情報セキュリティ対策強化のために3つの AWS サービスを追加導入、アラート発生時の迅速な原因究明と対策検討を実現し、万一の緊急事態発生時にも2～3時間で復旧可能な体制を確立

2016年、ワールドホールディングスはグループ共通のITインフラを AWS へ全面移行しました。そのプロジェクトを支援したのがサーバーワークスで、当時ワールドホールディングスは AWS 上の仮想サーバーのセキュリティ対策についてもサードパーティ製のアンチウィルスソフトを導入し、マルウェアを検知する仕組みを構築していました。しかし近年はサイバー攻撃が高度化し、ソフトウェアの脆弱性と対策が公開される前に攻撃を仕掛けてくるゼロデイ攻撃が増加しています。同社は情報セキュリティ対策をさらに強化する必要性を感じていました。以前の状況について、情報監視室 室長の長曽我部秀一氏は、次のように説明します。

長曽我部氏「2016年はITインフラの全面リプレイスが主題だったので、セキュリティ対策としては必要最小限となるクラウドベースのアンチウィルスソフトを導入しました。ただ当時から情報セキュリティ対策のあるべき姿として、3段階での施策を考えていました。第一に侵入させないこと、第二に万一侵入された時に検知できること、第三に侵入後に怪しい振る舞いをするアクティビティを特定することです。1つめについては、既にアンチウィルスソフトを導入済みで、2つめについては今、 AWS モニタリングサービスのAmazon CloudWatchの導入も進めているところです。そして3つめについては怪しい振る舞いを検知して迅速な対応を支援するEDR（Endpoint Detection and Response）の導入を考えていたのですが、これが非常に難題でした」

それというのも、EDRの導入に際しては、対象となる100台以上の仮想サーバーにエージェントを入れていくという作業が必要になるからです。その詳細について、情報監視室 藤田阿悠夢氏は次のように説明します。

藤田氏「実はEDRについても市販の製品を採用して、重要な数台のサーバーにはエージェントを入れたのですが、サーバーごとにスペックも稼働しているシステムも異なるので、1台1台、CPUへの負荷のかかり方やアプリケーションへの影響を見ながら作業を進めていく必要がありました。特にアプリケーションの稼働に支障が出ないようにするためは、業務時間帯を考慮してインストール作業を実施する必要があり、各サーバー担当者との調整作業も発生します。そのため、その後、EDRの導入は思うように進みませんでした。EDRの機能を“手間なく”導入できる仕組みがないものかとずっと探していました」

そんな最中に実被害は出なかったものの、マルウェア感染のアラートが上がり、情報監視室では3段階の情報セキュリティ対策を一刻も早く完成させる必要性を痛感していました。

その時にサーバーワークスから紹介を受けたのが、悪意あるアクティビティや不正な動作を継続的にモニタリングし、脅威を検出する AWS サービス「Amazon GuardDuty」でした。

藤田氏「私たちは“気付きが遅い”状況を何とか改善しなければならないという明確な課題感を持っていましたが、一方でEDR製品の導入には多大な人的パワーと調整作業が必要になるという現実問題がありました。Amazon GuardDutyは、これらの課題を一気に解決してくれるものでした」

Amazon GuardDutyは、潜在的な脅威を特定することができる脅威検出サービスで、AIベースの統合脅威インテリジェンスを使用して各種ログを分析し、不正なアクティビティを検出するものです。

長曽我部氏「まずAmazon GuardDutyは、先のEDR製品のように各サーバーにエージェントを入れていく手間が一切不要です。本番環境に何の手も加えずに、全てのサーバーを監視下に置くことができるのです。サービス導入に伴う各サーバー担当者との調整も要りません。 AWS のサービスなので、言うまでもなく AWS 環境との相性は抜群ですし、導入作業時にエンジニアが張り付く必要もありません」

さらに長曽我部氏は、2016年以降、 AWS に詳しいエンジニアが社内で育っていたことも大きなアドバンテージだったと続けます。

長曽我部氏「我々情報監視室は、脅威の早期発見を行うSOC（Security Operation Center）とインシデント発生時の対応に当たるCSIRT（Computer Security Incident Response Team）の機能を担っており、様々なセキュリティソリューションを運用しています。Amazon GuardDutyについても、我々がオペレーションを行うことになりますが、その際には AWS エンジニアが社内にいることが前提です。迷いなくAmazon GuardDutyの導入に進むことができたのは、 AWS エンジニアという強力なバックボーンがあったからこそだとも言えます」

またワールドホールディングスは今回、サーバーワークスからの提案を受けて、万一のマルウェア感染時にも、社内から外部のC＆Cサーバーへの不正アクセスを遮断する「Amazon Route 53 Resolver DNS Firewall」と、Amazon GuardDutyから各種ログや分析結果を取得して可視化し、直感的なビジュアルで提示する「Amazon Detective」も導入しました。

3つの AWS サービスの導入プロジェクトは2022年2月に始まり、6月に完了を迎えました。現時点で稼働開始から約半年が経過していますが、その導入効果について、藤田氏は第一に、アラート発生時の原因究明と対応に当たる時間の短縮を挙げます。

藤田氏「今までは何かしらのアラートが上がった時、それがどのサーバーで、どんな事象が起こっていて、どんな影響が想定されるのかといった状況を網羅的に把握できる手段がありませんでした。そのためアラート発生時には、各サーバーやシステムの担当者に検知したアラートを連絡して、調査して、という対応を取る必要がありました。多大な工数と人的パワーがかかっていたのです。しかし現在では、AIベースのAmazon GuardDutyが、より精度の高い脅威の検出をしてくれますし、その分析結果は、Amazon Detectiveが提供する直感的なレポート画面で確認することができます。アラート可視化までの時間は劇的に短くなり、取るべき対策を決定するまでの時間も短縮することができました。具体的な数字で出すのは難しいですが、間違いなく人的コストは大幅に削減できています」

同社はAmazon GuardDutyの導入後、実際にあるサーバー内のあるエージェントが『トロイの木馬』に感染して怪しい動きをしていることを速やかに特定することができたと言います。さらにもう1点、藤田氏は「Amazon GuardDutyの導入で“次に進むべき道”も検討できるようになりました」と強調します。

藤田氏「Amazon GuardDutyの出力結果からは、その時点での対応策だけでなく、“検出した脅威を防ぐためにはどんな対策が必要なのか”といった今後の課題を見える化することもできるようになりました。これも情報セキュリティ対策のさらなる強化に繋がる非常に大きな効果だと考えています」

加えて今回、ワールドホールディングスはサーバーワークスと連携して、万一の緊急事態発生時にも2～3時間で復旧できる体制を確立しました。

長曽我部氏「例えばAmazon GuardDutyからアラートが上がり、あるサーバーが攻撃を受けてマルウェアに感染したという事態が分かった時、そのサーバーは破棄して、サーバーワークスに日次で取得してもらっているハードディスクイメージを使って新しいサーバーでシステムを復旧する、という流れです。さらにこうしたインシデント発生直後にもハードディスクイメージを取得してもらい、フォレンジックの際にインシデント検知前後のイメージを比較する、という対応を取ることも可能になりました。これにより当該インシデントによって、どんな障害や影響が発生したのかという状況を詳細に把握することができます。Amazon GuardDutyの導入を契機にこうした体制を構築できたことも、非常に大きな安心感に繋がっています」

今後ワールドホールディングスではより一層、情報セキュリティ対策を強化していきたい考えです。

長曽我部氏「現在では、脅威の侵入を前提として情報セキュリティ対策を考えるゼロトラストセキュリティが非常に重要になってきています。その際には AWS 環境だけでなく、ネットワーク機器も含めた様々なIT製品から吐き出されるログを包括的に、様々な視点から分析できるSIEM（Security Information and Event Management）のようなツールは、非常に有用です。 AWS にはSIEM機能を提供するAmazon OpenSearch Serviceのようなサービスもあるので、今後1年ぐらいをかけて、どんなセキュリティ製品と連携できるのか、またどんな情報が必要で、それをどう活用できるのかをじっくり検証したいと考えています」

藤田氏「 AWS では、様々な AWS リソースのセキュリティ上のベストプラクティスを継続的にチェックする AWS Security Hubといったサービスも提供しています。Amazon OpenSearch Serviceと併せて、こうした AWS サービスの検証も腰を据えて進めていく予定です」

長曽我部氏「今回導入した3つの AWS サービスは、比較的新しいサービスだったので我々も知りませんでした。その際にサーバーワークスから、どんな特徴やメリットがあるのかを丁寧に説明してもらったおかげで、導入に至るまでの判断をスピーディに行うことができました。今後も引き続き、AWSパートナーネットワーク最上位の『AWSプレミアティアサービスパートナー』であるサーバーワークスの心強い支援を期待したいですね」

担当プロジェクトメンバー

村上 博哉

2020年サーバーワークスへ入社。前職は市役所職員。複数の案件に参画後、ワールドホールディングス様のプロジェクトマネージャーを担当。機械学習に関心があり、空いた時間でブログを書くのが好き。好きなAWSサービスはAmazon SageMaker

櫻田 翔太朗

クラウドインテグレーション1部3課
2021年大学卒業後新卒でサーバーワークスへ入社。
現在はワールドホールディングス様他複数の運用・構築案件に参画し、AWS・ITを勉強中。ロボットダンサー。好きなAWSサービスは Systems Manager

宇都 太陽

2021年株式会社サーバーワークスへ入社既存大手ユーザーを複数社担当しながら、新規構案件も担当。前職は富士フイルムビジネスイノベーションジャパン株式会社。
主に北九州の中小企業の新規開拓営業として在籍。趣味はキャンプとゲーム。好きなAWSサービスは Amazon S3