「コロナ禍対応」「DX(デジタルトランスフォーメーション)」「働き方改革」といった文脈で、企業のクラウドシフトやテレワークの導入が一気に進んでいる。同時に、「ゼロトラスト」志向でセキュリティ対策を講じることが求められているが、その実現は容易ではない。ここで、Elastic Stackを活用してログ監査システムを構築したのがクリエーションラインだ。その具体的な中身とは?──Elasticsearchが開催した注目ウェビナーのエッセンスをお届けする。
Elasticsearchは2021年11月9日、「ゼロトラストセキュリティの『はじめの一歩』」をテーマとするウェビナーを開催した。「Elastic x Creationline」という冠が付いており、同社のソリューションを積極的かつ効果的に活用している企業の代表として、Creationline(クリエーションライン)の担当者を招聘。ユーザーの視点も織り交ぜながらセキュリティに関する最前線の情報を発信したイベントには多くの視聴者が参加し、終始活況だった。
冒頭でElasticsearchの鈴木征人氏(コマーシャル アカウント エグゼクティブ)が同社の概要を紹介すると共に、セキュリティ領域でのこれまでの歩みを概説した。強力な検索技術を出自とし、その検索の力を使ってセキュリティの課題にアプローチしているという独自の立ち位置を強調。「SIEMやエンドポイント、そしてクラウドと、これだけ幅広い範囲をカバーしている単一のソリューションは他に例をみません」と鈴木氏は視聴者に訴えた。
特に最近、同社が謳っているのが「Limitless XDR」というコンセプトだ。最後の「DR」はDetection and Responseのことであり、Xに様々な対象を想定する。つまりエンドポイントであればEDRであるし、ネットワークであればNDRといった具合だ。エンドポイントやネットワーク、クラウドなどの挙動を示すログデータを大量に収集し、それらを解析することで攻撃を可視化しようとする多面的アプローチがXDRである。さらに、ユーザーが実際に使う際に「何らかの上限や制限があってはいけないとの想いから『リミットレス』と付記した上で力を注いでいるのです」と鈴木氏は話す。
拡大画像表示
具体的には、「Limitless visibility(可視化の対象)」「Limitless data(データの種類や量)」「Limitless analysis(解析手法)」「Limitless value(投資効果や利便性)」それぞれに上限や制限が発生しないように機能を強化・拡大・洗練させ続けるという。直近ではクラウドセキュリティを手掛ける企業を買収するなど、想いを着々を形にしていることをあらためて強調してオープニングトークを終えた鈴木氏は、そうしたElasticsearchのソリューションを巧みに活用している企業の例としてクリエーションラインを紹介。次の講演者となる日比野恒氏(クリエーションライン データ分析テクニカルエバンジェリスト)にバトンタッチした。
事例講演:クリエーションライン
この1〜2年でリモートワークが一気に増えたことは周知の通り。自宅から社内システムやクラウドサービスに直接アクセスすることが常態化し、従来のように、社内と社外にファイアウォールなどの境界を設けて対策することが難しい昨今だ。そこで、社内外を問わず全てのアクセスを信用しない「ゼロトラスト」という考え方に脚光が当たっている。その実践の一環としてログ監査システムを構築したのが、技術力に長けたテクノロジー企業のクリエーションラインだ。
クリエーションラインは、アジャイルやDevOpsといった先進的手法を得意とし、クラウド技術、コンテナ技術、オープンソース等に強みを持つテクノロジー企業。ユーザー企業に限らず通信事業者やITベンダーにも技術提供するなど、先進性と技術力の高さに定評がある。同社は2019年、オフィス内に設置していたファイルサーバーの老朽化に伴い、クラウド移行の検討を開始した。移行先としてGoogle Driveを選択、2021年3月を目途にオンプレミスのデータを移行することになった。
移行を企画している最中に新型コロナウィルス感染症(COVID-19)によるパンデミックが発生、2020年3月からフルリモートでの業務を開始した。そんな折、「Google Driveへの移行に伴い、ゼロトラストの考え方を取り入れる必要があるのでは」という議論が社内で巻き起こり、はじめの一歩としてGoogle Driveの利用状況を監査するシステムを構築することにした。
拡大画像表示
コロナ禍を機にゼロトラストを志向
Google Driveの利用状況を監査するシステムとは、監査ログを取得して必要な形式に加工したものを可視化する仕組みのこと。日比野氏は、「そのためにはまずGoogle Driveから監査ログを取得する必要がありますが、それには管理コンソールを使う、BigQueryに出力する、Reports APIを使うという3つの方法が存在します」と説明する。
管理コンソールは、Google WorkspaceのBusinessエディション以上のユーザーに提供されるもので、ブラウザの操作でアイテム名やイベント名など複数の項目でログを検索できる。非エンジニアでも容易に使いこなせるのがメリットとなっているが、常に人手によるGUI操作が求められるため、継続的なログ取得は難しい。
BigQueryは、Googleが提供するデータウエアハウス。BigQueryには標準でログが出力されるので、非エンジニアでもログの収集に苦労することはないが、検索や分析を行うためにはSQLのスキルが必要となる。また、BigQueryを利用するには、Google Workspaceの上位エディションであるEnterpriseエディションが必要で、監査ログの収集のみを目的とした場合、コストが割高になってしまう。
Reports APIは、必要なデータをカスタマイズして取得するためのAPIで、Google WorkspaceのBusinessエディション以上で使える。APIの実行、JSONのパース処理といったエンジニアリングスキルが求められるが、プログラムを組むことで、継続的にログを自動収集することが可能になる。
テクノロジー企業であるクリエーションラインは、Reports APIを使った方法を選択して、監査ログを収集、分析するシステムを構築することにした。この監査システムは「色々な種類の具材(ログ)を収集し分析できるプラットフォーム」という意味を込めて、「HARUMAKI(春巻)」というプロジェクト名を冠して進められた。HARUMAKIのキーテクノロジーとして採用したのがElasticの提供するElastic Stackである。
開発負担の軽減を重視してElasticを選択
オランダ発で現在は米国にも本社を置くElasticは、オープンソースの検索エンジンである Elasticsearchの開発企業。同社は、Elasticsearchだけでなく、可視化ツールのKibana、データ収集ツールのLogstash、Beatsという4つのプロジェクトを手掛けており、これらを総称してElastic Stackと呼んでいる。
日比野氏は、「Elasticを採用したポイントの1つが、Filebeat Modulesが用意されていることです」という。Filebeat Modulesは、Google CloudやMicrosoft Azure、Office 365、AWSといったパブリッククラウドサービスのログを収集、加工する機能を提供するモジュール群で、Google Workspaceもサポートしている。
Google Workspace の場合、Filebeat Modulesにパラメーターを設定するだけで、Reports APIを定期的に実行してJSONのフォーマットをElasticsearchの中に取り込むという、ログのパース処理が行えるようになる。エンジニアの開発負荷を軽減できる点が、大きな評価ポイントとなった。
HARUMAKIは、FilebeatによりReports APIからGoogle Driveの監査ログを取得し、Logstashで分岐してElasticsearchとアーカイブ用のAmazon S3に同じものを蓄積、Elasticsearchで加工してKibanaで可視化するという構成になっている。FilebeatとLogstashの間には、今後取り扱うログの量が増えた時に備えて、スケールアウト性を考慮した分散メッセージキューのApache kafkaを挟んでいる。
拡大画像表示
サーバーレスアーキテクチャにこだわり
HARUMAKIがこだわったのが、サーバーレスなアーキテクチャ。Filebeat、LogstashはコンテナでIaaS上に構成、ElasticsearchとKibanaはパブリッククラウドサービスとしてElastic Stackを利用できるElastic Cloudを採用した。IaaSにはElastic Cloudとプライベート接続が可能なAWSを採用し、Elastic CloudはAWSの東京リージョンにデプロイした。
拡大画像表示
日比野氏はHARUMAKIの導入効果として、Kiabanaによる可視化を挙げた。一般的にデータを分析しようとなると、Query言語や可視化のためのツールを駆使するケースが多い。Kibanaは容易かつリッチにデータをビジュアライズするため、非エンジニアでも監査を行えるようになる。利用者のハードルを下げ「データの民主化を実現します」としている。
クリエーションラインでは、すでにほとんどのシステムをクラウドに移行しており、ファイルサーバーは最後まで残ったオンプレミスのひとつだった。その移行のタイミングでコロナ禍に遭遇し、従業員がリモート勤務になったために、セキュリティ対策の再考を迫られ、Google Drive向けの監査システムを構築することになった。今後、ゼロトラストという文脈でセキュリティを作り込んでいく上では、すでに利用しているクラウドサービスのログも拡張して取り込んでいくことを見据えているという。
ラップアップを兼ねたクロストーク
イベントの最後には、前出のElasticsearchの鈴木氏とクリエーションラインの日比野氏、そして新たにElasticsearchの河村康爾氏(エデュケーションエンジニア)が加わり、視聴者からの質問も織り交ぜながら総括を兼ねたクロストークを繰り広げた。
セキュリティ人材の登用については、そもそも高度な知識やスキルを持ち合わせたスペシャリストの絶対数は限られているので、地道に育成していくことが欠かせないという点で3人の意見は一致。しかしながら、「セキュリティに関わる管理者が諸々に詳しすぎて持論を推し過ぎると、他のメンバーとの温度差が生じて足並みが揃いません。バランスを考慮し、組織としてセキュリティへの感度を高めていくことが重要です」と日比野氏は指摘。河村氏も「セキュリティを主導していく人材にはコミュニケーションスキルを中軸に、周囲を巻き込んでいける素養が問われている気がします」と加えた。
ソリューションを選定したり使いこなしたりするポイントについては、ツールは目的じゃなくて手段であることをあらためて確認しながら3人は意見を交換。「会社として、何を本当に守らなければならないのかが曖昧なケースが実は多いのではないでしょうか。そこを明確にすれば、それに適した手法を絞り込みやすくなりますし、詳しい人にアドバイスも求めやすくなります。私も可能な範囲で力になりたいと思っています。カジュアルに相談できる人的ネットワークを持つことが何よりも大切ですね」との日比野氏の発言に一同が大きく頷き、ウェビナーが締めくくられた。
●お問い合わせ先
Elasticsearch株式会社
お客様導入事例
https://www.elastic.co/jp/customers/
問い合わせ先
https://www.elastic.co/jp/contact?storm=global-header-en