AWSクラウド周りのセキュリティネタ多数、第7回勉強会に潜入してきたレポート
ハニーポットから負荷試験の失敗事例まで、Security-JAWS勉強会
2017年11月29日 07時00分更新
SaaSで全パケットのDPIや可視化、相関分析を行う「ProtectWise」
2番目のセッションでは、パロンゴの近藤学さんが、SaaS型のセキュリティサービス「ProtectWise」を紹介した。
ProtectWiseは、保護対象のサーバーからすべてのパケットを収集し、DPI(ディープパケットインスペクション)や可視化、相関分析、さらに過去にさかのぼってのレトロスペクティブ分析といった機能を提供するセキュリティサービスだ。SOCやCSIRTにおける監視や脅威情報分析、可視化を支援し、何が起きているのかを正確に知らせる役割を果たす。パケットの収集と分析、可視化を行うProtectWiseはAWS上に構築されており、「“AWSに利用料を最も支払っている企業トップ10”に入るくらいAWSのリソースを使っている」(近藤さん)という。
「ログ」は安定運用やセキュリティ維持に欠かせない存在だが、同時にこれほどやっかいなものもない。「よく言われることだが“干し草の山の中から針を探す”ような作業になる。SIEMの登場によってダッシュボードで可視化されるようにはなったが、それでも最終的にはトレジャーハンティングのように、何がどうなったのかを人が見つけないといけない」(近藤さん)。
ProtectWiseでは、AWSのコンピュートリソースをふんだんに利用し、複数のエンジンを活用して相関分析を行うことで、本当に深刻な事象を検出して通知してくれる。その際、関連性のある複数の事象が一つの画面にまとめて表示されるため、セキュリティ担当者の業務もはかどる。「頑張って人手でログを突き合わせるのではなく、ある程度ログを突き合わせた結果を示すことで、人間がすぐに調査に入れるようにする」(パロンゴ 福家大輔さん)。
また、キャプチャしたパケットやNetFlowのデータは、顧客ごとに暗号化されたかたちでAmazon S3に保存される。こうしたデータを活用すれば、「当初は何事もないように見えたが、実は攻撃を受けていたことが判明した」といった場合でも、後からタイムマシンのように時間をさかのぼり、最新のシグネチャを用いて分析することが可能になる。
さらに臨場感にあふれるかたちで状況を把握できるように、開発元では新たなインターフェイスの開発にも取り組んでいるという。近藤さんは、「最初の兆候、きっかけをできるだけ早くビジュアルに分かるようにしていきたい」と述べた。
AWSクラウドにも対応、導入しやすい国産WAF「InfoCage SiteShell」
続けてNECの釜山公徳さんが、セキュリティ製品ファミリー「InfoCage」のWebアプリケーションファイアウォール(WAF)である「InfoCage SiteShell」を紹介した。「容易に導入や運用が可能で、高品質なサポートのある国産WAF製品」だ。
「もともとはオンプレミス環境向けに開発した製品だが、現在ではクラウド環境もサポートしている。オートスケールにも対応しており、管理コンソールから一括管理が行える」(釜山さん)
特徴のひとつは、WAFのキモともいえるシグネチャをNECのWAF管理センターで作成し、配布していること。脅威の予兆通知も行っており、複数のエンジンを用いた多層防御で迅速に対応できるという。またデフォルト設定のままでもAWS WAF以上にさまざまな攻撃に対処できることも強調し、「導入が簡単、運用も簡単で、何かあったらNECが全力でサポートする」(釜山さん)と締めくくった。
開発者に優しいID管理を提供、IDaaSの「Auth0」
ID/パスワードの管理は、ITシステムと切っても切れない関係にあり、それをないがしろにするとシステムやアプリケーションを脅威にさらしてしまうことになる。続くセッションでは、Auth0 Inc.の古田秀哉さんが「Auth0でAWSの認証認可を強化」と題して、IDaaS(Identity as a Service)の「Auth0」を紹介した。
「もともと認証や認可といった処理は、社内リソースに対するシングルサインオンやID管理の切り口で語られてきた。しかし今の世の中では、AWSのようなクラウドネイティブなサービスの利用が一般化しており、モバイルやタブレット端末も当たり前のものになっている。(認証/認可を行う)ユーザーも、社内の人間だけでなくパートナーやエンドユーザーが含まれる。こうした処理が、今までのエンタープライズ向け認証/認可製品ではできない」(古田さん)
こうした課題の解決を目指し、Auth0ではアイデンティティ管理や認証/認可といったアイデンティティ関連機能をサービスとして提供する。OAuthやSAML、OpenID Connectなどさまざまな業界標準プロトコルをサポートし、既存のアプリやシステムにプラグインできるサービスとして、とかく面倒な認証/認可作業を簡素化する。
特徴は「マイクロサービスアーキテクチャで開発されており、デベロッパーフレンドリーな認証サービス」であることだ。「アプリケーション開発において、認証/認可に関わる部分は全体の30%を占めると言われる。そこを外部リソース化して簡単に開発できるようにし、そのぶん、本来の機能開発にリソースを集中できる」(古田さん)。
利用するフレームワークやユーザーストア、対応するソーシャルネットワークは問わない。また、設定画面上のフリッピングスイッチをオンにするだけで、コーディングなしでアノーマリ検知や多要素認証、リスクベース認証といった機能の追加が可能だ。github上には関連するソースコードが300件以上登録されており、非常に導入しやすいという。自身も長くエンタープライズ向けID管理製品に携わってきた古田さんは「RSAやCA、ノベルの製品では導入に半年くらいかかることが通例だったが、Auth0では1カ月以内に実装を完了できる」と、その優位性を強調する。
Auth0はAWSなどのパブリッククラウドはもちろん、プライベートクラウドやオンプレミスなどさまざまな環境に導入できる。中にはAWSの西海岸と東海岸に加え、「Microsoft Azure」やSalesforce.comの「Heroku」も組み合わせて冗長構成を取っているケースまであるそうだ。AWSコンソールやAPI、Lambdaで作られたサーバレスのアプリケーションといった多様なリソースに対し、Auth0を使って認証/認可を強化できるとアピールし、セッションを締めくくった。