クラウドサービスを利用する企業が増える一方、セキュリティ面への不安や懸念の声も多くある。クラウドやセキュリティのマネージドサービスを提供するNHNテコラスのエンジニアリング本部 SEチーム マネージャー 幸坂良氏は、3月11日に開催されたTECH+セキュリティセミナー「専門家とベンダーの対話 第8回 変化する時代のセキュリティ対策」で、実際のクラウド運用事例を紹介しながら、セキュリティ対策のポイントについて解説した。

  • NHNテコラス エンジニアリング本部 SEチーム マネージャー 幸坂良氏

クラウドの運用は「責任共有モデル」が前提

幸坂氏はまず、クラウドでのセキュリティの考え方として、AWSが提唱する「責任共有モデル」を紹介した。同モデルは、ユーザーとクラウド事業者におけるクラウド運用上の責任範囲を表したもので、AWS以外のクラウド事業者も同様の考え方を前提としている。そのため幸坂氏は「クラウドセキュリティにおいては責任範囲に応じた対応が必要。ユーザーの責任範囲を理解したうえで必要な対策を実施し、運用する必要がある」と説明する。

  • 責任共有モデルのイメージ。物理レイヤはクラウド提供事業者、物理レイヤよりうえのアプリケーション、ミドルウェアなどはユーザーの責任範囲となる

続いて幸坂氏は、クラウドサービスが関連するサイバーセキュリティ攻撃の事例と、NHNテコラスによるその対策方法について解説した。

事例1: DDoS脅迫/ランサムDDos

まずは、日本製キャラクターに関連する商品を海外向けに販売しているECサイトでの事例。同サイトは、AWSのロードバランサであるApplication Load Balancer(ALB)と、仮想サーバーであるEC2を利用し運営されていたが、ある商品の販売開始を機にDDoS攻撃が開始されたことで、サービス停止状態に追い込まれた。特定URLに対して分散されたIP/ユーザーエージェントから継続的に大量リクエストを受けていたため、攻撃対象をALBのルールでブロックしたが、攻撃対象のURLが切り替わってしまい、イタチごっこ状態となってしまった。

そこで、マネージド型のDDoS保護サービスであるAWS Shield Advancedを利用して回避することに成功。これに加え、AWS WAFでレートベースのルールを作成・実施し、監視サービスCloudWatch DDoS Dashboardの監視を行うことで、事象発生から約12時間で収束したという。

事例2: Windows Serverアカウント侵害

続いて、リモートデスクトップ接続をしてからサーバー内のアプリケーションを操作する環境において、Active Directoryでユーザーを管理し、セキュリティは自身で管理していたケース。あるとき、サーバーの過負荷により動作がおかしくなったとの連絡を受け、NHNテコラスがログイン情報をもらって確認したところ、ADユーザーではなく、local/admin権限のユーザーがログインし、ウイルス対策ソフトがアンインストールされていることがわかった。さらに、ブルートフォース攻撃用のアプリケーションが継続的に動作し、同サーバーを踏み台にして日本の有名出会い系サイトに接続していた。

ヒアリングしつつ対策を進めたところ、テレワーク対策でリモートデスクトップ接続用のTCPポートにIP制限などがないことが明らかになったため、ユーザーにはVPN接続を徹底してもらい、IP制限を設けるという対策を取った。さらに、乗っ取られた管理者ユーザーを別の管理者ユーザーで強制ログオフさせ、パスワードを変更。アンインストールされていたウイルス対策ソフトを再導入した。

事例3: Eメール送信サービスでの認証情報漏えい

アプリからメール配信を行う際、メール送信サービスとしてAmazon SES(Simple Email Service)を利用していた事例では、SMTPで送信するための認証情報を作成し、アプリの設定ファイルに持たせるという運用を行っていたが、あるとき、大量のバウンスが発生。認証情報が抜き取られ、スパムメール配信に悪用されていた。大量のバウンスが発生するとSESでの配信が利用停止になるため、発覚前にAWS側で止められてしまっていたという。

そこで、AWSベストプラクティスに伴い対処。アプリに認証情報を持たせるのではなく、EC2インスタンスにIAMロールを付与し、インスタンス内には認証情報を持たせないことで情報漏えいを防ぐこととした。

事例4: Webサイト改ざんで水飲み場攻撃

4つめは、Windows ServerのIIS(Internet Information Services)にてWebサイトを運用、コンテンツは別会社がCMSにて管理していた例。あるイベントの日にサイト管理者からサイトが改ざんされたとの連絡があり、NHNテコラスがログインしてIISの情報を確認したところ、新しくディレクトリが作成され、動画サイトに接続するaspファイルが設置されていたという。

CMSで使われていたプラグインに脆弱性が含まれていたため、アップデート作業を実施。ウイルス対策ソフトで改ざん検知は行っていたが、追加でWAFサービス(AWS WAF)を導入するという対策を新たに取った。

ログ管理で監査業務を効率化

幸坂氏は最後に、NHNテコラスが提供するセキュリティソリューション「Aegis Wall」について、セキュリティ強化施策の一環で、ログの抜け漏れ防止や監査作業の効率化のため導入したファンコミュニケーションズ様の事例を紹介した。Aegis Wallには、大きく分けて「特権ユーザー・アクセス管理」「ログ管理」「アクセス・コマンド権限制御」といった3つの機能がある。AWSの技術認証レビューを通過した認定ソフトウェアだが、Google Cloud Platform、Microsoft Azure、オンプレミスなど、どんな環境でも導入可能だという。

  • Aegis Wallの設計思想

「Aegis Wallを入れることでデータベースにアクセスするパケット通信を管理可能になるので、構成変更を最小限に抑えられるのがメリット。誰がいつアクセスしたかログですぐに確認できレポートも出すことが可能。監査時の業務負荷の軽減にもつながる。NHNテコラスでは今まであげてきた事例のようにAWSに対する総合的なセキュリティ対策を支援できるため、セキュリティに課題がある場合は是非気軽にご相談ください」(幸坂氏)

AWSの総合セキュリティ対策:https://nhn-techorus.com/c-chorus/security/

セキュリティ専門家とのディスカッションでAegis Wallを深堀り

同セッションでは、Aegis Wallに関して、NHNテコラス Aegis Wall事業推進部 事業部長 李敏碩氏と、セキュリティ専門家であるpiyokango氏および辻伸弘氏とのディスカッションも行われた。ここではその様子の一部を紹介したい。

  • NHNテコラス Aegis Wall事業推進部 事業部長 李敏碩氏

piyokango氏:Aegis Wallはアクセスコントロールなど凝った機能がある印象だが、Aegis Wallサーバーにトラブルが起こった際にシステム全体が止まってしまうことはないのか。

李氏:そこについては、大きく2つの対策がある。1つは、Aegis Wall自体を冗長化するという構成面での対策。もう1つは、サーバーの故障を検知した際にAegis Wallを介さずに通信することが可能なフェールオープン機能を利用するというもの。ダウンタイムがあっても機微な情報を管理するサーバーの復旧を待つという運用をしている事例もある。

辻氏:Aegis Wall GatewayとAgentの使い分け方、ユースケースを教えてほしい。

李氏:ユーザー端末とサーバー群のあいだにAegis Wall Gatewayを置くのが基本的な構成となる。既存環境を変えずに導入可能で、ロギングによるサーバー負荷がゼロというメリットがある。

  • システム構成例: Proxy Gateway

李氏:Server Agent方式では、Aegis Wallを介さず他の経路でアクセスした際のログを記録したり、アクセスを遮断したりということが可能となる。Windows Serverの場合、操作画面を画面ログとして残すにはServer Agent方式を取る必要がある。

  • システム構成例: Proxy Gateway(Server Agent)

また、大規模なシステムの場合、クライアントアプリケーションをユーザーPCにインストールするのはハードルが高いので、踏み台サーバーを立て、そこにクライアントアプリケーションをインストールすることで、クライアントPCへの展開負担を下げるというユースケースもある。

  • システム構成例: Proxy Gateway(踏み台)

辻氏:ログは取らないといけないという風潮は出てきているが、どう使うかということにあまりフォーカスされていない。Aegis Wallには、レポートや検索機能などはあるか。

李氏:週・月単位で内部監査を行っている企業では、Web Reportという機能を用いて、予め決まった監査項目に合わせたレポートを、決まった時間に決まった担当者にメール送信することで、定型監査業務にかかった工数を80%も改善できている。検索機能もあり、たとえばインシデント発生が疑わしいある期間にアクセスがあったシステム・ユーザーID・操作内容を素早く確認し特定につなぐことができる。クリックしていくと、コマンドやそれに対する結果などさらに詳細な情報も表示される。Windows Serverの場合は、該当する画面操作を動画として確認することで操作内容の特定を容易にする。このような機能の存在を知らせることで、不正な行為に対する抑止効果も期待できる一方、操作ミスの改善の手助けにもなる。

Aegis Wallの監査機能を使い、普段のシステム運用における監査対応・インシデント対応の精度改善と業務効率化に役立てていただきたい。特権IDのアクセス管理やログ監視に関心のある企業は、是非一度ご相談ください。

特権IDアクセス管理・データベース監査「Aegis Wall」:https://nhn-techorus.com/c-chorus/aegis-wall/

  • レポート出力例

[PR]提供:NHNテコラス