AWSのセキュリティカンファレンスで見たこと、聞いたこと、感じたこと
re:Inforceに参加した9人が語るセキュリティの目指すべき方向
2019年10月21日 07時00分更新
「こういうのが欲しい」と声を上げれば、いつか願いは叶う
リクルートテクノロジーズの日比野恒氏は、他の参加者とはちょっと毛色の違うソリューションに注目してきたという。それは、EC2のNICであるENI(Elastic Network Interface)に流れるパケットをコピーし、他のマシンのENIやNLBに送ることのできる新機能「VPC Traffic Mirroring」だ。「初日のキーノートで発表され、現地で聞いていて『おおー』となった。これを現地で見られたのがうれしい」と日比野氏は振り返った。
リクルートテクノロジーズ 日比野恒氏
というのも、これまでSIEMやWAFなどのセキュリティ機器で解析を行なおうとすると、個別にアグリゲート用のエージェントを導入したり、インラインで機器を導入したりする必要があり、それがサービスのスピードを緩める要因になっていることは否めなかったからだ。しかし、VPC Traffic Mirroringの登場によって、より迅速にパケット解析や攻撃検知などが行なえるようになり、「セキュリティ監視でできることが増える」(日比野氏)。今はEC2 Nitro系のみのサポートだが、対応範囲の拡大やマルチアカウント対応、フィルタ機能などの機能強化にも期待しているそうだ。
実はこの機能、「ずーっと前から『パケット見たいな、見たいな』と思っていて、熱望していた」(日比野氏)ものだったという。「re:Inforceの会場で『You’re Making History』という言葉が何度か出てきたが、みんなでいろいろ触りながら『こういうのが欲しいね』と声を上げていれば、いつか願いは叶う。そのAWSの文化をボストンで体験できた」と述べた。
また、パートナー展示ブースの中で、SaaS型のパケット解析サービスを提供しているExtraHopに立ち寄ったときにも、「VPC Traffic Mirroringって出たけど、対応したの?」「機能対応したよ」とリアルタイムな会話ができたのも、熱い体験だったという。
頑張って手でやってきたセキュリティ対策をコードに置き換え、自動化を
「Infrastructure as a Code requires Security as a Code」という言葉に感銘を受けたと述べたのは、クックパッドの水谷正慶氏だ。「人間ががんばって手動でやってきたセキュリティ対策をコードに置き換え、自動化したり、もっとうまくできるようにするというコンセプトに、あらためて感銘を受けた。昔からできたらいいなと思っていたけれど、キーノートをはじめ会場のあちこちで言われていたのが印象的だった」と述べた。
クックパッド 水谷正慶氏
Cloud Watch Eventsを見て意図しない変更を検出したり、ルールに反して暗号化していないS3バケットがあれば検出し、自動的に暗号化するよう修正したり……今まで人間がやっていたことを自動化する例を会場で目の当たりにし、参考にしながら、クックパッドも自分たちの組織に合ったやり方でAWSのサービスを組み合わせ、自動化の範囲を広げている最中だそうだ。
たとえば、日々生成されるセキュリティ関連ログをLambdaをうまく使ってS3に集め、コストを抑えながら処理したり、AWS Security Hubから上がってきた情報をGit Hub Enterpriseで管理し、イシューとして起票する形でインテグレーションしたりといった取り組みを進めている。さらに、セキュリティアラートを元に、そのとき誰がどんな行動を行なったかを引っ張ってきつつ、自動分析できるフレームワークも開発中だそうだ。
「セキュリティの自動化、高度化に取り組まなければいけないと強く感じた」という水谷氏は、まさに有言実行を始めている。
SecのためのDevというアプローチで、「セキュリティをハック」しよう
「DevSecOps」という言葉は理想だが、現実は厳しい。セキュリティ担当者はクラウドだけでなくオンプレミスも見なければならず、日々のアップデートに追いついていくのは難しい状況だ。一方Dev側は「これでは話が遅すぎて競合に勝てない」とストレスを募らせる。どちらの話も分かるが、このままではどうにも解決できないーー。
NTTドコモの守屋裕樹氏は、そんなユーザー企業の現実を踏まえ、「最先端の企業はどうしているの?」を知るべく、ComcastやRiot Gamesといったユーザー企業のセッションに参加。そこからいくつかのヒントを持ち帰ってきたそうだ。
NTTドコモ 守屋裕樹氏
たとえばComcastでは、従来はチケットを切って人が手作業で払い出していたIAMロールの払い出しを自動化する「Role Vending Machine」を開発した。それも、TerraFormと連携し、シームレスに払い出せるようにしたという。このセッションを聞いて守屋氏は、「セキュリティといっても、スケーラビリティやデベロッパーのエクスペリエンスを意識しないと、デベロッパーが付いてこない。無理に強制しても抜け穴を作ってしまう。そのことを踏まえ、自分たちはゲートになってはだめだ、ガードレールになるんだという強い思いで取り組んでいることを感じた」と守屋氏は述べた。
そして「事例を見ていて共通するのは、セキュリティをハックしていること。一連のセッションを聞いて、SecのためのDevというアプローチでうまく機能しないかな、という思いが芽生えた」という。
Sec側にとって自動化はやぶさかではないが、守るべきところは守らなければならない。これに対しDev側には新しいサービスや機能についてのノウハウがある。ならば、Dev側がSec側を自動化したり、テンプレート化する部分を支援していけばいい、というアプローチだ。
「Secの中にDev側がやってきたことのエッセンスを注入し、お互いの立場をうまく利用し、自動化を前向きに捉え、互いに協力して組織を作っていくことが大事と感じた」(守屋氏)。そうすれば、いろんなものが自動化し、セキュリティがスケールし、Devが加速していく。ひいては会社の競争力強化につながるのではないかという。
もちろん「権限はきちんと分離しておくことが大前提」だが、「強制するのではなく、両方が得する仕組み、自発的に使っていく仕組みをうまく作るのが大事かなと感じた」(守屋氏)
最後に再び登場した桐山氏も、セキュリティ担当者もビルダー、Devもビルダー。それらが対立するのではなく協力し、「ビルダーによる、ビルダーのための世界」を実現していく手助けをしていくと強調した。
