せっかくのAWS WAFフルログ、いい感じに可視化してくれる解析基盤を実現
セキュリティ企業、セキュアスカイ・テクノロジー(SST)の宇田川稔氏は、AWS WAFのログを生かし、理想の解析基盤を構築し、見える化につなげるまでの試行錯誤を紹介した。
「2018年8月末、ついにAWS WAFにフルログが登場して激震が走った」と宇田川氏。これにAWS Kinesis Data Firehoseを使えばログを保存できるようになったが、問題はその処理だ。塩漬けにしておくのはもったいない話ですが、Redashを使って可視化する方法では構築・運用に負荷がかかるし、サードパーティのサービスを利用するとコストがかさむ。やはりElasticsearchとKibanaで可視化するかと構築に取り組むも、設定に手こずったそうだ。
こんな風に悩んでいたときに目に留まったのがYouTubeの動画だった。Amazon AthenaとQuickSightで可視化を実現する方法で、「これならばManagedコンソール上で簡単に作れるし、サーバレスでサイジングなども不要だからかなり負担が減るのではないか」と考えた宇田川氏。早速動画を参考に、30分ほどで解析基盤を構築したそう。
結果として、リクエスト数の国別ランキングや地図へのマッピング、WAF検出ログなどをグラフ化するところまではできた……のだが、「なぜか地図上に日本とインドがマップされなかった。それに、出力されるのがルールIDでルール名ではないので、何が何やら分からない。惜しいところまでは来たけれど、思い描いていたのとはちょっと違った」とのことだ。
そこでさらに調べ、AWS Kinesis Data FirehoseとLambdaを組み合わせ、緯度経度情報やルール名を取得した上でQuickSightで可視化する形に修正してみた。この結果、きちんと東京の情報もマップ上に反映されるようになり、ルール名を元に「なぜこのアクセスがWAFに引っかかったか」が直感的に分かるようになった。ついでに、ログの階層構造をフラット化して加工・分析しやすくする工夫も加え、「腑に落ちるグラフで解析できるようになった」(宇田川氏)そう。一連の構築手順は、同社のエンジニアブログで紹介されている。
SSTでは、さまざまなサイバー攻撃をWAFで確実に検知できるよう、VPC内にクローズドな環境を構築し、「OWASP Top10 テンプレート」やサードパーティのマネージドルールなど、さまざまなルールを適用しては検証を行なっている。こうした仕組みを用いて、「この攻撃ならばこのルールで検知できる」といったノウハウを蓄積し、顧客の環境に合わせてルールを調整しているそうだ。
パートナー各社とともにコンプライアンス対応を支援、3省3ガイドライン対応も
金融や行政、小売などなど、業界ごとにさまざまな基準やガイドラインが定められている。AWSではそうしたさまざまな法規制やガイドラインへの対応を進めてきたが、特に「日本では、日本の顧客や法規制をよく知っているパートナーと組んで進めてきた」(AWS 梅谷晃宏氏)そうだ。
デジタル化が進む医療分野も例外ではない。米国では「HIPAA」および「HITECH」といった基準が定められていますが、AWSでは2012年頃からその対応を進めるとともに、どのように実装すれば要求項目を満たせるかをまとめた「ホワイトペーパー」もまとめ、公開している。また、個々の機能をどのように組み合わせ、全体としてどう使うかを示す「リファレンスアーキテクチャ」も用意してしており、参照可能だ。
一方、日本では「3省3ガイドライン」と言われるように、厚生労働省、経済産業省、総務省からそれぞれガイドラインが出されている。「AWS上で、これらのガイドラインにどうすれば対応できるだろうか」という顧客からの声に応え、AWSではパートナー5社と共同で「医療情報システム向けAWS利用リファレンス」を取りまとめ、経済産業省版、総務省版を順次公開してきた。
NECの大竹孝昌氏によると、これらリファレンスにはPDF文書の他、各要求事項に対してどう対応すべきかをまとめたExcelファイルが含まれており、インフラやデータセンターといった部分から人、環境や災害対策、さらにリスク対策に至るまで、一通り項目が網羅されているとのこと。リファレンスももちろんだが、関連するホワイトペーパーも引用されており、「これらを確認するだけでも、ガイドラインが何を重視しているかがつかめるので、ぜひ一読を」とアピールする。
いずれにせよ「医療情報を扱うならばこれらのガイドラインに従う必要があるが、それを全てオンプレミスでやろうとすると大変な負荷がかかる。クラウドを使うことでその負荷を軽減できる」(梅谷氏)。AWSでは医療情報に限らず、各種ガイドライン・法規制対応のためのドキュメントやリファレンスを豊富に用意しているので、まずはこれらリソースを確認し、生かしてほしいとのことだ。