課題
- クラウド上に構築した環境の設定が規格に準拠しているのか手動で確認していた。
- 判断基準に一部不明瞭なところがあった。
- 準拠違反に気づくタイミングが遅れる可能性があった。
対応と結果
- 準拠の確認を自動化することで、運用工数の削減につながった。
- Falco ルールという可視化されたルールにて、判断を機械的に行なうことで、判断基準が明確になった。
- ニアリアルタイムで準拠違反に気づけるようになった。
アイレット株式会社(以下、アイレット)は、パートナーである Sysdig, Inc.(以下、Sysdig)様の「Sysdig Secure」を活用し、PCI DSS をはじめとする標準化された基準への準拠に対する運用工数を削減いたしました。本プロジェクトの詳細をご紹介いたします。
PCI DSS をはじめとする基準準拠への運用工数を削減
アイレットでは、2013 年に AWS 運用業務における PCI DSS Level 1 Service Provider 認定を取得し、以後現在まで、継続的にバージョンアップ対応やスコープの拡大を行なってきました。
それだけでなく、SaaS を活用したログ管理の一元化など、運用のセキュリティレベル向上や、効率化、コスト最適化も進めてきました。
PCI DSS はクラウドに限定した認証ではないため、クラウドの設定に関して明確な基準はなく、オンプレミス前提で書かれたと考えられる基準をクラウドに置き換える必要があります。また、他の認証系と比較して基準が詳細に落とし込まれていない箇所があり、監査員による裁量に委ねられる側面があるため、従来では問題だと指摘を受けていなかった点に対しても今後は不適合と判断される可能性が常に発生していました。
Sysdig Secure には、コンプライアンスチェック機能として、PCI DSS や NIST、CIS Benchmarks など、さまざまな標準化された基準に対して、社内の環境がどれくらい準拠しているのかを分析して可視化する機能があります。
この機能を活用することで、我々の環境を他社の PCI DSS での利用実績があると考えられる Sysdig Secure でチェックし、Fit & Gap 分析をかけることにしました。
分析の結果、これまで監査や自己診断で気づけなかった改善点に気づくことができました。また、PCI DSS などの規格自体のアップデートへのルールの追従も Sysdig 側で実施されるため、手動での確認のように判断基準をその都度見直す必要がなく、コンプライアンス準拠のための運用工数の削減にもつながっています。
コンプライアンスチェックの分析結果をグラフィカルに可視化
Sysdig Secure を活用することで、業界標準の設定基準とのギャップを人手をかけずに診断できると共に、その結果をマネジメント層が見ても分かるようにグラフィカルなレポートに出力することが可能になります。この機能によって、PCI DSS などの認証系の取得拡大を検討する環境に対しても、容易に Fit & Gap 分析を行なえるようになり、戦略が立てやすくなりました。
脆弱性のある設定に、ニアリアルタイムで対応
Sysdig Secure で AWS 環境を保護する際の大きなメリットの一つに、CloudTrail の監視機能があります。
AWS Security Hub などの一般的な CSPM (Cloud Security Posture Management) ※ サービスは、特定のポイントにおいて静的な診断をかけます。
※CSPM:クラウドセキュリティ態勢管理。クラウドサービスのセキュリティ状態を見える化し、セキュリティリスクを低減させるソリューション
レポート形式でスコープ内の状態を分かりやすい形でまとめて出力できる一方、定期的に診断をしないとその後の設定変更によって新たに発生した不備箇所に気づくことができません。
Sysdig Secure は、この問題点を補完するため、CloudTrail を監視し、コンプライアンス準拠に影響のありそうな変更に対して、アラートを上げることができます。
また、Falco※ を用いた判定を行なっているため、どのような判断基準を元に検知したのかを確認することが可能です。また、必要に応じてチューニングをかけることで、自身の環境で問題のないアラートの次回以降の発生を抑止することも可能です。
※Falco:オープンソースのランタイムセキュリティプラットフォームで、Linux コンテナやアプリケーション内の不審な振る舞いを検知し、対応することができます。
Sysdig Secure の導入で得られたもの
PCI DSS 環境を Sysdig Secure で管理することで、セキュリティ面の品質と速度の向上に加え、これまで人手で運用していた人的コストの削減も実現できました。
また、更新審査においても、Sysdig Secure を活用したエビデンスを提出することで、監査員に対して、よりわかりやすく根拠を示すことができました。
今回は、様々な機能のある Sysdig Secure の機能の中でも CSPM によるクラウドインフラ設定のコンプライアンス準拠の可視化として活用しましたが、今後はさらにワークロード保護など、別の Sysdig Secure 機能の活用も検討しています。
アイレットでは、Sysdig Secure を活用し、PCI DSS への対応とそれによるコンプライアンスの強化を実現してまいりました。これまでの実績を生かし、お客様のクラウド環境におけるセキュリティ課題の解決をサポートいたします。
また、セキュリティ以外のクラウドサービスに関しても、インフラ構築から開発、デザイン、運用保守までをワンストップで提案・実行し、お客様の本質的な課題解決につながる最適なソリューションを提供することが可能です。今後もアイレットは、お客様のニーズに寄り添いながら多様な技術とノウハウをフル活用し、お客様のビジネス成長につながる課題解決に取り組んでまいります。
(使用プロダクト)
- ・Sysdig Secure
Credit
クライアントアイレット株式会社