IDコラム

トップページ > コラム >  【エバンジェリスト・ボイス】I...

【エバンジェリスト・ボイス】ID - McAfee - AWS 2018/06/06 (水)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹


こんにちは!
CSS部エバンジェリスト フェローの関原です。

時間の流れは楽しい時ほど速いもので、爽やかな5月もあっという間に終わってしまいました。東京ではこの5月もさまざまなイベントが開催され、GWから月末までいろいろ楽しむことができました。5月最後の金曜日には上野の国立科学博物館に出向き、3月から大人気で常に大混雑の特別展「人体 ― 神秘への挑戦 ― (※1)」をやっと観ることができましたのでちょっとご紹介します。

 ※1 外部リンク:特別展「人体 ― 神秘への挑戦 ― 」

本イベントはTVのタイアップで人気コンテンツとなりました。その他にも、これまでのような資料展示だけではなく最新の研究成果をふまえた「人体ネットワーク」に関するパラダイムシフトをアーティスティックに表現し、展示したことも人気の理由ではないでしょうか。

今回、さまざまな研究結果からあるパラダイムシフトが導き出されています。それは、生命活動のコントロールについて「脳が中心となり各器官をコントロールしている」と思われていたものが、実は「各器官がメッセージを交換し、互いに協調してコントロールしている」方が真実に近いということです。たとえば、運動をすると筋肉から脳に向けて記憶力をアップさせるメッセージが送信され、その行動を忘れないように支援します。あるいは、心臓が疲れた時には腎臓に向けて血管を拡げたり排尿を促すメッセージが送信されることにより、血圧を下げ心臓の負担を和らげたりといった具合です。

これを観たときに、以前どこかで聞いて心に残っているこんな言葉を思い出しました。

 「中枢は末端の奴隷」

つまり、私が「喉が渇いたな」と思って手を動かして目の前のコップを取り水を飲むとき、それは「脳が自身で考え、手の筋肉に命令してコップを取らせた」のではないということです。全身の細胞もしくはその一部が水分不足のメッセージを出し、脳は「そのメッセージに従い手の筋肉に指令を出した」という意味ですね。これは人間の行動のトリガーがどこから来るのか、そもそも感情はどのように生まれるのかと考えたときに、非常に得心のいくロジックだったのを覚えています。

また、関連して思い出すのはこんな言葉です。

 「腸は第二の脳」

最近は腸内フローラの構築・可視化を中心とした腸活ビジネスが大流行していますが、歳を取って体力が衰えてくると「腸は第二の脳」の意味が本当によくわかります。やはり腸の調子が悪い時は集中力が続かず、感情も安定しなくなるものです。原始的な生物は腸がコアとなる器官ですが、われわれ人間のコアも実は腸なのではないかと時折本気で考えることがあります。

これから梅雨と熱い夏という体に厳しい季節となります。このような人体のコントロールに関するパラダイムシフトも考え合わせ、体のケアをしていきたいですね。

--

さて、5月に参加した最後のイベントは月末に品川で行われたAWS Summit Tokyo 2018でした。このイベントは東京では5年以上前から開催されていますが、先日AWSからソリューションアーキテクトの認定を受けたことや、当社が現在AWSに関連したビジネスを推進していることもあり今年初めて参加しました。

AWS Summitは、この手のイベントではおなじみの基調講演/自社講演/パートナー講演/テクニカルセッション等を数日間で多数展開するもので、その盛り上がりは一頃のネットワーク系イベントのようで「初めてなのになつかしい!」というのが第一印象でした。今年はDay2に当社の長年のパートナーであるマカフィー株式会社が ”ハイブリッドクラウド利用で考えるべき「AWS用セキュリティ対策」とは” というセッションをされたのでちょっと拝見しました。

セッションではクラウド利用に際し、セキュリティ面で考慮すべきポイントと以下3つのMcAfeeのセキュリティプロダクトを関連付けて整理し、紹介していました。

 ・McAfee Cloud Workload Security(CWS)
 ・McAfee Virtual Network Security Platform(vNSP)
 ・McAfee Skyhigh Security Cloud(Skyhigh)

CWSはMcAfee ePolicy Orchestrator (ePO) というMcAfeeの統合セキュリティ管理製品を使用することでオンプレ・クラウドを問わずシステムがさらされている脅威を一元的に管理可能なプロダクトです。

AWSにはAWS上の各種ログ(VPCフローログ、CloudTrailイベントログ、DNSログ)を分析するGuardDuty(※2)というサービスがあります。CWSはこのGuardDutyとAPIで連携したうえで脅威フィードとし、クラウド上で発生したアラートの確認や修復を可能とします。ePOを使用しているので当然同じコンソールでオンプレのセキュリティ管理も可能であり、最新版ではDockerコンテナ単位での管理も可能になったということです。これは当社が最も得意とするePOと連携できるということで、個人的に一番興味深いプロダクトでした。

 ※2 外部リンク:Amazon GuardDuty

続いてvNSPは昨年アナウンスされたクラウド/ネットワークという切り口のプロダクトです。一言でいえばNSP(高シェアを誇るMcAfeeのIPS)の仮想版(※3)です。しかし、単に仮想化されているだけではなくクラウドに特有のセキュリティ要件をカバーすることができます。また、AWS等クラウドではセンサーをオンプレのようにアタッチできないため、複数インスタンスとリダイレクトを使用した特別なアーキテクチャをとる必要があります。詳細についてはこの記事(※4)がとても参考になりました。このあたりパフォーマンスを保った上でのトラフィックフローの設計と実装はクラウドの特徴を知り尽くしていないとなかなか難しいと感じました。

 ※3 外部リンク:仮想ネットワークを保護するインテリジェントな脅威対策

 ※4 外部リンク:マカフィーのvNSP on AWSの構造をシニアセールスエンジニアに訊いた

最後に、SkyhighはMcAfeeが昨年買収したCASB(※5)の最大手Skyhigh Networksが開発したプロダクトです。シャドウITやクラウド利用のルール違反が大きな問題となる現在、今年最大の注目ソリューションかもしれません。クラウド利用状況の可視化、クラウドAPIと連携したデータの管理、そして各種のレポート機能といったオンプレからクラウドにまたがるデータ管理が一貫して可能です。今話題のGDPRもそうですがコンプライアンスの面でも強い味方(※6)です。

ちなみに当社でもPoCを実施しましたがやはり優れた可視化能力ですね。あんなものやこんなもので想像以上の数のクラウド利用が白日の下にさらされてしまいました…
1点、コンサルタントとして考えてみるとシャドウITやクラウドサービスの利用方法の問題は現実に即したワークフローと一貫したポリシーが重要なので、その点は認識しておく必要がありますね。

 ※5 外部リンク:CASBとは?シャドーITも把握するクラウド時代のセキュリティ対策

 ※6 外部リンク:CASBWGリレーコラム(第3回)「GDPRとCASB」


--

これまでは「ファイアウォールを境にしてオンプレのシステムが中でインターネット上のシステムは外」といった区分けがされており、セキュリティ対策、また資産やプロセスの可視化はそれぞれ異なるレベルで適用されてきました。しかし現在のシステム設計の考え方は「クラウドファースト」さらには「クラウドオンリー」という言葉も出てくるくらいアーキテクチャやトポロジーレベルでパラダイムシフトがおきています。この状況下でこれまでのような「内と外」といった考え方で一貫しないセキュリティ対策を適用していては、日々生じる新たな攻撃手法に対応しきれないことはご理解いただけるかと思います。

現在皆様のクラウド利用方針がどのようなものであるかにかかわらず、パラダイムシフトは現実です。今後は是非、オンプレ・クラウドを包括した現状すべてのセキュリティ対策をアセスメントし、シームレスなセキュリティ対策を適用していただくことをお勧めします。


ではまた、次回のエントリーでお会いしましょう。

Hiroki Sekihara CISSP, CEH, PMP, CCIE #14607

お問い合わせ