やりたくても先に進まないケースが多いセキュリティ対策　AWSの運用課題を解決する「CloudFastener」「WafCharm」

坂口氏の自己紹介

坂口龍一氏：よろしくお願いします。5分ぐらい押しちゃっているので、少しスピードを上げていろいろと話せればなと思います。

まず私の自己紹介です。私はサイバーセキュリティクラウドでセールス本部の本部長をしている、坂口と申します。私は新卒の時から、ITのセールスをしていて、インターネットの回線からデータセンターの営業、そしてサーバーやネットワーク機器のシステム構築、運用・監視、あとはCDNなど、本当に幅広くITインフラの営業をしています。現在はセールス本部の本部長として、全体のマネジメントやアライアンス構築に従事しています。

（スライドを示して）このあたりは渡辺（渡辺洋司氏）のパートでも話をしたので割愛して……。

提供しているサービスについて

（スライドを示して）ここも渡辺のパートで話している部分はあるのですが、ここにプラスアルファして、脆弱性診断というサービスも提供しているので、そこを認識してもらえればなというところです。

あとは、2023年10月11日に「CloudFastener（クラウドファスナー）」という、先ほど紹介したサービスをリリースしています。今回は「WafCharm（ワフチャーム）」と、このCloudFastenerについて少し話せればと思っています。

（スライドを示して）ここはPaaSとIaaSの利用状況みたいなところで。ここは飛ばします。

クラウドでもセキュリティインシデントは起きている

（スライドを示して）ここから、クラウドのセキュリティについての話をしようと思います。Session1やSession2では、ユーザーさまやパートナーさまの視点で、どれだけ大変なのかを話していただいたのかなと思っています。なので、私のパートはおさらいというかたちで触れさせてもらえればなと思っています。

クラウド環境の場合は、クラウドベンダーがセキュリティ対策を実施しているだろうと思われていることがけっこう多いかなと思っています。そういった場合も、インシデントは、やはりクラウド上でも起こったりします。

1つはMFA（Multi-Factor Authentication）の未設定による「AWS」のアカウントへの不正ログインです。IDとパスワードが漏れてしまって、そのままログインされて、情報が抜かれてしまいます。

（スライドを示して）あとは一時はこういったのもあったかなと思うのですが、「S3」のバケットが公開設定されていて、そこから個人情報や機密情報が漏洩してしまった事例がけっこうあったかなと思っています。

クラウドのセキュリティのプロセス

では、そこをしっかり対策するにはどういうふうに考えていかなければいけないかに関しては、先ほども話があったかなと思うのですが、クラウドのセキュリティのプロセスを踏んで、いろいろと考えていかなきゃいけないかなと思っています。

（スライドを示して）ISMSなどを取得されている企業さまでは、こういったプロセスを踏んでいらっしゃるのかなと思っています。

まずは、企業活動を軸にしたリスクアセスメントを実施して、自分たちのビジネスに対してどんなリスクがあるかを洗い出す必要があります。そして、そのリスクを判断して、どういったデータを持っていて、そのデータを守るためにはどういうふうなポリシーで運用しなければいけないかを策定します。

そして3番目にある、具体的な実装の手順や、継続的に運用していくために、PDCAを回しながらセキュリティ対策のプロセスを回されているかなと思っています。

2番目や3番目のセキュリティポリシーや具体的な運用の実装をどういうふうにやらなければいけないかというところは、特にクラウドの環境では、苦慮されているケースがけっこう多いかなと思っています。

その中でも、Session2であったとおり、Well-ArchitectedやNIST（National Institute of Standards and Technology）のフレームワークとか、先ほどお話ししたMaturity Modelを参考にしながら、日々セキュリティ対策を実施されているのかなと思います。

セキュリティ対策はやりたくても先に進まないケースが多い

（スライドを示して）先ほどもあったAWS Security Maturity Model。これはセキュリティ成熟度モデルで、4段階のフェーズに分けて、どういったことを実装していけばセキュリティを強化できるかが記載されています。

AWS関連のお客さまやそういった界隈では、「まずはPhase 2までは対策をしましょう」と話すケースが非常に多いですが、見てもらってもわかるとおり、なんとなくやらなければいけない項目は書いてあるものの、実際に自分たちのWebシステムやアプリケーションではどういったことが足りなくて、どういったことをやっていくべきかみたいなところが、けっこう難しかったりするんじゃないかなと思っています。

なので、先ほどもあったように対策をやっていかなければいけなくて。目指す方針やモデルは認識できたけれども、そこに深い知識がないことによって、自分たちのシステムに落とし込みができなかったり、さらには工数不足で社内体制の構築が難しかったりする。「理解はできる。やらなきゃいけない」というところから先に進まないというケースは、多々発生しているのではないかと思っています。

「CloudFastener」について

そういった課題に対してアプローチできるサービスとして、10月11日にリリースしたCloudFastenerが、お客さまの課題を解決できるんじゃないかなと思っています。こちらのサービスはどういったものかというと、AWSの各セキュリティサービスを包括的に管理をして、フルマネージドでセキュリティサービスを提供するものです。

（スライドを示して）書いてあるとおり、「GuardDuty」を使ったり「Inspector」を使ったり、あとは「Security Hub」や「Config」「AWS CloudTrail」など、AWSのセキュリティサービスをフル活用して、資産の洗い出しを行ったり、セキュリティリスクの可視化、そして、OSやソフトウェアの脆弱性や設定ミスを情報収集して分析します。

そして、右側のCloudFastenerチームが、「本当に対応しなければいけないインシデントであるのか」を判断して、本当に必要なインシデントだけをトリアージして、お客さまに報告して対応していくというところを提供できるのがCloudFastenerです。

（スライドを示して）こちらには、CloudFastenerの特徴を書いています。下のほうに書いてあるところが、お客さまに一番メリットがある部分かなと思っています。

上の部分は、先ほど話したことと重複する部分もあるので割愛しますが、やはりAWSのネイティブなサービスを利用するので、圧倒的なコストパフォーマンスを実現できるかなと思っています。

こういったセキュリティの機能をオールインワンで提供するとなると、いろいろなサードパーティのサービスを複合的に使わなければいけなかったり、あとはSIEM（Security Information and Event Management）も海外生産を使うことによって、かなりコストが高くなったりするケースが非常に多いです。

しかし、CloudFastenerを使ってもらえれば、やらなければいけないセキュリティ対策を低価格で提供できます。

（スライドを示して）このあたりは、ちょっと飛ばします。

（スライドを示して）CloudFastenerと他社のセキュリティサービスの違いです。セキュリティ対策を実施していくためには、まずセキュリティの課題を特定して、そこを防御して、検知、対応、復旧を行う必要があります。

そういったところもCloudFastenerを使うことによって特定して、必要な防御をするサービスを機能オンにして、アラートを検知して、お客さまに通知することで対応していけます。こういったところをオールインワンで提供できるのが、CloudFastenerの1つの強みかなと思っています。

（スライドを示して）ここは先ほど図で示したものの詳細な内容を書いているので、飛ばします。

「CloudFastener」の導入方法

CloudFastenerはどういうステップで導入できるかというと、やはりこの手のサービスは、「CloudFastenerはこういった機能を提供するので使ってください」とするのは、けっこう難しかったりします。なので、前段階でアセスメントを行っています。

まず、アセスメント1では、お客さまのAWSの環境をヒアリングして、どういう対策ができているか、できていないかを洗い出します。そしてアセスメント2では、アラートやお客さまの環境の是正をして、最適な環境に持っていきます。

そしてCloudFastenerを導入することによって、是正した後に出てくるアラート（の中）で対応しなければいけないものについてどんどん対応していって、セキュリティ対策を強化していくことが、CloudFastenerの導入のイメージになります。

本当に何をやっていいかわからなかったり、リソースが足りないお客さまに関しては、CloudFastenerをまず検討してもらえればと思っています。

「WafCharm」について

（スライドを示して）ここからがWafCharmについてです。WafCharmは、何度もセッションで話が出てきたので、簡単に説明できればと思っています。

セッションでも出てきたとおり、AWSの運用の課題については、最適なルールの作り方がわからないとか、「AWS WAF」の専任の人材がいないのでどう運用していいかがわからなかったり、あとは、ルールを適用した後も新規の脆弱性が出たらどういうふうに対応していけばいいかわからない。それから、誤検知の対応をどうやっていいかわからないということが挙げられます。

AWS WAFは、AWSの環境にとって最適なソリューションだなとは思っているのですが、セルフサービスなので、こういった課題感がやはり出てきてしまいます。

（スライドを示して）そういったものに対しても、WafCharmをAWS WAFに連携することによって、まずAWS WAFに最適なWAFのシグネチャを提供できます。そうすることで、まずAWS WAFの防御機能を強化できます。

そして、提供したルールでトラブルが発生した場合は、WafCharmのサポートチームが日々対応して、新規の脆弱性のルールを提供したり、誤検知が出た場合は、シグネチャのカスタマイズをして、お客さまのAWS WAFの環境を最適にサポートできます。

（スライドを示して）ここは特徴なので飛ばします。

あとはシステムのアーキテクチャですね。（スライドを示して）左側がお客さまのAWSの環境で、右側がWafCharmの仕組みです。

お客さまのAWSの環境は、この3つのステップを踏んでもらうだけですぐに利用してもらえるので、AWS WAFを強化したいと思ったタイミングで、WafCharmを利用して、すぐに対策できます。なので、簡単に始められるのがWafCharmの1つの特徴になります。

あとは、日々の運用としては、お客さまのアクセスログを解析をして、WafCharm自身でのシグネチャともマッチングをかけています。

そして、マッチングをかけたもので、「これは攻撃しているな」といったものについては、ブラックリストを自動適用することも行っているので、AWS WAF単体で利用してもらうよりも、より強固に守ることができるのではないかと思っています。

（スライドを示して）こちらはWafCharmが提供している機能の詳細です。こちらは別途資料を共有するので見てもらえればと思っています。

ちょっと駆け足になってしまいましたが、CloudFastenerとWafCharmの紹介は、以上にできればと思っています。今回は料金の紹介などもできていないので、価格やサービスについてもっと知りたいとか、個別に商談がしたいとか、無料トライアルを実施したいというリクエストがあったら、ぜひお気軽に相談してもらえればと思っています。

私のセッションは以上になります。