【AWS Summit Tokyo 2017】AWS セキュリティアーキテクトが語る「クラウドセキュリティ指南」

「フロントエンドからバックエンドまで、ネットワーク層から上下のスタックと、AWSではあらゆる場所でログが取得できる。それらのログをS3に集約すれば、ログの管理・分析も非常に容易だ。たとえば、CloudTrailのメリットは70を超えるほとんどのAWSサービスでAPI操作ログを取得できること。例えば、最新のPolly(音声変換)やMachineLearning(ML、機械学習サービス)においても対応している」(桐山氏)

また、VPC Flow LogsとAmazon Elasticsearch Service、Kibanaによるセキュリティグループの可視化では、トラフィックを宛先ポートやIPアドレス、プロトコルなどを統計的に分析、グラフ化した。普段からデータをグラフとして視認することで、異常時に異常値を簡単に見つけられる。ほかにも、WAFとMachine Learningを組み合わせることで、IPアドレスリストの自動適用だけでなく、DDoS攻撃やC&Cサーバー用として大量に自動生成されたドメイン名のパターンを自動解析し、S3に保存したログと組み合わせてWAFのルールを自動アップデートさせるといった手法も紹介された。

桐山氏は最後に、これらの仕組みづくりは「リスクベースのセキュリティ戦略」と強調。自社のセキュリティリスクを分析して投資すべきポイントの切り分けと、対処法を選別するように説いた。もちろん、AWS上で稼働する仮想セキュリティアプライアンスなどを利用する手立てもあるが、ライセンスコストなどの問題もある。自社でAWSの機能・サービスを活用した”仕組みづくり”をしつつ、インテリジェンスはセキュリティベンダーから導入して適応型セキュリティアーキテクチャに反映するといった柔軟な運用も必要だろう。