セキュリティにおけるマネージドサービスの重要性と、Alibaba Cloud「Security Center」紹介(技術コラム)

f:id:sbc_kitano:20201204132122p:plain 

これまでのコラムでは、Alibaba Cloudの特長である「多層防御セキュリティ」と「マルチクラウド時代のセキュリティについて説明してきました。

<前回の記事はこちら> 

www.sbcloud.co.jp

www.sbcloud.co.jp

 

今回は3つ目の特長であるマネージドサービスについて考えてみたいと思います。

多くのシステムで、ゼロデイ攻撃の対処のためにWAFや仮想パッチ機能を活用しています。Alibaba CloudでもWeb層でWeb Application Firewall(WAF)、全般の通信に対してはCloud Firewallを仮想パッチとして利用できることをご紹介しました。

f:id:sbc_kitano:20201127155851j:plain
〈入口、内部、出口対策の三層で防御をおこなう多層防御〉

脆弱性はいつ発見されるかも分からず、情報システム管理者の業務スケジュールなどおかまいなしに攻撃が開始されます。そのため、迅速かつシステム影響がないように対処することは大きな負担があります。仮想パッチは、ソフトウェア更新が迅速に適用できないシステムに対して、パッチが適用されたかのような応急的な対処を実現します。

ただし、仮想パッチでの防御後も、最終的にはソフトウェアの更新が抜本的な対処として必要であることを考えると、あらためて更新適用作業の効率化、そのためのマネージドサービスの活用について考えてみたいと思います。

 

日常のセキュリティ維持管理作業の重要性


クラウド時代にも変わらない重要なセキュリティ対策の概念として、多層防御があることを説明しました。前回のコラムの内容を、翻訳サイトの機能を利用して英訳して見ると文脈によって「Multi-layer defense」と「defense in depth」の2パターンで英訳されていることに気がつきます。

「Multi-layer defense」は入口対策、内部対策、あるいはWeb層、ネットワーク層、ゲートウェイ層、エンドポイント層等の異なる層の防御手段を重ねることを意味します。正常通信に見せかけて内部に転送された攻撃が水際でエンドポイントでの振い舞い検知で検出されたり、パターンファイルで検出されないトロイの木馬がネットワーク層で検出されたりといった防御になります。

「defense in depth」は軍事用語に由来する用語で、敵軍の進撃を遅延させる縦深防御に由来します。かつては、情報システムにおいても攻撃を遅延させるのはこのアプローチでした。あえて日本語に呼び直すなら“多重防御”で、入口対策を複数実施するアプローチです。軍事での多重防御は、複数の城壁を持つ城や進軍を遅らせる砦を指します。過去には非常にセンシティブな情報を取り扱う重厚なシステムで、城のように多層の壁を作り、サンドウィッチ型ファイアウォールのように多段ファイアウォールを導入し、砦のようにセグメントごとにファイアウォールを設置することもありました。これがクラウドの時代では、Security Groupを利用できるので、“多重防御”に匹敵する厳密なネットワーク通信の定義が手軽に設定できます。

ただ、歴史においても、多重で多層の城壁を持つ堅牢な城塞都市で難攻不落の代名詞であったコンスタンティノープルも、通用口の施錠忘れで城内に侵入されて、千年以上続いた東ローマ帝国は滅亡しています。城壁は砲撃でも破壊されなかった一方で、日常の備えを継続することがいかに難しいかを示しています。

ITセキュリティの日常的な運用における代表的な作業こそが、ソフトウェア更新の適用作業という訳です。

 

Security Centerのマネージドセキュリティ機能の活用


セキュリティ管理者の日常運用において大きな負担となるのは、以下のような一連の作業を定期、不定期に実行しなければならないことです。

 ・緊急性の高いセキュリティ情報や攻撃情報の収集
 ・自社システムへの影響有無の点検
 ・ソフトウェア更新の準備
 ・対象サーバへの適用手順書の整備、更新の適用、動作確認

 

Alibaba Cloudでは、標準機能で脆弱性の対象有無から適用の要否まで、一元的にコンソール上で確認することができ、一斉適用も可能です。情報セキュリティやシステム管理者にとって、反復する作業を大きく削減することができます。

前回のコラムで、マルチクラウド防御、多層防御における内部対策としてSecurity Centerが重要な役割を果たすことを説明しましたが、日常セキュリティ運用においても重要なプロダクトとなります。

<Security Center プロダクト紹介>
www.sbcloud.co.jp

Alibaba Cloudのセキュリティプロダクトは構築やインフラの準備が不要なマネージドサービスです。特別な作業は必要なく、無償機能は標準的に利用することができます。Alibaba Cloudコンソールにログインすると、スコア、セキュリティモニター、アラームや脆弱性を確認できます。(管理画面はカスタマイズ可能)

 

f:id:sbc_kitano:20201202143054p:plain


脆弱性が報告され、セキュリティリスクがあることが確認できるため、これをクリックすると、Security CenterのOverviewを確認することができます。

 

f:id:sbc_kitano:20201202143220p:plain

 

また、緊急の脆弱性情報が表示されている場合は、脆弱性一覧の表示から「Emergency」タブで、「Check Now」から一斉点検が可能です。下記では、No Riskと表示されており、チェックの結果、当該の脆弱性には稼働サーバのいずれも該当しないことが確認できます。

 

f:id:sbc_kitano:20201202143257p:plain


下記では、Windowsサーバに対して、累積的なパッチ適用と個別パッチの適用を促されています。Alibaba Cloudでは標準でWindows ServerはWSUSが構成されているため、各OSで手動設定やGPO等によるスケジュール設定で更新適用を半自動またはスケジュールでの自動化が可能です。各Linuxにおいてもyum等標準の機構で更新ができるように構成されています。Security Centerのコンソール操作のみで全サーバへの一斉適用が可能です。

 

f:id:sbc_kitano:20201202143632p:plain


さらに特徴的なのは、Linuxでは、OSのディストリビューターより早く、Alibaba Cloudが個別パッチの準備をおこなうため、ゼロデイ攻撃に対しても迅速な対応が可能なことです。Linuxにおいて、ディストリビューターが更新パッケージを提供する前に独自に対処を行うのは膨大な作業が発生するため、こうした対策の経験がある方にはその重要性がご理解いただけると思います。

Alibaba Cloudでは、Security CenterのエージェントがデプロイされるOSに標準的に組み込まれており、設定漏れやエージェント配布の手間がありません。クラウド基盤において安定的なセキュリティ機能が提供されることは非常に大きなメリットがあります。

 

最後に


さて今回は、Security Centerの機能やマネージドセキュリティの活用として、日常のソフトウェア更新管理に焦点を当ててご説明しました。Alibaba Cloudの各セキュリティプロダクトはマネージドサービスとしてこうした実用的な多くのセキュリティ監視や運用を支援する機能が備わっており、これにより情報セキュリティ管理者の負荷軽減を実現し、セキュリティを抜本的に強化しながらセキュリティプロダクトへの過剰な投資を抑制することが可能になります。

 

〈続編はこちら〉

www.sbcloud.co.jp

 

 

〈関連記事〉

www.sbcloud.co.jp

www.sbcloud.co.jpwww.sbcloud.co.jp

f:id:sbc_kitano:20200811193554j:plain

SBクラウド株式会社 クラウド技術統括部 技術部 部長

西澤 和正

大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供をおこなっている。