AWSクラウド周りのセキュリティネタ多数、第7回勉強会に潜入してきたレポート
ハニーポットから負荷試験の失敗事例まで、Security-JAWS勉強会
2017年11月29日 07時00分更新
豪快に地雷を踏んだ! 負荷試験にまつわる怖い実話と教訓
「クラウドサービスなんだから、スケールアウトでいくらでも負荷に対応できるだろう」「高スペックのインスタンスを用意しておけば、ま、いいんじゃないか」――そんな思い込みは危険だ。ゆめみの仲川樽八さんは、パフォーマンスの見積りに失敗した事例をいくつか紹介しながら、計画的な負荷試験の重要さを説いた。
ゆめみの仲川樽八さん
一般に、パブリッククラウドはいくらでもスケールを拡張することが可能で、アクセスが集中しても負荷に耐えられるもの、と思われがちだ。だが、そうした楽観的な予測に基づいて負荷テストを行わないと、大失敗に陥る。仲川さんは「セキュリティを構成する“CIA”(Confidentiality 機密性/Integrity 完全性/Availability 可用性)の3要素のうち、Availabilityを実現する上でも負荷試験は重要な要素だ。単体のインスタンスは落ちることがあるという事実を織り込み、適切に冗長化して『落ちないシステム』を作ることが、正しいわれわれの仕事だ」と語る。
仲川さんが紹介した失敗事例は、どれも背筋が寒くなるようなものばかり。大々的にTV CMを打ちながら、まともに負荷テストを行っていなかったせいで機能せず、多数のクレームを受けることになった事例や、実装が完了してから負荷試験を行うことにしたのはいいものの、どの程度のユーザー数やリクエスト数を想定していいのかわからず、さらに問題が発覚しても修正する時間的余裕はないという、トホホな事例も見聞きしたという。
また、AWSで本番稼働するシステムのテストをローカル環境で実施したために問題が洗い出せなかった事例もあれば、本番環境に合わせてSSLを使ってテストしたために「攻撃力」が足りず、問題が発覚しなかったケースもあったという。
このように、豪快に地雷を踏んでしまったさまざまな事例が紹介されたが、 特に印象的だったのは「雰囲気で負荷試験を行い、実施してから考える」という失敗事例だ。
「どこにボトルネックがあるのかを特定しないまま、雰囲気で負荷試験を行われる場合もあるが、それでは結果が出てもどこが原因か分からないし、そもそも試験結果の数字が正しいかどうかも分からない。むしろ『だいたい間違っている』」と仲川さん。こうした経験を踏まえ、負荷試験は「数学の定理証明のように、正しいであろうと考えられる範囲を少しずつ広げていくことが大事だ」と述べ、ステップバイステップで確実に確認していくことが重要だと呼び掛けた。また、余裕があれば複数のツールを用いてテストを行うことも有効だという。
ツールをうまく使って脆弱性マネジメントの徹底を
最後に登場したクラウドネイティブの齊藤愼仁さんは、ハイテンションで「AUTOMOXで俺たちのVulsが殺されるのか」と題するプレゼンテーションを行った。主題であるセキュリティツール「Automox」は、「Vulsにかなり似ていて、使っているソフトウェアのうち古いバージョンのものや脆弱性があって危なそうなものを見つけ、レポートしてくれる」代物だという。
最後のセッション、クラウドネイティブの齊藤愼仁さん
Automoxは保護対象にエージェントをインストールして利用する。サーバーだけでなくクライアントも包括的に管理でき、単にアラートと上げるだけでなく、アップデートを実行させることも可能だ。日本語が文字化けしたり、設定周りにはやや難が残るものの、Slackとインテグレーションできる点はポイントが高い。さらに、凝ったビジュアルインターフェイスで状況がレポートされる(ただし、Automox開発側の“マネタイズ”意識がとにかく強く、何かにかこつけて有償版への移行を迫ってくるそうだ)。
齊藤さんが実際に使ってみた正直な感想は、「けっこうイケてる感じはするが、仕事で使うにはまだちょっと」とのこと。それでも、脆弱性マネジメントは非常に重要な業務であり、それをあらためて認識してほしいと呼びかける。
加えて、「アップデートしたらどんな影響があるか把握しているか、その時の手順は確立できているかを問うことが重要だ。逆に、いきなりアップデートしてサーバが落ちればサービス継続、ひいては企業経営がリスクにさらされる。それも含めてきちんとマネジメントし、切り戻しの手順を確立し、いかに自動化するかを考えなくてはいけない」と、包括的なリスク管理が重要だと訴えた。
齊藤さんの「Vulsもぜひ対抗してほしい」という意見に対して、会場にいた神戸さんは「実は11月1日に出したばかりのものがあります」とコメント。「vuls.biz」というダッシュボードのクローズドベータを現在展開中であることを説明し、セキュリティ運用を手助けするための機能強化にぜひ期待してほしいと語った。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
