構成管理の課題を解決する:パッチの適用と S3 バケット
私は先日、Dark Reading に寄稿した 2 部構成の記事で、Equifax を始めとする大規模の企業や組織でのパッチ適用を難しくしている、技術的および組織的な課題について説明しました。Secplicity の最近のブログ記事で、最近多発している AWS S3 バケットのセキュリティ違反を取り上げましたが、問題の本質は共通するものです。どのような環境でも、組織内の誰かが会社のデータのセキュリティに影響するスクリプトやソフトウェアの更新を担当することになり、作業そのものはその担当者に委ねられることになりますが、全体として見れば、組織的ないくつもの問題が発生し、会社全体のシステムのセキュリティに影響する可能性があります。
構成やパッチの適用に関連するこれらの問題を解決する有効な手段とは、どのようなものなのでしょうか。私は、ルイス V. ガースナー氏の「Who Says Elephants Can’t Dance?(巨象も踊る)」という著書のある言葉を思い出しました。IBM にとって大きな転換期となった 1993 年 4 月から 2002 年 3 月までの回顧録である同書で、ガースナー氏は、人の行動とその効率を透明化することで問題を解決した過程を説明しています。
People do what you inspect not what you expect.
~ 人はあなたが期待することをやってくれるわけではない。あなたに調べられるとわかっていることをやるものだ。
従業員よりも CEO としての個人の利益が強調されているように思われますが、実際には当時の IBM は衰退期にあり、当時の彼の決断によって会社が今日まで存続できたとも考えられます。透明性と追跡を可能にするプロセスと制御を実装すれば、問題が明らかになります。そして、問題が明らかになれば、その解決策を見つけられます。企業は、従業員がシステムにインストールするソフトウェア、特に重要なデータにアクセスするものを把握し、何らかの形のインベントリとプロセスを使って、これらのシステムを更新する必要があります。このような種類の追跡と制御を指す言葉として、構成管理という用語が使われます。
セキュリティと構成管理に関する旧式の方法論で問題なのは、企業のスピードを低下させる要因となり、結果として市場における競争力を低下させる原因になってしまった点にあります。セキュリティ検証に対してエキスパートの数が少なかったために、セキュリティ関連の変更によって最終的にはプロジェクトに多くの遅延が発生し、プロジェクトそのものが別の方向へと向かって進むことになりました。そこで、多くの企業が、このようなプロセスや制御の呪縛から逃れ、アジャイル、DevOps などのプロジェクトや運用タスクの管理方法へと移行しました。そして、新しいアプリケーションをクラウド環境に用意して一夜にして運用を始める、時代の先端を行くスタートアップ企業のようなやり方を選択しました。
この革新的プロセスへの移行では、子供をいきなり水に投げ込むようなことのないように、十分に注意する必要があります。アプリケーションをクラウドに移行する場合、AWS などのプラットフォームであれば、セキュリティや構成の管理を何回かやり直すこともできます。私は、SANS に提出した「Balancing Security and Innovation with Event Driven Automation(イベント駆動型の自動化によるセキュリティとイノベーションの両立)」という論文で、相反する利益を考慮したいくつかの展開戦略を検証しました。この論文では、Equifax で使用されていたような「事後スキャン」と展開前にソフトウェアを検査するシステムの違いも考察しています。
毎年開催される、Amazon 最大のカンファレンスである AWS re:Invent では、今年も、セキュリティとコンプライアンスの自動化方法に関する多くのセッションが予定されています。このカンファレンスに登録された方は、Community Dayのセッションでの関連トピックのプレゼンテーション、「DVC304 – Compliance and Top Security Threats in the Cloud – Are You Protected?(クラウドにおけるコンプライアンスと主なセキュリティの脅威、そしてその対策)」にも、ぜひご参加ください。re:Invent に参加されない方も、イベント開催後にこれらの全セッションが録画形式でオンライン公開される可能性が高いため、公開後にご覧になることをお勧めします。
アプリケーションをクラウドプラットフォームで運用しないことを選択した場合は、どうでしょうか。AWS などのクラウドプラットフォームで提供されている多数の自動化の仕組みやツールを独自に構築することになりますが、クラウドでのセキュリティの自動化に使用されるすべての原則は、技術的にはクラウド以外の環境にも実装できるものです。システムやソフトウェアのインベントリを作成するシステムとプロセスの実装は、どのような環境でも可能であり、そういった仕組みを実装すれば、パッチを必要とするアプリケーション、また、セキュリティの問題によってコンプライアンス違反の構成で動作しているアプリケーションを把握できるようになります。セキュリティを理解している人が自動化の仕組みを導入すれば、システムの迅速な分析が可能になり、人的エラーの防止に役立ちます。
電話、IoT、プリンタ、ネットワーク機器などの環境内のすべての機器を対象にしようとすると、構成管理が膨大になり、困難な作業になることが予想されます。そのため、最も価値が高く、盗まれたり破壊されたりした場合に最も被害が大きい資産から始めることをお勧めします。重要なデータの保存やアクセスに関係するシステムには、ネットワーク、パッチ、および展開の最も厳格なルールを実装することになるでしょう。構成管理や展開のシステムは、組織のセキュリティにおいて極めて重要な要素であるため、環境内のソフトウェアや構成を可視化し、十分なリソースに投資して、特定されたセキュリティの問題を迅速に修正できるようにしておく必要があります。— Teri Radichel(@teriradichel)