最近セキュリティ関連でEmotetの話題が再燃するなど、セキュリティの驚異は変わらず続いています。
DX(デジタルトランスフォーメーション)を取り組む企業にとっては、新たに開始するサービスが攻撃対象になりサービスが停止したり改ざんされて詐欺の踏み台のように利用されたりすることで、ブランドの価値を低下させてしまうなどの問題を起こしてしまうリスクがあることを認知しなければなりません。
セキュリティを考えた設計も重要ですが、その時に運用も即時性があり大規模な環境であっても対応できる運用へとシフトしないと、人のぬくもりある運用では追いつかない状況になっていることを理解しなければ運用が追いつかず、いつか重大な問題に直面してしまう恐れがあります。
自動化をセキュリティ対策に利用する価値
自動化ソフトウェアというと、構築時に利用するイメージを持つ方が多く、クラウド環境からOS、ソフトウェア、そして設定までを自動化する利用は多くの企業で実行されています。
しかし、「自動化を運用の現場で利用されているか?」に目を向けた場合、作業を部分的に自動化している場合はあっても、業務が全体的に自動化されているケースはまだまだ少ないのが現状です。
運用全体が自動化できることは利用的な姿ですが、セキュリティの対応を自動化することで次のメリットが得られるため、まずはここから始めてみては如何でしょうか。
数十台、数百台への同時適用
自動化ソフトウェアを利用することのメリットは、大規模な環境であっても同時に数十台、時には数百台単位で作業を実行することが出来る点です。
利用しているソフトウェアに脆弱性が発見され、対応するアップデートや設定変更を適用しなければならない場合、これを1台ずつ適用するのは非常に大変な作業になるため複数リソースに同時実行が行える自動化は非常に便利で運用の負担を軽減してくれます。
作業漏れによるミスの削減
自動化ソフトウェアを利用するメリットのもう一つが、人が行う作業にはヒューマンエラーがつきものとなるため、作業漏れによるセキュリティ対策が行われない事でそこが攻撃ポイントになってしまうことを予防出来る点になります。
自動化ソフトウェアには、実行結果の成功失敗のステータスを出してくれる他、実施した内容が反映されているかを確認するテストを次のステップに組み込むことで作業漏れを予防することが簡単にできます。
これを人が行う作業で確認までを漏れがないようにと考えると、作業を行う人、その作業が手順通りに行われているか監視する人、作業の結果報告を受けて確認する人、人員をこれだけ割いて実行することになります。また、こうした現場では事前に作業手順書を作り、チェック項目を書き出し、そして検証環境での事前のテスト実行も行っている事が大半です。
人材不足が叫ばれる現代で、このような運用をしていてはエンジニアの負担が大きくなり現場は疲弊してしまいます。
Red Hat Ansible Automation Platformはセキュリティ対策にも最適
ここまでセキュリティ対策に自動化が効果的な理由を説明してきましたが、では、「どのような自動化ソフトウェアを利用すればよいのか?」という声があると思います。そこで私が推したいのはRed Hat Ansible Automation Platform(AAP)です。
現在の運用自動化の世界では、Ansibleは世界的にスタンダードに採用されるソフトウェアとなってきていると思います。しかし、利用の多くはOSSで提供されている自動化のエンジン部分のAnsible Engineであり、Red Hat Ansible Automation Platformではないのが現状です。
Ansible(Engine)を利用することで、複数の台数に自動化を実行することはできますし、ヒューマンエラーの発生を防止する仕組みも取りやすいので作業を自動化するという点では非常に有効なソフトウェアです。
しかし、企業が利用すると考えた場合には足りないところも多く、時にはAnsible(Engine)による問題を引き起こすことも想定しなければなりません。
運用の自動化を成功させるには「いつ」「だれが」「なにをした?」を管理できること
Ansible(Engine)を利用する場合に注意しなければいけないのが、「いつ」「だれが」「なにを実行したのか?」がログとして取得が難しいことです。ログ出力が行われずコンソール上に出力されたメッセージを明示的にコピーをして保管しなければ、ログとして残りません。また手作業での取得は漏れが起こりやすいために、この「いつ」「だれが」「なにを実行したのか?」を確実に残すことが難しくエンジニアが自分の作業を楽にするために自動化としてAnsibleを使う範囲に留まる要因にもなっています。
また、自分の作業を楽にするために個人でAnsibleサーバーを立ち上げてしまうこともあるため、ここが攻撃を受けてしまった場合は、その管理下にあるサーバーはすべて攻撃対象となる大きなリスクを抱えてしまいます。私はこのようなAnsibleサーバーは「野良Ansibleサーバー」と呼びますが、この「野良Ansibleサーバー」は企業にとって大きなリスクであることを理解していただきたいと考えています。
Red Hat Ansible Automation Platformで「いつ」「だれが」「なにをした?」を管理
AAP(Red Hat Ansible Automation Platform)を利用することで、先程述べた課題を解決することができます。
「いつ」「だれが」「なにを実行したのか?」を残すためにAnsible Controller(旧Ansible Tower)という管理画面が用意されているため、自動化ジョブの実行に関して「いつ」「だれが」「なにを実行したのか?」がデータベース上にログとして残る仕組みが提供されます。
また、誰でも自動化ジョブを実行できないよう権限管理も行えるため、不要な権限をもたせることなく自動化された仕組みを組織で利用できるようになります。
サイオステクノロジーでは自動化の普及のためにWebinarやワークショップを定期的に開催しています。もし、より詳しい自動化の話を聞きたいという方はお気軽にご相談ください。
