国内最大級のクラウド会計システムの基盤を
セキュアに保つ秘訣とは?
クラウドサービスの稼働環境をAmazon EC2インスタンスからAmazon EKSコンテナ環境へと移行したことに伴い、クラウドセキュリティ対策の見直しが必要となった。
Trend Micro Cloud One™を導入することでセキュアなコンテナ環境を実現。今後はCloud Oneの利用を拡大して、さらなる環境全体の堅牢化かつ効率的なセキュリティを検討。
中堅・中小企業や個人事業者向けの業務用クラウドサービスを提供するfreee株式会社(以下、freee)。会計サービス「freee 会計」で広く知られる同社だが、そのほかにも人事労務や会社設立、税務申告、マイナンバー管理など、バックエンド業務を支援するクラウドサービスを提供している。
同社はこれらのサービスをアマゾンウェブサービス(AWS)のクラウド基盤上で運用しており、そのセキュリティ対策には万全を期している。サービスのセキュリティ対策を担うPSIRT(Product Security Incident Response Team)を組織しており、多様化・高度化するサイバー攻撃の脅威からサービスを守るために、異なるセキュリティ対策を幾重にもわたって張り巡らせる『多層防御』の体制を構築している。
こうしたセキュリティ対策の中核を担っているのが、トレンドマイクロのクラウドセキュリティ製品Trend Micro Cloud One - Workload Security™(以下、Workload Security)だ。かつてfreeeのサービスはAmazon Elastic Compute Cloud(以下、Amazon EC2)のIaaS環境上で稼働しており、Amazon EC2インスタンス上にWorkload Securityのエージェントを導入することでIPS/IDSを含めた多層防御を実現し、サービスのセキュリティを確保していた。
しかしPSIRT 機関長 杉浦英史氏によれば、事業規模の拡大に伴い、Amazon EC2上でのサービス稼働に限界を感じてきたという。
「Amazon EC2インスタンスはデプロイやオートスケーリングに手間と時間がかかり、また将来のマイクロサービス化によるサービス細分化を視野に入れると、Amazon EC2インスタンスの単位では管理が追いつかなくなる恐れがありました」(杉浦氏)
そこで同社はアプリケーションの稼働環境をAmazon EC2から、AWSのKubernetesマネージドサービスであるAmazon Elastic Kubernetes Service(以下、Amazon EKS)へと移行し、Amazon EC2インスタンスより小さな単位で柔軟にアプリケーションを管理できるコンテナ環境を導入することにした。この移行に当たっての最大の課題の1つが、それまで利用してきた Workload SecurityがAmazon EKSの環境でも正常に動作するかどうかという点だった。しかし杉浦氏によれば、これは杞憂に終わったという。
「コンテナを稼働するサーバとしてAmazon EC2を選択したこともあり、Amazon EKS環境上でもWorkload Securityはこれまでとほぼ同じ構成と操作性のまま利用できました。さらに『Amazon OpenSearch Service』と連携させることで、Workload Securityと他のセキュリティ製品のログを集約して一括検索できる環境も実現できました」
2021年の年末、Javaのオープンソースライブラリ「Apache Log4j」に深刻な脆弱性が発覚し、世界中の企業やSIerが対応に追われた。幸いなことにfreeeのサービスがこの脆弱性の影響を直接受けることはなかったが、杉浦氏によれば「Workload Securityは他のセキュリティ製品と比べ、最も早くこの脆弱性に対処して攻撃をブロックしてくれたので、あらためてその信頼性の高さを実感しました」という。
WAFとWorkload SecurityのLog4jに対する検知状況のグラフ
※画像はAWS Summit Online Japan 2022、freee杉浦氏のご講演動画より抜粋
赤はWorkload Securityの検知数、青はWAFによる検知数を示す。右に進むにつれて、時間軸が進んでいることを示す。本グラフからは、攻撃の初期段階ではWorkload Security(赤)のみが攻撃を検知、ブロックしていたこと、また難読化された攻撃もブロックしていたことが分かる。
ただし、Amazon EKS環境上でWorkload Securityを利用することによる懸案事項も無視できなかったという。
「やはりコンテナクラスタ環境に少なからぬ処理負荷がかかるため、コンテナのCuncurrencyが下がってしまいます。それに、そもそも私たちが目指しているのはコンテナ環境のセキュリティ強化だけではなく、AWSのクラウド環境全体のセキュリティ強化でしたから、さらに改善の必要性を感じていました。」
そこで同社が現在進めているのが、Workload Security以外のTrend Micro Cloud One™(以下、Cloud One)製品群の活用によるAWS環境全体のセキュリティ最適化および強化だ。現在、Workload Securityでは、主に①ウイルス対策機能②IPS機能③セキュリティログ監視機能を利用しているが、前述の①②を他のCloud One製品群にオフロードするという構想だ。
具体的には、Trend Micro Cloud One - File Storage Security™(以下、File Storage Security)を新たに導入してAmazon Simple Storage Service(Amazon S3)上でアンチマルウェア処理を実行し、Amazon EKSノード上のWorkload Securityのアンチマルウェア処理をオフロードするとともに、コンテナ内でのファイル書き込み処理をしなくても良い構成を検討している。そうすることでコンテナをRead onlyで起動することができるようになり、改ざんや侵害のリスクを低減できる可能性がある。
また、Workload Securityで行っていたIPS処理を、新たにTrend Micro Cloud One - Network Security™(以下、Network Security)を導入することでオフロードし、Amazon EKSノードの処理負荷軽減を期待している。
加えてTrend Micro Cloud One - Container Security™(以下、Container Security)を導入し、コンテナイメージ内の脆弱性やマルウェアのスキャンの実施およびコンテナのデプロイ制御・実行環境のセキュリティ対策の強化も検討している。
freeeのAWS構成に適したCloud Oneの最適化を行うことで、コンテナのConcurrencyをあげるとともに、セキュリティ機能を分散させることで単一障害点とならないメリットも享受できる予定だ。
環境に合わせたセキュリティ機能の最適化
同社では今後もCloud One製品群をより有効活用し、サービスのセキュリティ対策をさらに向上させていきたいとしている。具体的にはAWSのALB(Application Load Balancer)配下にNetwork Securityをデプロイし、Amazon MacieとFile Storage Securityを併用するなど、AWSのサービスとCloud Oneとをうまく組み合わせることでさらに、機能を相互補完し、高度かつ効率的なクラウドセキュリティの実現を目指すという。
「両社の『より良い組合せ』を日々追求しながら、継続的にクラウドセキュリティ対策を改善していきます。しかしいくら優れたサービスを導入しても、結局それを使うのは人ですから、人のスキルアップにも力を入れていきたいと考えています」(杉浦氏)
導入製品・ソリューションの製品概要資料
"Cloud Oneの各種製品をうまく組み合わせて利用することで、freeeのサービスを支えるAWSのクラウド環境全体をセキュアに保つとともに、コンテナ基盤の効率的な運用が実現できそうです"
杉浦 英史 氏
PSIRT 機関長
業種
会計サービス
地域
東京都、日本
従業員
利用環境
Amazon EKS
※製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
※記載内容は2022年6月現在のものです。内容は予告なく変更される場合があります。
Get started with Trend today