AlibabaCloudのセキュリティプロダクト導入事例

事業会社ごとのセキュリティ機能、バラつきが課題

AlibabaCloudのセキュリティプロダクト導入事例

サービス業のA社は本社の配下に、事業ごとの子会社を傘下に持つ形態で事業を拡大し、一部は海外向けサービスも展開しています。事業会社ごとに最適なパブリッククラウドサービスを選定し、基幹システムや社内システムは一部オンプレミスと国内ベンダのクラウドサービスを利用、システムごと適材適所のマルチクラウドを採用しています。

A社では本社のセキュリティ統括部門で定められているポリシーがありましたが、セキュリティ監査をきっかけにマルチクラウドに対応したセキュリティポリシーを定め、各システムにおいてはセキュリティのベースラインを定めることになりました。その際に、課題となったのが、事業会社ごとに採用したセキュリティプロダクトの機能にばらつきがあることで、一部のサービスではマルウェア対策の不足とOSやミドルウェア、アプリケーションの脆弱性対応運用に不足があり、対策が必要となりました。

セキュリティ対策の費用が高額になることが判明

AlibabaCloudのセキュリティプロダクト導入事例

社内システムは著名なセキュリティベンダのマルウェア対策製品を利用、ラインアップに仮想パッチ機能を持つ製品群もあり、これをパブリッククラウドにも一律適用することで、脆弱性対応もおこなえることが期待されました。しかしながら、すべての事業会社のサービスに適用を拡大した場合、ライセンスコストが膨大になることが判明、また、統合的なマルウェア対策製品が使用するCPUのオーバヘッドが検査時に数十%に達することから、仮想インスタンスのスケールアップが必要なことも問題となりました。管理サーバ構築の委託費用も高額であり、対応するパブリッククラウドも一部のメジャーなベンダに限られていました。

Alibaba Cloud の Security Center を検討

そこでA社が検証したのは、Alibaba Cloudのマルウェア対策機能を含む内部対策機能を統合的に持つSecurity Centerでした。国産クラウドを含む各社クラウドおよびオンプレミスに対応し、ホストにエージェントをインストールすることで不正な動作をするマルウェアを検出できるようになります。動作におけるCPUのオーバヘッドも少なく、既存サービスへの影響も軽微であることが確認されました。Security Centerはマネージドサービスであり、管理サーバの構築は不要で、作業の外部委託なしに導入できることも確認しました。管理コンソールは日本語、英語、中国語に対応し、各国出身の開発メンバも容易に利用できるメリットがあります。
また、Security Centerは各インスタンスの脆弱性を検査するとともに、修正をおこなう機能も備えているため、特定の脆弱性発生時に要員が該当のサーバを確認し、複数台に更新を適用する作業時間を軽減できることも確認されています。従来必要だったセキュリティプロダクト自体のバージョンアップ対応も不要となります。

中国リージョンのクラウドセキュリティ構成図

将来のセキュリティ強化も、コストを抑制して対応

残る脅威として存在するゼロデイ攻撃に対しては、入口対策とあわせてマネージド型のファイアウォールであるCloud Firewallを検討しています。Cloud Firewallは侵入検知防御機能であるIDS/IPSを備え、仮想パッチ機能も搭載しています。各サービスのインターネットとクラウドの出入口において、最適なトラフィックに対応するファイアウォールを設置し、脆弱性情報であるCVEに対応する仮想パッチを有効にすることで一括して防御することが可能です。これによりホスト型の仮想パッチ製品に比べて大幅にコストが低減できます。

各セキュリティプロダクトはコンソールから統合管理され、一般的には高度な検知対応機能を持つEDR製品が備えるようなマルウェア動作の追跡機能やSIEM製品が必要となる相関分析機能が搭載されています。また、検討されている新規サービスのCloud Nativeへの移行においても、コンテナのセキュリティに対応しています。こうした豊富な機能により、将来にわたりセキュリティ強化の投資を抑制することが期待されています。

まずはお気軽にご相談ください

新規導入のご相談、サービス仕様についてご相談をお受けしています。