ホーム
AWS導入事例
情報セキュリティ対策強化のために3つの AWS サービスを追加導入、アラート発生時の迅速な原因究明と対策検討を実現し、万一の緊急事態発生時にも2～3時間で復旧可能な体制を確立

情報セキュリティ対策強化のために3つの AWS サービスを追加導入、アラート発生時の迅速な原因究明と対策検討を実現し、万一の緊急事態発生時にも2～3時間で復旧可能な体制を確立

サーバーワークスの AWS 構築・移行支援サービスを採用して、グループ全体のITインフラとなっている AWS 環境に、脅威の検知／レポート／フィルタリングを支援する AWS サービスを追加導入。原因究明と対策検討の時間を大幅に短縮し、対応・運用に当たる人的コストも劇的に低減しています。

2023.02.01 掲載

ワールドホールディングスは、人材教育／不動産／情報通信／農業公園の各事業を展開するワールドホールディングスグループのホールディングカンパニーで、グループ43社の情報システムの構築・運用を担っています。同社は2016年、グループ共通のITインフラを AWS に全面移行しましたが、今回情報セキュリティ対策のさらなる強化を目指して追加導入したのが、3つの AWS サービスでした。従来からの課題とサービス導入の効果、サーバーワークスに対する評価について、グループの情報セキュリティ対策を担う情報監視室室長の長曽我部秀一氏、同藤田阿悠夢氏にお話を伺いました。

事例のポイント

お客様の課題

情報セキュリティ対策のさらなる強化を図るために、不正なアクティビティを迅速かつ正確に検知する仕組みを導入したかった
監視対象のサーバー全台にエージェントをインストールするような手間を一切かけたくなかった

課題解決の成果

より精度の高い脅威の検出を実現し、取るべき対策を決定するまでの時間も短縮することができた
実際にサーバー内のエージェントがマルウェアに感染し、怪しい動きをしていることを速やかに特定することができた

導入サービス

AWS請求代行サービス

AWS運用代行・監視サービス

AWS構築・移行支援サービス

株式会社ワールドホールディングス様

“人が活きるカタチ”を創造することをミッションとして掲げるワールドホールディングスグループのホールディングカンパニー。同グループは人材教育／不動産／情報通信／農業公園の各領域で事業を展開し、傘下に43社を抱える企業グループで、人材教育では、製造業からサービス業に至る幅広い分野での人材派遣や業務請負などの人材サービスを提供している。

お話を伺った方：
情報監視室
室長
長曽我部秀一氏

情報監視室
藤田阿悠夢氏

株式会社ワールドホールディングス様

※この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。

1. 怪しい振る舞いをするアクティビティを特定し、すぐに対策を講じられるような仕組みを“手間なく”導入したい
2. 脅威を検出する AWS サービスを導入し、併せてレポートサービス、外部への通信をフィルタリングするサービスも採用
3. 原因究明の時間を短縮し、人的コストも大幅低減、緊急事態発生時の迅速な復旧体制も確立
4. SIEM機能なども検証し、今後も情報セキュリティ対策のさらなる強化に取り組んでいく

怪しい振る舞いをするアクティビティを特定し、すぐに対策を講じられるような仕組みを“手間なく”導入したい

2016年、ワールドホールディングスはグループ共通のITインフラを AWS へ全面移行しました。そのプロジェクトを支援したのがサーバーワークスで、当時ワールドホールディングスは AWS 上の仮想サーバーのセキュリティ対策についてもサードパーティ製のアンチウィルスソフトを導入し、マルウェアを検知する仕組みを構築していました。しかし近年はサイバー攻撃が高度化し、ソフトウェアの脆弱性と対策が公開される前に攻撃を仕掛けてくるゼロデイ攻撃が増加しています。同社は情報セキュリティ対策をさらに強化する必要性を感じていました。以前の状況について、情報監視室室長の長曽我部秀一氏は、次のように説明します。

長曽我部氏「2016年はITインフラの全面リプレイスが主題だったので、セキュリティ対策としては必要最小限となるクラウドベースのアンチウィルスソフトを導入しました。ただ当時から情報セキュリティ対策のあるべき姿として、3段階での施策を考えていました。第一に侵入させないこと、第二に万一侵入された時に検知できること、第三に侵入後に怪しい振る舞いをするアクティビティを特定することです。1つめについては、既にアンチウィルスソフトを導入済みで、2つめについては今、 AWS モニタリングサービスのAmazon CloudWatchの導入も進めているところです。そして3つめについては怪しい振る舞いを検知して迅速な対応を支援するEDR（Endpoint Detection and Response）の導入を考えていたのですが、これが非常に難題でした」

それというのも、EDRの導入に際しては、対象となる100台以上の仮想サーバーにエージェントを入れていくという作業が必要になるからです。その詳細について、情報監視室藤田阿悠夢氏は次のように説明します。

藤田氏「実はEDRについても市販の製品を採用して、重要な数台のサーバーにはエージェントを入れたのですが、サーバーごとにスペックも稼働しているシステムも異なるので、1台1台、CPUへの負荷のかかり方やアプリケーションへの影響を見ながら作業を進めていく必要がありました。特にアプリケーションの稼働に支障が出ないようにするためは、業務時間帯を考慮してインストール作業を実施する必要があり、各サーバー担当者との調整作業も発生します。そのため、その後、EDRの導入は思うように進みませんでした。EDRの機能を“手間なく”導入できる仕組みがないものかとずっと探していました」

脅威を検出する AWS サービスを導入し、併せてレポートサービス、外部への通信をフィルタリングするサービスも採用

そんな最中に実被害は出なかったものの、マルウェア感染のアラートが上がり、情報監視室では3段階の情報セキュリティ対策を一刻も早く完成させる必要性を痛感していました。

その時にサーバーワークスから紹介を受けたのが、悪意あるアクティビティや不正な動作を継続的にモニタリングし、脅威を検出する AWS サービス「Amazon GuardDuty」でした。

藤田氏「私たちは“気付きが遅い”状況を何とか改善しなければならないという明確な課題感を持っていましたが、一方でEDR製品の導入には多大な人的パワーと調整作業が必要になるという現実問題がありました。Amazon GuardDutyは、これらの課題を一気に解決してくれるものでした」

Amazon GuardDutyは、潜在的な脅威を特定することができる脅威検出サービスで、AIベースの統合脅威インテリジェンスを使用して各種ログを分析し、不正なアクティビティを検出するものです。

長曽我部氏「まずAmazon GuardDutyは、先のEDR製品のように各サーバーにエージェントを入れていく手間が一切不要です。本番環境に何の手も加えずに、全てのサーバーを監視下に置くことができるのです。サービス導入に伴う各サーバー担当者との調整も要りません。 AWS のサービスなので、言うまでもなく AWS 環境との相性は抜群ですし、導入作業時にエンジニアが張り付く必要もありません」

さらに長曽我部氏は、2016年以降、 AWS に詳しいエンジニアが社内で育っていたことも大きなアドバンテージだったと続けます。

長曽我部氏「我々情報監視室は、脅威の早期発見を行うSOC（Security Operation Center）とインシデント発生時の対応に当たるCSIRT（Computer Security Incident Response Team）の機能を担っており、様々なセキュリティソリューションを運用しています。Amazon GuardDutyについても、我々がオペレーションを行うことになりますが、その際には AWS エンジニアが社内にいることが前提です。迷いなくAmazon GuardDutyの導入に進むことができたのは、 AWS エンジニアという強力なバックボーンがあったからこそだとも言えます」

またワールドホールディングスは今回、サーバーワークスからの提案を受けて、万一のマルウェア感染時にも、社内から外部のC＆Cサーバーへの不正アクセスを遮断する「Amazon Route 53 Resolver DNS Firewall」と、Amazon GuardDutyから各種ログや分析結果を取得して可視化し、直感的なビジュアルで提示する「Amazon Detective」も導入しました。

原因究明の時間を短縮し、人的コストも大幅低減、緊急事態発生時の迅速な復旧体制も確立

3つの AWS サービスの導入プロジェクトは2022年2月に始まり、6月に完了を迎えました。現時点で稼働開始から約半年が経過していますが、その導入効果について、藤田氏は第一に、アラート発生時の原因究明と対応に当たる時間の短縮を挙げます。

藤田氏「今までは何かしらのアラートが上がった時、それがどのサーバーで、どんな事象が起こっていて、どんな影響が想定されるのかといった状況を網羅的に把握できる手段がありませんでした。そのためアラート発生時には、各サーバーやシステムの担当者に検知したアラートを連絡して、調査して、という対応を取る必要がありました。多大な工数と人的パワーがかかっていたのです。しかし現在では、AIベースのAmazon GuardDutyが、より精度の高い脅威の検出をしてくれますし、その分析結果は、Amazon Detectiveが提供する直感的なレポート画面で確認することができます。アラート可視化までの時間は劇的に短くなり、取るべき対策を決定するまでの時間も短縮することができました。具体的な数字で出すのは難しいですが、間違いなく人的コストは大幅に削減できています」

同社はAmazon GuardDutyの導入後、実際にあるサーバー内のあるエージェントが『トロイの木馬』に感染して怪しい動きをしていることを速やかに特定することができたと言います。さらにもう1点、藤田氏は「Amazon GuardDutyの導入で“次に進むべき道”も検討できるようになりました」と強調します。

藤田氏「Amazon GuardDutyの出力結果からは、その時点での対応策だけでなく、“検出した脅威を防ぐためにはどんな対策が必要なのか”といった今後の課題を見える化することもできるようになりました。これも情報セキュリティ対策のさらなる強化に繋がる非常に大きな効果だと考えています」

加えて今回、ワールドホールディングスはサーバーワークスと連携して、万一の緊急事態発生時にも2～3時間で復旧できる体制を確立しました。

長曽我部氏「例えばAmazon GuardDutyからアラートが上がり、あるサーバーが攻撃を受けてマルウェアに感染したという事態が分かった時、そのサーバーは破棄して、サーバーワークスに日次で取得してもらっているハードディスクイメージを使って新しいサーバーでシステムを復旧する、という流れです。さらにこうしたインシデント発生直後にもハードディスクイメージを取得してもらい、フォレンジックの際にインシデント検知前後のイメージを比較する、という対応を取ることも可能になりました。これにより当該インシデントによって、どんな障害や影響が発生したのかという状況を詳細に把握することができます。Amazon GuardDutyの導入を契機にこうした体制を構築できたことも、非常に大きな安心感に繋がっています」

SIEM機能なども検証し、今後も情報セキュリティ対策のさらなる強化に取り組んでいく

今後ワールドホールディングスではより一層、情報セキュリティ対策を強化していきたい考えです。

長曽我部氏「現在では、脅威の侵入を前提として情報セキュリティ対策を考えるゼロトラストセキュリティが非常に重要になってきています。その際には AWS 環境だけでなく、ネットワーク機器も含めた様々なIT製品から吐き出されるログを包括的に、様々な視点から分析できるSIEM（Security Information and Event Management）のようなツールは、非常に有用です。 AWS にはSIEM機能を提供するAmazon OpenSearch Serviceのようなサービスもあるので、今後1年ぐらいをかけて、どんなセキュリティ製品と連携できるのか、またどんな情報が必要で、それをどう活用できるのかをじっくり検証したいと考えています」

藤田氏「 AWS では、様々な AWS リソースのセキュリティ上のベストプラクティスを継続的にチェックする AWS Security Hubといったサービスも提供しています。Amazon OpenSearch Serviceと併せて、こうした AWS サービスの検証も腰を据えて進めていく予定です」

長曽我部氏「今回導入した3つの AWS サービスは、比較的新しいサービスだったので我々も知りませんでした。その際にサーバーワークスから、どんな特徴やメリットがあるのかを丁寧に説明してもらったおかげで、導入に至るまでの判断をスピーディに行うことができました。今後も引き続き、AWSパートナーネットワーク最上位の『AWSプレミアティアサービスパートナー』であるサーバーワークスの心強い支援を期待したいですね」