第5回Deep Security User Night開催報告レポート

公開日

2017年9月15日

9月5日(火)にDeep Security の利用者、販売パートナー、製品と運用に興味ある方などを 対象にしたDeep Security User Night の第5回目が開催されました。 今回もその様子をレポートいたします!

今回も会場はHAPON新宿です。
粋なバーテンダー(当社社員)が出迎えてくれます。まずは乾杯から!



■19:00~19:30  Google Cloud Japan 金子さん
【Google Cloud Platformの紹介とセキュリティとDS on GCPの話】

最初のプレゼンターは箱買いするほど「よなよなエール」が大好きな、Google Cloud Japan金子さん、冗談交じりの軽快なトークによって、会場には笑いが絶えない状況になった所で本題に入りました。

DS on GCPについては、冒頭でこちらのプレスリリースについてご紹介頂いた程度で、全般的にはGoogle Cloud Platformの素晴らしさについてアピール頂いた形ですが、個人的には最も興味深いプレゼンでした。

Google Cloudでは、Datacenter as a computerという言葉で紹介がありましたが、おなじみのサーチエンジンはじめ、YouTubeなど、10億人規模の利用者を支えられることを前提に、非常に高スケールのパフォーマンスをサービスとして提供していくとのこと、Tokyoリージョンも昨年11月に開設され、利用者増加中とのことです!

Googleと言えば、高速なサーチエンジンを始めとした高性能なソフトウェア提供されている企業のイメージが強かったのですが、データセンター上のサーバ、ラックおよびネットワークカードまで独自に開発され、中堅のHWベンダよりも多くのハードウェアを生産されている事実には驚きでした。

また、暗号キーをさらに暗号化するような2重暗号化技術を始めとして、セキュリティにも注力されている姿勢には感銘を受けました。

合わせてプレゼンの中ではトレンドマイクロが出したGCPを使ったDeep Securityの評価ガイドもご紹介いただきました。

最後にBigQueryというGCPのサービスを利用し、Deep Securityのイベントを集計したらどの程度で完了するのか、テスト結果を紹介していただけました。トレンドマイクロから提供された、10MB程度のIPSイベントデータ(少なっ)を無理やり複製して1.3TB程度に大きくし、データ集計すると、、4.2秒!で完了。BigQueryでは内部で最大2,000ノードによる超並列スキャンを行うのだそうです。これならどんなにイベントログがあっても一瞬で集計できますね。



■19:30~20:00  フューチャーアーキテクト株式会社  日比野さん
【我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話】

続いてのプレゼンターはフューチャーアーキテクトの日比野さん、金子さんの軽妙なトーク後で話しにくいのでは?と思ったのですが、全く臆せず、プレゼン能力の高さを感じました。

タイトルは意味深ですが、AWS上に構築したハニーポットをDSで監視し、DSのログをElasticStackで分析して攻撃者の動向を観測する試みのお話でした。
プレゼンの構成図は若干新鮮だったGoogle Cloudのアイコンから、少々おなじみのAWSのアイコンに。。w

なお、AWSのようなクラウドサービス上でこのようなテストを行うのは注意が必要、キチンとクラウドサービス事業者の利用規約に違反しないか、きちんと確認しましょう、とのこと。非常に大事ですね。

観測結果については攻撃者のアクセス元が中国と台湾に偏っていたのは、概ね予想通りであったものの、90%以上と言う圧倒的なシェア(?)には驚きを隠せませんでした。

また、アクセス先ポートはMSSQLとSSHが大半で、侵入を試みた際に使われがちなユーザ名およびパスワードの傾向も鮮明に見えていましたので、サーバを保護するために気をつけるべき点として、とても参考になるプレゼンでした。

ただ、一つだけ残念だったのは、低対話型ハニーポット故にDSの侵入防御機能の真価を発揮させる事はできず(偵察のような攻撃はファイアウォールで防御)、DSのログとしてはファイアウォールイベントのみであった点でしょうか。

いずれは高対話型ハニーポットを利用した侵入防御イベントの分析もご検討頂けるようですので、是非期待したい所です。



■20:10~20:40 アイレット株式会社 恩田さん
【Deep Security APIを活用したルールアップデートの自動化について】

本日最後のプレゼンターは、日本一(?)AWS&DSaaSを使いこなして頂いているアイレット恩田さん。
運用の課題として新たなルールを検出モードで試験的に適用し、様子を伺ってから防御モードに切り替える作業を逐一手動で行うのは非現実的なため、DSのAPIを利用した自動化を実現してみた、というお話でした。

SOAPとRESTがAPIとして用意されているDeep Securityですが、そのどちらもDSの機能が網羅されていない。また、RESTに精通されている恩田さんとしては、真っ先にREST APIの利用を検討されたものの、RESTのみではかゆいところに手が届かない点が多々あるため、ほとんどの機能に対応しているものの、恩田さん的にはあまり使いたくないSOAP APIの代替策として、DSのOpen Communityで公開されている、PythonベースのSDK をしてやろうと思いついたそうです、ただ、このSDK、自由度は高いものの、オフィシャルなサポートではないかつ、頻繁に更新されていない、、

それなら(魔)改造してやりたいことを実現してしまおうという、製品機能で足りない部分は自分で作る!、そのアグレッシブな姿勢とそれを実現できる技術力には感服しました。

セキュリティアップデートの公開日は(DSaaSの)サーバが重くなるとか、API上の名称がUIと一致していないと言った、いささか耳の痛いフィードバックも頂きました。



■20:40~21:30 懇親会 会場でお酒と食事

最後は恒例?の懇親会、参加された方々で帰ってしまう方がほとんどおらず、皆様非常に活発にコミュニケ―ションをされているのが非常に印象的でした。

ご参加いただいた皆様、本当にありがとうございました!


トレンドマイクロ株式会社
セキュリティエキスパート本部
エンタープライズテクニカルサポート部
サーバディフェンスチーム
友國 直樹

トレンドマイクロ株式会社
セキュリティエキスパート本部
エンタープライズテクニカルサポート部
サーバディフェンスチーム
渡部 大作