2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
リンクをコピー
記事をブックマーク
清野隼史氏(以下、清野):次のトピックにいきたいなと思います。先ほどのお話にもあったとおり、セキュリティ対策は本当に千差万別で、やれることもいろいろあって、「そもそも何からやっていけばいいか」というような、いろいろな課題があるのかなと思っています。
ここで、AWSさんが出しているものや、日々の経験の中のテクニックやプラクティスを、このタイミングでちょっと聞きたいなと思っています。こちらは勝原さんにお願いしてもよいですか?
勝原達也氏(以下、勝原):はい。(スライドを示して)こちらに投影しているのは非常に一般論な話で、ある意味きれいな世界の話をしています。
統制は代表的なものですよね。実際はもうちょっとありますが、ピックアップしてみると予防的統制と発見的統制というものがあるでしょう。
予防的統制は、「そもそもリスクが起きないように対策していこうよ」というもので、発見的統制は、「起きちゃったらすぐに気づいてダメージコントロールをして、ビジネスでのインパクトを可能な限り小さく抑えて鎮火させていこう」という話です。これらは1回作り込んで終わりではなくて、ちゃんとサイクルを回していかないと外的環境みたいなものは変わります。日々刻々とアクセスしてくる新しい手法が出てくるわけで、それに追従していき続けることも同時に大事なわけです。
みなさまもたぶん実感はそうかなと思っていると思うのですが、予防的統制は大好きだと思うんですよね。ガイドラインにも「これをやりましょう、入れなさい」と書いてあります。それによってリスクは取り去られます。取り去られると、「ともすればある意味見なくてもいい」みたいな方向に行きがちなんです。
だけどこれをやり過ぎると、がんじがらめになって気づくと過剰統制になっていて、「何かビジネスを立ち上げたいのに、例えばAWSサービスを使いたいのに中央の部門が、『このサービスは使いません』と言っていて説得するのが大変です」とか、そういう経験はあると思います。効果がけっこうわかりやすい分、制限が加わるので過剰統制になりやすいというか、なることに注意しなければいけないですね。
発見的統制は、逆にクラウドみたいな環境。オンプレミスだと、ログを集めるとか、何が起こっているのかを全部把握するのは一苦労だと思うのですが、クラウドでは情報を集めて可視化するところをサポートする機能はけっこうたくさんあります。
それを見ていけばいいのですが、見ていくということであれば、導入する時に環境の影響はそんなにないんですね。制約を加えたりするわけではなかったりするので、基本的にはそんなに影響がないです。ただ、可視性が高くなった、環境の影響が少ないから何か見始める。
ただ、何を見ればいいのかわからない、何の時に動けばいいのかわからない、どういうふうに継続的に回していけばいいかわからないみたいな話があるので、逆にこっちは運用へつなぐ難しさがあります。
勝原:(スライドを示して)セキュリティは運用につながっていないと効果を発揮しきれないので、運用というキーワードが意識されるのが右側ですね。こういった話があるのですが、「ではどうやってやっていけばいいの?」という時によく言われる話をここに書いています。
AWSとしてはAWS-Well-Architectedフレームワークというセキュリティの柱があります。これはさまざまなお客さまを支援してきた中のベストプラクティスですが、これである意味自分たちのシステムの健康診断ができます。「できているところはここ。できていないところはこれ」という色分けができます。
かたや業界標準のいろいろなフレームワークがあります。ISO27001やNISTのサイバーセキュリティフレームワーク、CIS Benchmark、PCI-DSSなどがあります。
一部AWSにテーラリングされているガイドラインはありますが、わりと一般的な情報システムという観点で書かれている場合が多いので、そのまま見て自分たちでどうすればいいのか、「細部でAWSで実装するにはどうすればいいの?」というところを決めるのにはけっこう苦労した経験があるんじゃないかということも同時に感じます。
最後は、専門家の経験に基づくプラクティスとして、手前みそですが「AWSアカウントで最初に作ったらやる10のこと」というスライドを2022年に更新して、セキュリティのビギナーズのサイトに上げていたりします。
あるいはAWSのSecurity Maturity Modelという成熟度モデルみたいなものも、もしかしたら参考になるものかもしれないなと思って公開していたりします。
こういったものは、どちらかというとハイレベルなところから「課題はこうである。だからだんだん落としていって細かいところでHowをどういうふうにするか」と、トップから落としていくアプローチとはやや対照的です。
取り組んでいるいろいろなお客さまの支援をしていると、「いろいろなビジネス、いろいろなシステム、いろいろなワークロードがあるけれど、まずはこれをやっておいたらいいんじゃないの?」というものが、ある程度ピックアップして見えてくる部分があります。
Howから入り過ぎるのはどうしても手段に偏るので良くない部分もあるのですが、「まずこれは」というものはあえてHowから入って、何に取り組めばいいのかをHowで並べて、「その理由はこうだからです」と示すといいと思います。
自分たちの組織に「どっちからいくのが合っているのか」を選ぶ時に、常にトップダウンである必要もなく、場合によってはHowからでフィットする会社さんもあります。なので、やり方はいろいろあっていいのですが、今日よりも明日をちゃんとセキュアにしていくという目的意識を持って使っていくことが大事なのではないかと感じています。
臼田圭祐氏(以下、臼田):いいですか?
勝原:はい。
臼田:このあたりのフレームワークもいろいろあって、「どれからやったらいいんだ?」みたいなことがけっこうあるんですけど(笑)。
一方で、先ほど「トップダウンから」という話があったのですが、ボトムアップでやってもらうところで……。「最初にやるべきセキュリティ設定10のこと」の中にもたぶんあると思うのですが、AWS Security Hubを使ってもらうのは、めちゃくちゃ手っ取り早いボトムアップの現状の確認の手法だと思うんですね。
AWS Security Hubはいくつか機能があるのですが、メインで使っていく機能はとりあえずポチって有効化して、その中にいくつかのセキュリティチェックの項目があります。ぜひAWSセキュリティベストプラクティスのルールをチェックしてもらえればと思うのですが、それを有効化してもらうと、AWS環境ですでに出来上がっているものの中で、設定が緩いものを全部洗い出してくれるんですね。
例えば「セキュリティグループでSSHのポートが開いています」とか、「IAMユーザーのアクセスキーが作られていて、あまり使われていない」とか。そういうセキュリティ上、本当に具体的な設定レベル、リソースレベルの危ないものをあぶり出してくれるので、ボトムアップ的なところではまずSecurity Hubを使ってそういうものを洗い出して全部潰してくれるところからやってもらうと非常に良くて。
Security Hubを入れてもらうだけで、冗長が可視化できるんですよね。自分たちのAWS環境をちゃんと見ていなかったけど、「あ、この設定は緩くなっているんだ」みたいなところにすぐに気づけるんです。これはなかなかないことなんですよ。
今までのセキュリティ対策は、緩い場所に気づけるようなところはなくて、攻撃を受けてから気づくみたいなことが多いと思うんです。
AWSの環境など、最近だとクラウドではいわゆるCSPM(Cloud Security Posture Management)と言いますが、そういったものができるので、とりあえずSecurity Hubを有効化してほしいなと僕は常々言っています(笑)。
このタイミングで会場のみなさんにも聞いておきたいのですが、「Security Hubを有効化していますよ」という人がいたら挙手してください。
(会場挙手)
半分いるかいないかぐらいですかね。手を挙げていない方は、帰ったらすぐにSecurity Hubを使ってください。ボトムアップ的なアプローチなので、それをやった上で+αで、「そもそも、じゃあなんでSSHのポートが開いていたんだ?」みたいなところ。
なぜ・何(ということ)をやっていって「担当者が悪い」みたいな感じになっちゃうとアレですが、そうではなくて、セキュリティグループのSSHのポートを開けちゃっているということは、たぶん担当者の人がよくわからずにやっているとか、いろいろとやりくりしている中で一時的に開けたらそのままにしていたとか、いろいろな要因があると思うんですよね。
そういうところを、本当は組織の仕組みとしてカバーしていかないといけません。「セキュリティグループをそもそも使わないでできるようにSystems Manageを使いましょう」とか、「ポートを開けたとしてもすぐに閉じるようにしておきましょう」とか、いろいろな対策があると思います。
そういうことをやっていくために、こういうフレームワークを参考にして取り組んでいくといいのかなとバランス的には思います。どっちもやってもらったら良くて、とりあえず今は何をしたらいいかわからない場合には、Security Hubを有効化してください(笑)。
清野:ありがとうございます。一歩目としてまずはSecurity Hubを有効化してから、このあたりに取り組んでいこうというお話でしたね。ありがとうございます。
清野:こちらは佐竹さんにも聞いてみたいのですが、こういうプラクティスは1人でやれるものではなくて、やはり組織としてやっていくという話が一番大きいのかなと思っています。
佐竹さんは企業と一緒に伴走していくタイミングがあるんじゃないのかなと感じるんですが、プラクティスを導入するところを一緒にやっていくみたいな支援はあるんですか?
佐竹陽一氏(以下、佐竹):実際にあるんですが……。先ほど「運用が難しい」と話があったんですが、これもけっこう難しいです。これ(運用)がいきなり問題になるわけじゃないですよね?
清野:はい。
佐竹:現場の温度感が上げにくいということがけっこうあるので。私の最近の経験でいうと、勝手にやらせてもらえるように権限をある程度もらっておくのがいいかなと思います。
私みたいなリセラーの立場からすると、お客さんに「こうやったほうがいいですよ」と言っても、どうしてもやってもらえなかったりするので。なので、最近はお客さんと相談するのも、相談するのは後でいいので先に封じちゃって、その後「こんなことが起きていましたよ」というふうにしていったほうが、おそらく安全で速いんだろうなと強く思い始めているところです(笑)。
清野:ありがとうございます。ではある意味で突破力というか推進力というか。まず始めちゃうのがけっこう大事だったりするということですか。
佐竹:ちょっと言い方が悪いのですが、それで何か問題が起きた時に、リセラー、ベンダー、我々のせいにされやすい部分があるので、そういう視点でもやらせてほしいと思っているんですよね。他人事じゃないんですよというのもあります。
清野:なるほど。もう本当にそこをやることが、ただのアドバイスではなくて、自分たちの価値を……。
佐竹:自分の責任だと思って言っています。
清野:ありがとうございます。そうですね。今の話の中で、ベストプラクティスだったり、「その中で実際にどう使っていくんだろう」みたいな話もけっこういろいろと深く聞けたなと思っています。
(次回に続く)
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05