AlibabaCloudのセキュリティプロダクト導入事例

サービス業のA社様は本社の配下に、事業ごとの子会社を傘下に持つ形態で事業を拡大し、一部は海外向けサービスも展開しています。事業会社ごとに最適なパブリッククラウドサービスを選定している他、基幹システムや社内システムは一部オンプレミスと国内ベンダのクラウドサービスを利用し、システムごと適材適所のマルチクラウドのアプローチを採用しています。

A社様は、本社のセキュリティ統括部門で定められているのポリシーに沿ったセキュリティ監査をきっかけに、マルチクラウドに対応したセキュリティポリシーを定め、各システムにおいてはセキュリティのベースラインを定めることになりました。その際に、課題となったのが、事業会社ごとに採用したセキュリティプロダクトの機能にばらつきがあることで、一部のサービスではマルウェア対策の不足とOSやミドルウェア、アプリケーションの脆弱性対応運用に不足があり、対策が必要となりました。

社内システムは、著名なセキュリティベンダのマルウェア対策製品を利用しており、ラインアップには仮想パッチ機能を持つ製品群もあり、これをパブリッククラウドにも一律適用することで、脆弱性対応もおこなえることが期待されました。しかしながら、すべての事業会社のサービスに適用を拡大した場合、ライセンスコストが膨大になることが判明、また、統合的なマルウェア対策製品が使用するCPUのオーバヘッドが検査時に数十%に達することから、仮想インスタンスのスケールアップが必要なことも問題となりました。管理サーバ構築の委託費用も高額であり、対応するパブリッククラウドも一部のメジャーなベンダに限られていました。

そこで、A社様が検証したのは、Alibaba Cloudのマルウェア対策機能を含む内部対策機能を統合的に持つSecurity Centerでした。国産クラウドを含む各社クラウドおよびオンプレミスに対応し、ホストにエージェントをインストールすることで不正な動作をするマルウェアを検出することが可能になります。動作におけるCPUのオーバヘッドも少なく、既存サービスへの影響も軽微であることが確認されました。Security Centerはマネージドサービスであり、管理サーバの構築等は不要であり、作業の外部委託なしに導入ができることも確認できました。管理コンソールは日本語、英語、中国語に対応するために、各国出身の開発メンバも容易に利用できることもメリットがありました。
また、Security Centerは各インスタンスの脆弱性を検査するとともに、修正をおこなう機能も備えているため、特定の脆弱性発生時に要員が該当のサーバを確認し、複数台に更新を適用する作業時間を軽減できることも確認されています。従来必要だったセキュリティプロダクト自体のバージョンアップ対応も不要となります。

残る脅威として存在するゼロデイ攻撃に対しては、入口対策とあわせてマネージド型のファイアウォールであるCloud Firewallを検討しています。Cloud Firewallは侵入検知防御機能であるIDS/IPSを備え、仮想パッチ機能も搭載しています。各サービスのインターネットとクラウドの出入口において、最適なトラフィックに対応するファイアウォールを設置し、脆弱性情報であるCVEに対応する仮想パッチを有効にすることで一括して防御することが可能です。これによりホスト型の仮想パッチ製品に比べて大幅にコストが低減できます。

各セキュリティプロダクトはコンソールから統合管理され、一般的には高度な検知対応機能を持つEDR製品が備えるようなマルウェア動作の追跡機能やSIEM製品が必要となる相関分析機能が搭載されています。また、検討されている新規サービスのCloud Nativeへの移行においても、コンテナのセキュリティに対応しています。こうした豊富な機能により、将来にわたりセキュリティ強化の投資を抑制することが期待されています。