share facebook facebook twitter menu hatena pocket slack

2017.03.08 WED

Deep Security User Night #4 レポート

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、ひろかずです。
4回目となるDeep Security User Nightに行ってきましたので、一筆書きます。

  • 例によってのリアルタイム執筆なので、抜け漏れ表記ゆれはご容赦ください。

会場は、前回に引き続きHAPON新宿
ビアバッシュ形式でプシュッとしてからの開始です。
会場はほぼ満席。温まっていい感じです。

Session1 NTTドコモのクラウド利用とDSM共通基盤

守屋さん (株式会社NTTドコモ)

社内でDSM共通基盤を作って、運用している。

ドコモのクラウド利用

  • AWS300アカウント
  • AWSは、商用、評価検証使ってる
  • 分野もWebから、分析/機械学習、モバイルアプリ・ゲーム等多岐にわたる
  • Azureは、検証用途で主に使ってる

クラウドを利用する理由

  • 早く試せる
  • ダメならすぐ止められる
  • 時間を買える

運用でボトルネックは作らない

  • アカウントや、サブスクリプションはプロジェクト毎に独立

セキュリティの壁

  • ドコモ社内では280項目のセキュリティチェックをクリアする必要がある。

守屋さんの部署はクラウド利用を統括する中で、ガイドラインやデザインパターンなどのノウハウ収集、ツール類を作っている
最終的にドコモクラウドパッケージに落とし込んでいる

DSの導入背景

  • WAF、IDS/IPS、改ざん検知、ウィルス対策の要件がある
  • 1製品で対応できる
  • ホスト型なので、ネットワーク型のようにセキュリティ機器の障害によるサービス影響がない
  • AS対応もできるのはいい
  • リファレンスも充実
  • クラウドのベストプラクティスにフィットしている

DSMの選択肢

  • DSaaSとDSMのパターンがある

DSaaS

  • サーバ側の構築運用保守が不要
  • 最新DSMが使える
  • 圧倒的に楽

DSM

  • オンプレ、クラウドにマネージャを構築
  • コントロールできるが、ちょっと面倒

DSaaSを使いたいが、ドコモ的に壁がある

  • そもそもSaaS型は厳しい
  • コントロールが効かない(ログ保存期間13週だったが、2017年5月から4週に短縮)
  • 社内の事情により断念

プロジェクトによりサブスクリプションを独立する要件がある

答えとしては、自前のDSMをマルチテナントとして構築して、DSMとDSaaSのいいとこ取りをする。

  • インターネット経由については、暗号化が適切であれば、OK。
  • NAT経由でもOKなので問題はなかった。
  • プロジェクト数は20,管理台数は数百台規模

導入効果

  • プロジェクトによっては、数十万/つきの運用費削減
  • スタートアッププロジェクトで予算がなくても対応できるようになった。
  • DSの運用ノウハウが集約

気をつけていること

  • マルチテナントのDSMを社内SaaSとして運用
  • DSM共通基盤をボトルネックにならないようにする

メリット

  • 各プロジェクトからセキュリティ運用ノウハウを収集
  • APIによる運用

Session2 家電のクラウドとセキュリティのお話

音川さん (シャープ株式会社)

ロボホンのリリースでトレンドマイクロ南原さんにお世話になったとのこと。

今日の話は家電のためのクラウドの話をします。
セキュリティは大事なので、ちょっとだけDSの話

家電がクラウドに繋がるって、IoT

AIoT(造語)

  • 家電をクラウドに接続して人工知能化
  • もっとヒトと寄り添う存在に
  • ロボホン、COCORO+(家電を暮らしのパートナーに変えていくプロジェクト)

実はシャープさんは、10年前からIoT?をやっている

  • Aquosオーナーズラウンジ

シャープでは家電のサーバは全部クラウド!(AWS)に持っていってる。

  • が、ITは違う
  • ITの人たちは、オンプレの視点でクラウドを見るので日々戦い

家電クラウドの目的

  • 家電をクラウドで進化
  • 家電にコンテンツ供給(レシピの配信etc)
  • 家電とサービスの融合(ヘルシオに広告配信:料理ができそうになったら広告表示:引き合い多数)

家電製品は単体でやれることはなくなった(省エネ競争)

家電クラウドの特性

  • オープンな環境上のクローズな環境(セキュリティ的にフルオープンはない)
  • クライアントのアップデートは期待できない
  • 長期稼働の要求(10年後どうなるか)

家電のクラウドシステム

  • 家電アダプタ経由でHTTP+ECHONET Lite(HEMS対応)で通信 → データベースに格納
  • Web Socketを使ってプッシュ通知

家電のクラウドのセキュリティはとても大事。

  • Miraiのようなものが悪さをしないようにしないといけない。
  • エアコンの操作は命に関わるかも
  • 入念な脆弱性テストを実施
  • 加えてDeepSecurity

シャープのDeepSecurityの利用

クラウドセキュリティの社内の標準ツール

  • 検出モード(サービス通信を誤検知しないようにチューニング)
  • 防御モード(チューニングを経て攻撃通信を遮断する)

セキュリティ事故の損失

  • 経済的損失
  • ブランドに対する損失
  • 労働力の損失

Webサイトの改ざんは、依然深刻。

  • 対応日数は、11日以上かかることが3割

事故を防ぐことが重要
だが、事故が起きた時の対応はもっと重要

Auto Healingシステム

  • 攻撃の未意味化
  • DeepSecurityで検知した変更をトリガーに、gitから短時間で復帰させる。
  • メンテナンス作業の効率化という副次的効果も(ロックファイル運用で、運用負荷を軽減)

LT枠1 CloudFormation Template for Amazon ECS with Deep Security Agent(俺達のCloud Formation)

姜さん (トレンドマイクロ株式会社)
サブタイトル:女神は微笑むのか

今日やること

CloudFormationをつかってスタック2つ

  • VPCの上にECSを起動して、ASグループに参加させる
  • ECSクラスタサービスを起動して、ALBに参加させる

実機確認では、女神画像が表示されるとのこと(ハズレは別画像)
DS10の機能をちょっとだけ使う

デモ(会場でお楽しみ下さい!)

DS10の部分

  • Container内にダウンロードされたファイルのウィルス検知ができるよ!使ってね!
  • 今日の内容は、Webで公開予定!「trendmicro aws microsite」で検索!

LT枠2 One problem and one solution when using DSaaS on the cloud.

工藤さん (アイレット株式会社)

英語書くとslideshareのViewが上げる

テーマ:出口対策

Outboundは制限するのだけど、DSaaSを使うのに80/443フルオープンが必要
クラウド環境ではIP/portベースでの制限になる。
攻撃の際には、80/443を使う。

  • 攻撃通信を制限できないやん!

実際問題としての対応

  • プロキシ(Squid)を実装して、trendmicro.comを通す。
  • DSaaS側では、FireレピュテーションとWebレピュテーション、DSaaS管理側でプロキシの使用を設定する。
  • パブリッククラウドでOutBoundを絞るのは意外と少ないんじゃないかな。

まとめ

  • クラウドではOutboundのURLフィルタリングができないので、プロキシでの実装が必要
  • 個人情報を持っていたりして気にする人は、Outboundを絞るのがいいんじゃないかな。

LT枠3 ハンズラボでのDS事情についてゆるっと

加藤さん (ハンズラボ株式会社)

加藤さんはAWSチーム(東急ハンズの9割がAWSを利用)
2015/2016でAWSsamuraiを輩出

オンプレとクラウドとのセキュリティの違い

  • オンプレはネットワークを簡単に引けないので、自然と外部からの経路が増えない
  • クラウドでは、ネットワークを簡単に弄れるので、監視しない経路での通信が発生しうる

クラウドの利点ととのトレードオフ

  • 利点はスピード
  • 個エンジニアの周知徹底

ホスト側で何があってもいい方針(インフラ側)

  • publicにはなるべく置かない。Privateに隠蔽する。
  • やむなくpublicに置く場合は、NAT GatewayにIGWを向ける。(ひょっとしたらアンチパターンかもしれないけど…)

使いにくいところ

  • DBでMySQLやPostgresqlでも使えるようにしたい(無料のDBがいい)
  • クラウドアカウント連携は便利だが、Private通信をしたいのに、Public通信になってしまった(いい方法があったら教えて!)

使えるところ

  • AWSとの親和性が高い
  • PCIDSS要件に多く対応している
  • SAQの要件に対して、多く対応している
  • 監査員との会話が楽になるかも

最後に

ユーザー企業の生の声が聞こえて楽しかったです。
次回をお楽しみに!

今日はここまでです。
お疲れ様でした。

元記事はこちら

Deep Security User Night #4 レポート

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。