートメーションで、本当に人がやらなければならない作業が洗い出せるのであれば、それは大きな価値と思います。
「戦略」って「戦いを省略する」から戦略なんですよね。オートメーションをやることで、なにをすべきか、なにをやらないべきかがわかります。これってまさに戦略なんです。
「戦略って戦いを省略するから戦略なんですよね」(桐山氏)
姜:それは面白いですね。そもそもその作業が必要かどうか、見える化するためにもオートメーションやってみなせんかという提案はありですね。オートメーションを進めていったら、本質的な作業以外はそぎ落とされるはずなので。
大谷:先週発表された「Amazon Macie」がおもしろいなと思ったのもそこですね。単純に人の作業を機械が代替してくれるのではなく、そもそも人間ってなにすればいいんだっけ?ということを突きつけるツールだなと感じたんですよね。
桐山:ただ、気をつけなければならないのは、そもそも付加価値の高い作業がなければ、付加価値の低い作業を取り払ってもあまり意味がないという点です。
姜:その通りです。オートメーションの訴求で難しいのは、現場のメリットだけではなく、ビジネスサイドのメリットも両面で考えなければならないことです。今回ご紹介した、エンジニア向けの技術や機能を進めていくとともに、ビジネス側の人に刺さるトピックをきちんと持っていないといけないなあとつくづく感じています。
桐山:前述のSFAやMAを提供するクラウドサービスがなぜここまで普及したか考えてみると、やはりマネジメント層に響くビジネスロスやオポチュニティーロスの話があったからなんでしょう。セキュリティも同じだと思います。マネジメント層もいろいろな会議で討論したり、人や製品に投資しているんですが、なかなか実を結ばない。そういったロスを防ぐために、セキュリティオートメーションで、まずは見える化から始めて、脅威を予測できるようなプラットフォームを作りましょうというのが、われわれからのメッセージですね。
Deep SecurityとAWS Managed Serviceの連携を始めよう
ここでお話ししたDeep SecurityとAWS Managed Service連携(AWS WAF連携、自動隔離、Workspaces連携)は弊社からCloudFormationを検証用として提供しております。お客様が一から構成やコードを組むことなく、簡単に検証を始めることができますので、オートメーションやDeep Securityを検証されたい方、お気軽に「aws@trendmicro.co.jp」へご連絡下さい。また、トレンドマイクロが提供するAWS関連情報は「AWS環境のセキュリティ対策 」にまとまっておりますのでぜひご確認下さい。
本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。
TREND MICRO、Trend Micro Deep Securityは、トレンドマイクロ株式会社の登録商標です。
記載内容は2017年9月現在のものです。内容は予告なく変更になる場合があります。 Copyright © 2017 Trend Micro Incorporated. All rights reserved
(提供:トレンドマイクロ)
