【前編】AWSのセキュリティ運用のカギを握るCSIRT、PSIRTが活躍する組織とは?~WafCharmDAY2022レポート

デジタルトランスフォーメーション(DX)やリモートワーク・テレワークが一般化するなど、ワークスタイル、ライフスタイルの変化により、AWSをはじめとするパブリッククラウドの利用企業は増加し続けています。

パブリッククラウドが導入されることで利便性は向上しますが、同時にセキュリティ課題が表面化するケースも増えています。専門知識が必要で費用がかかることから放置されやすい課題ではありますが、ランサムウェアやマルウェア攻撃といったサイバー攻撃等の問題もあり、後回しにはできない状況になってきました。

株式会社サイバーセキュリティクラウドが2022年12月9日(金)にオンライン・オフラインでハイブリッド主催したWafCharmDAY2022 -攻めながら守る、これからのセキュリティ-では、AWSに精通するエキスパートたちが登壇し、効率的な運用体制とセキュリティ強化をテーマに和やかに、語り合いました。今回はこのイベントの様子をレポートします。

イベントレポートの後編はこちら

【Session1】AWSのセキュリティ運用改革ベストプラクティス ~CSIRT/PSIRTがいる組織づくり~

プロフィール

渡辺 洋司(わたなべ ようじ)
株式会社サイバーセキュリティクラウド
代表取締役CTO

1975年生まれ。明治大学理工学部情報科学科を卒業。大手IT企業の研究開発のコンサルティングを手掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。2016年 当社に入社後、CTOや取締役を歴任。2021年 代表取締役 CTOに就任。

株式会社サイバーセキュリティクラウドについて
サイバーセキュリティクラウドでは、サイバー脅威インテリジェンスとAI技術を活用して全世界に安心安全を届けるサービスを開発・提供。サービスはクラウド型WAF『攻撃遮断くん』、WAF自動運用サービス『WafCharm』、『AWS WAF Managed Rules』、脆弱性情報収集管理ツール『SIDfm』等を展開

杉浦 英史(すぎうら えいじ)
freee株式会社
CTO担当組織セキュリティ船 PSIRTヨット

広島大学大学院理学研究科物理学専攻修了。Engineerとして、TCP/IP輻輳制御、Stateful inspection、Layer7 load balancer、Multi session streaming、IPsecでの多要素認証、Mobile IPv6 などの実装、研究に従事。その後、fellowとして、Managed Security Service Providerの自社UTM向けのOS開発、監視、log解析基盤の設計、実装、運用に従事。2017年12月よりfreeeにJoinし、CSIRT専属Engineerとして、Incident Response、および、Securityを担保する仕組みづくりを担当。2020年7月よりProduct Securityを専門とするPSIRT発足に伴い、blue teamとして活動中。

freee株式会社について
freeeは、SaaSで会計サービスを提供し、会員数は右肩上がりで増加。それ以外にも「スモールビジネスを、世界の主役に。」をミッションに掲げ、従業員の方が300人以下の中小企業のバックオフィス等のデータを預かり、自動化、可視化などでサポートするサービスも展開。

川崎 雄太(かわさき ゆうた)
株式会社ココナラ
システムプラットフォーム部情報システムグループ兼システムプラットフォームグループ Group Manager

法政大学卒業後、電力会社に入社し、インフラエンジニアとしてキャリアをスタート。その後、リクルートテクノロジーズ(現リクルート)でプロダクトインフラ / SRE組織やセキュリティ組織のチームリーダーを経て、アドテク企業でプロダクトインフラ組織のグループマネージャーを歴任、セキュリティ組織の立ち上げも経験。2020年10月にココナラへジョイン。入社当時はプロダクトインフラを担当していたが、2021年から社内情報システムも担当となり、二足のわらじで組織の成果の最大化とインフラを起点としたQCD向上に取り組んでいる。

株式会社ココナラについて
ココナラは『知識・スキル・経験を商品化して「ECのように売買できる』マッチングプラットフォームを展開。メインとなる『coconala』の他にも『coconala Business』『coconala 法律相談』『coconala Agent』と4つのサービスを提供。QCD(Quality・Cost・Delivery)の良いサービス開発を心がけており、中小企業を中心に法人利用も多いことから、ビジネス領域に力を入れる。多方面でのビジネス展開により、今後はcoconala経済圏の形成を目指す。

【改革前】各社におけるセキュリティ対策の理想像と当時の現場の状態とは?


渡辺 洋司氏(以下、渡辺):このトークセッションでは、freeeさんとココナラさんのセキュリティへの取り組みのお話を伺って、サービス運営をする中でのセキュリティ課題について考え、情報共有できればと思っております。

まず、はじめにお伺いしたいのが、それぞれの会社におけるセキュリティ対策の理想と取り組み開始前の現場の状態です。両社とも成長が著しいので、当時は対応が大変だったのではないかと思いますが、実際どのような状況だったのでしょうか?

杉浦 英史氏(以下、杉浦):freeeに入社したとき、会社は上場前でしたが、CSIRTという専任の組織はありませんでした。ただ、freeeにはセキュリティの問題を『自分事』として捉えるカルチャーがあり、技術者のボランティアによってバーチャルグループが形成されていました。

セキュリティセンサーとしてWAFは導入されていましたが、ルールが設定されておらず、定時スキャンは入っていてもリアルタイムスキャンは入っていないような状況でした。さらに大きな問題は、誰もそのログを見てなかったということです。

渡辺:誰もログを見ていないのはよくありますよね。(笑)

杉浦:あとRate Limit*を入れていても「これはRate Limitで止まった?」と疑問があっても誰も分からず、バグで止まったのか、セキュリティセンサーが間違えて止まったのかを、毎回必死に調べているような状態でした。

当時はまだリモートワークがない世界だったので、電車での通勤中にセキュリティの通知がきたら、アラートがあった人の席に行って、その物理的なPCのログを追うということをやっていました。それに加えて、ユーザーとのエンドポイントもみていたので、セキュリティ体制づくりまではあまり手が回らない状況だったのは確かだと思います。

渡辺:続いて川崎さんにお話を伺いたいと思います。川崎さんはココナラにジョインされてから色々なセキュリティに対する環境が整っていなかったと思いますが、当時は実際どのような状況だったのでしょうか?

川崎 雄太氏(以下、川崎):ココナラは2021年3月に上場して、私はその半年前くらいに入社したのですが、当時セキュリティの組織はありませんでした。また当時はインシデント・ドリブンで、インフラかSREのメンバーが片手間でセキュリティ運用をやっていたという状況でした。

他には年次でとりあえず脆弱性診断をしていました。またWafCharmも2017年から導入していましたが、うまく活用できていませんでした。WAFのルールは固定されたルールだけで、攻撃対策は不十分だったと思います。

Rate Limit*:悪意のあるbotがWebサイトやアプリケーションに悪影響を及ぼすのを防ぐために行う制限

社内のセキュリティ対策体制を変えるまでの道のり

渡辺:両社ともお金や個人情報を扱い、取引も多いため、セキュリティがとくに重要な組織だと思います。ここからはお二人に上場前後の時期や社内のセキュリティ組織がない中で、どのようにセキュリティ体制や対策を整えてきたかお話を伺えればと思います。

川崎さんはココナラに入社してからどのように組織を作られていったのでしょうか?

川崎:ココナラに入社してすぐ上場することを小耳に挟んでいたので、上場企業はどのようなセキュリティ体制なのかを調査していました。実はその際にfreeeさんも調べさせていただきました。
第一歩として、「このぐらいの人数の会社には、このぐらいのセキュリティ組織があり、こんなことをしている」といったファクトを集め、ココナラの経営層にぶつけるというところからはじめました。

前職の経験から、攻撃を受け情報漏洩が発生したら賠償金が発生することを知っていたので、セキュリティにプロアクティブに投資をしておくのとどちらが良いかを定量的に算出し、経営層に打診していきました。ココナラの経営層はセキュリティに対して、かなり感度が高く協力的だったので、経営層と二人三脚で問題解決の歩みを進めることができました。

渡辺:前職でセキュリティに携わっていて、実際に起きている損害賠償を目の当たりにしたのでしょうか?

川崎:そうですね。前職時代、ある会社が個人情報漏洩をしていて、数億円どころではない金額の賠償金を請求されているのをみて、セキュリティの体制を強化したという経験がありました。なのでココナラも個人情報をはじめ、通信の秘密に関する情報を数多く保有していて、それらが漏洩したとき、どんなインパクトがあるかを想定しやすかったです。

渡辺:結構セキュリティ対策をしようという時に基準がわからなかったり、自分たちは攻撃されないのではないかという声もある中で、実体験を元にこれだけの被害があったと言えるのは非常に強いですね。また、経営層に直接言って理解を得られるのはココナラのいいところですね。

川崎:ありがとうございます。

渡辺:実際、人材採用やシステムへの予算はどのようにかけているのでしょうか?

川崎:まずはセキュリティ体制がなかったというのが一番大きな課題だったので、「人材採用」に予算をかけました。一般的にセキュリティエンジニアは少ないので、1年に1名といったペースで採用を続け、最近になって複数名で対応する体制ができつつあります。

いまはその次のステップとして、制度や仕組みを整えるために、ソリューションを導入している段階です。現在は、AWSを使用しているので、セキュリティソリューションをPoCしたり、ローンチしたりする取り組みをしています。

渡辺:長期的な計画を立てていたりしますか?

川崎:はい。私が入社して3ヵ年計画を立てました。いまはちょうど2年目ですが、3ヵ年では足りないので、プラスで3ヵ年立てたり、攻撃の進化に対する情報のキャッチアップの仕方を経営層にインプットしながら進めています。

渡辺:続いて杉浦さんに状況を伺えればと思います。

杉浦:私が入社した時から、freeeにはリアルタイムデータを収集し、可視化して、リスクや危険な状況、問題点などを経営層とも共有するCSIRT的な仕組みは存在していました。私が1人目のCSIRTメンバーだったのですが、6ヶ月後にはCSIRTは4名になっていました。これは当時のCISO(Chief Information Security Officer)が「社員数の1%をセキュリティ人材にする」という方針を掲げていたためです。この人員計画は今も続いています。

渡辺:セキュリティ人材を組織1%と定義するのいいですね。
PSIRTの方を採用するとき、どのような素養をみているのでしょうか?

杉浦:私はそんなにシステマティックにみていたつもりはないですが、いま揃っているメンバーを見ると素直で正義感に溢れる人が多いですね。セキュリティエンジニアが少ないことは理解しているので、セキュリティ人材を探すのではなく、セキュリティ人材になりたい若手を探している時期がありました。

渡辺:ココナラさんは採用で気にしている観点はありますか?

川崎:ココナラは採用ではカルチャーフィット、バリューフィットの観点を重視しているので、プロダクトをいかにグロースさせていくか、セキュリティでいえば「どう守るか」に圧倒的に当事者意識を持てることを優先していると思います。

渡辺:圧倒的な当事者意識を持っているメンバーが集まっている組織はいいですね。

【改革後】現在の各社における環境・体制はどう変わったか?

渡辺:ここからは実際にどのような環境、体制が構築され、どのような取り組みが進められているのかお話を伺っていきたいと思います。freeeさんではどのようにセキュリティ運用を行っているのでしょうか?

杉浦:freeeでは、SIEM(Security Information and Event Management)を利用したPSIRTの運用を行っています。経営層だけでなく、ビジネスサイド、エンジニアに説明するとき、グラフ化をした証拠を図式化することが重要だと思っています。そのためにセキュリティセンサーやAWSのログを全て収集して誰もがアクセスできるようにしました。

杉浦:しかし、SIEMで綺麗に図式化し、手作業で掘り下げても必ずしも問題点が見つかるわけではありません。それでもチーム全員で見張り、1人が何かを見つけたときに他の人も対応ができるように画面共有しながらトリアージ(triage)しています。

現在はスタートした時より人数は10倍になり、メンバー間で比較や議論ができるようになったことが1番の進歩だと思います。

渡辺:『気づき』の再現性が組織で担保できている、知識の共有がチームの強さになっているのですね。

杉浦:機械学習などで、不審な点を膨大なデータの中から探すことは可能です。しかし、それはログの中を探して発見しても、あまり意味がないので、ログが取れていて、被害範囲が分かるのは凄くても、やはりリアルタイムでブロックする必要があります。

そのために、機械学習等をした後に、前段階のWAFでルールに落とし込んだり、簡単にいえば「IPブラックリスト」を柔軟に早く管理したりするようにしています。そのオペレーションにおけるフィードバックループを回す中で、最前線にあるのが「WafCharm」です。いろいろなバリエーションの攻撃を受け、そこで分かりやすい攻撃を全て止めるフィルターとして「WafCharm」には大きな意味があります。

渡辺:ちなみにPSIRTの中で機械学習にチャレンジされたりするのでしょうか?

杉浦:PSIRTはインシデントレスポンスするチームでもありますが、仕組みを作るチームでもあるので、仕組みを作ってサービスに関わることが重要だと思っています。去年は新人に機械学習にチャレンジしてもらいました。

渡辺:セキュリティもやりながら、機械学習も学べて楽しい環境ですね。

杉浦:そうですね。本当の意味でのフルスタックになって欲しいと思っています。セキュリティだけだと2年で食えなくなるという話もあるので、機械学習で自分でデータ処理ができたりとか、Terraformでインフラを組めたり、Pythonで何かロジックをかけたりなどさまざまな視点を持ってもらうことが重要だと思っています。

渡辺:インフラでやれる権限が結構広いですね。

杉浦:権限の広さとバリエーションに関しては結構楽しいチームだと思います。

 

渡辺:続いて川崎さんにココナラの現在のセキュリティ対策のご状況を伺えればと思います。

川崎:最初はセキュリティの組織がなかったところから、現在はインフラ・SREチームとCSIRTで分担して協業しています。

CSIRTは攻撃対策やアクセス権限の精緻化などをしています。お恥ずかしい話なのですが、ココナラは1つのAWSアカウントが肥大化していて、結構権限が危ないという状況だったので、いまはAWSアカウントを分離したり、「AWS IAM」のロールを整備したりするといった施策を推進しているところです。

渡辺:セキュリティのインシデントの進み具合はサービスごとに違ったりするのでしょうか?

川崎:3ヶ年計画はあっても、その通りではない面があったり、上場後に攻撃を受ける機会が増加したりしているので、CSIRTが優先度をつけて対応している状況です。

渡辺:いまココナラのシステム構成図がありますが、ご説明いただいてもいいですか?

川崎:ココナラでは、1つのAWSアカウントにプロダクション、デベロップメント、ステージングも存在していたため、現在はそれを分割して、アカウントを分けて正しく権限管理をすることを推進しています。SIEMを導入したのは、freeeさんのAWSでのセミナー発表資料を見たのがきっかけだったりします。

渡辺:アカウント問題って結構ベンチャー企業あるあるというか。最初はそれで走っていても、後でどうにもならなくなってくることはよくありますよね。

いま実際WafCharmをご利用いただいていますが。どのようにご活用いただいているのでしょうか?

川崎:インターネット側のALB(Application Load Balancer)にアタッチしているWAFに対して、「WafCharm」を運用しています。SIEMで分析をしながら、マネージドルールをチューニングし続けている状況です。

渡辺:WAFのログを見るのは川崎さんなんですか?

川崎:そうですね。プロダクト側の経験があるのが私だけなので基本的には私がみています。

渡辺:WafCharmを入れて逆にユーザーに迷惑をかけたというケースはあったんでしょうか?

川崎:私が入社してからそういったことはなくて、「WafCharm」は、毎月10万件ほどをブロックしています。本当に多い時だとその10倍くらいブロックしていることもあります。運用の省力化ができて助かっています。

渡辺:ここまで各社さんの取り組みであったり、入社されてから現在までの道のりを伺えたかと思います。では、最後にこれからどのようにセキュリティ対策をして行こうとしているのかお話いただければと思います。freeeの杉浦さんはいかがでしょうか?

杉浦:究極的には人手によるチューニングやスレッドハンティング*がない世界に行けたらいいなと思っています。ただそれが難しいことは理解しているので、直近で取り組むとすると、自動でブロックしたり、レートをかけた後にそれが正解だったのかを確認するロジックを入れないと自動化には移行できないと思っています。

全部自動化したいと言いつつ、人間が判断しないといけない部分もあると思うので、その判断をするための材料を全部揃えた状態で見せてあげるとか、そういったことを日々少しずつ改善していきたいと思います。

渡辺:それらの取り組みをいつまでに実現したいという構想はありますか?

杉浦:そうですね。一旦今クウォーター中に実施し、次の3ヶ月で運用してみるというタイムスパンで動いています。

渡辺:川崎さんがココナラで今後力を入れていきたいことはありますか?

川崎:今後、外部からの攻撃対策はもちろん、社内のセキュリティを強化していきます。あと世の中のトレンドも変化し、現在の人数でやりきるのも限界があるため、セキュリティエンジニアの採用強化に取り組みたいと思っています。

渡辺:今後セキュリティの重要性が増していくので、私も「WafCharm」で各社のサービスの役に立ちたいと思います。今回はお金を扱うfreee杉浦さん、個人情報を扱うココナラ川崎さんのセキュリティ対策の話を聞くことができ、大変勉強になりました。

以上でセッション1終了となります。ありがとうございました。

⇒イベントレポートの後編はこちら

スレッドハンティング*:潜在的な脅威の調査、分析を行うセキュリティ対策活動のこと

『WafCharmDAY2022「攻めながら守る、これからのセキュリティ」』
イベントをアーカイブ配信しています!

2022年12月9日(金)に開催された『WafCharmDAY2022「攻めながら守る、これからのセキュリティ」』は現在、アーカイブ配信されています。イベントの詳細に興味を持った方は、ぜひ下のリンクからご視聴ください。

『WafCharmDAY2022』アーカイブ公開サイトへ

  1. リモートワークでもキャリアアップを諦めない。SAP ERP運用保守への転職でつかんだ理想的な働き方
  2. 【後編】AWSでのセキュリティの構築・運用のリアルをエンジニアが語り合った~WafCharmDAY2022レポート