特集
» 2019年02月15日 05時00分 公開

「検索コマンドを実行したら約5万回のアラートが流れて大変だった」:不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2)

ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。

[石川俊明,@IT]

 Japan Perl Associationは2019年1月26日、「YAPC::Tokyo」を開催した。本稿ではGMOペパボのホスティング事業部でテックリードを務める山下和彦氏の講演「Wazuhを利用した大統一サーバ監査基盤」の内容を要約してお伝えする。

 GMOペパボでは、2018年1月に起きた不正アクセスを教訓にオープンソースソフトウェア(OSS)のセキュリティ監査基盤「Wazuh」を導入。不正アクセスを未然に防ぎ、セキュリティインシデントが発生しても素早く対応できるような仕組みを取り入れた。講演で山下氏は、Wazuhの導入に至った背景と3つの運用課題への対策を紹介した。

インシデント対応には「速さ」と「正確さ」が求められる

GMOペパボ 山下和彦氏 GMOペパボ 山下和彦氏

 山下氏は、2018年1月にGMOペパボで起きた不正アクセスを取り上げ、セキュリティインシデント対応に「速さ」や「正確さ」が求められることを説明する。

参考記事:GMOペパボ「カラーミーショップ」に不正アクセス クレジットカード情報が流出(ITmedia NEWS)

 「セキュリティインシデントが発生した際には、いつ何を不正アクセスされたのか調査する必要がある。特に、不正アクセスされた情報を正確に把握することはビジネスの面から見ても重要だ。クレジットカードの情報が100件流出したのと1000万件流出したのでは、社会や企業に対する影響が異なるためだ」

 不正アクセスされた情報を特定するには、膨大な時間と工数がかかる。各種システムログやアプリケーションログ、データベースのクエリログなどを利用し、アクセスされた可能性のある情報を網羅的に調査するためだ。だが、早急に正確な情報を開示しなければ、2次被害や会社の評価の低下につながる恐れがある。

 こうした点を踏まえGMOペパボでは、各事業部サーバの状態を収集し、サーバに対する不正アクセスやマルウェアなどの活動を検知/対応し、プログラム内にある脆弱(ぜいじゃく)性の影響を受けるサービスを全事業部横断で調査できるようにするため、Wazuhを導入した。

Wazuhとは

 Wazuhは、エージェントマネジャー形式のセキュリティ監査基盤だ。マネジャーホスト型の侵入検知システム「OSSEC」、セキュリティ設定共通化手順を用いた脆弱性検査OSS「OpenSCAP」、ログ管理プラットフォーム「Elastic Stack」(Elasticsearch+Kibana)の3つが統合され、提供されている。

 Wazuhでは、サーバのファイル改ざんなどを検知する「ファイル整合性監視」や、rootkitなどのマルウェアを検知する「侵入検知」、サーバ設定がポリシーに沿っているかどうかを監査する「システム設定ポリシー監査」、提供するサービス内の脆弱性を監視する「システム脆弱性監視」が行える。各機器に配置されたWazuhエージェントが情報をWazuhサーバに送信し、情報を集約して管理する。運用管理者は、監査状況をKibanaのダッシュボードで確認できる。またRestful APIを活用してSlackなどのツールと連携できる。

Wazuhのアーキテクチャ Wazuhのアーキテクチャ

 山下氏は、Wazuhの便利な点として標準でクラスタリング対応していることを挙げる。

 「Wazuhは、Dockerイメージなどが公開されているため、Docker-Composeを用いてクラスタリングを構築できる。GMOペパボでは、OpenStackのVM(仮想マシン)環境でクラスタリングを構築し、500台を超えるサーバに4カ月かけて導入した。これにより、負荷分散と冗長構成を実現している。構築当時は知識がなかったためOpenStackで構築したが、今から構築するならKubernetesを用いるだろう。サーバを構築してから安定させるのに1カ月かかったが、インフラ構成のコード化(Infrastructure as Code)を進めていたこともあり、時間をかけずにWazuhを導入できた」

「Wazuh Cluster」(左)や「Docker-Compose」(右)を用いてクラスタリング環境で運用している
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。