過去のAWS運用実績が、今のセキュリティ運用に繋がっている

シンジです。「よし、時代はセキュリティだ!」と言っても、何から手を付けていいのやらよく分かりませんよね。シンジはセキュリティ担当としてあれこれ活動していますが、実はそれらは以前からcloudpackが24時間365日のAWSシステム運用をしてきた下地があるからこそ成り立っていると思っています。

この記事は、とあるFacebookのタイムラインがきっかけ

最近の動向で気がかりなこともある。
SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)がもてはやされているが、一般的なシステムおよびネットワーク運用との接点がないがしろにされている感がある。
セキュリティ運用の成熟度は、システム運用の成熟度に従う。
通常の障害対応が上手でない組織は、セキュリティ事故の対応だって上手にはできないだろう。

システム運用ができていないなら、セキュリティ運用もできないのでは?というわけですね。
これには全く同感です。

というわけで、cloudpackでAWSシステム運用(MSP)のセクションリーダーである新谷充さんにお話しを伺いました。

――まずは新谷さんの業務経歴と今のお仕事について教えてください

新谷 実は昔は力仕事をやっていたり、医療機器の営業もやってました(笑)ただ、学生時代にITの授業があったので、そういった意味では経験がありましたね。そろそろ力仕事もキツいなーと思っていた頃に、事務的な仕事がいいなーっていう思いでプログラムを始めて、ITの会社に入りました。ちょうどその頃は2000年問題もあり、パッチ当てとか、お客様への説明とかやってました。その後にプログラムを3年くらいやって、その後LinuxやUNIXを全く知らないところから触り初めて、運用的なこともやり始めました。NetAppとEMCも扱ってましたよ。AIXの基幹系システムもやりつつ、基本設計とかミドルウェア選定とかもやり出して、8年くらいやったかな、でも飽きちゃったんですよね(笑)

――それでアイレット(cloudpack)に入ったと

新谷 そう、だから以前は完全にプログラマーだったけど、その後は運用屋さんだったんですよね。設計から検証から実装まで、ずーっとやってましたから。

ーーアイレットに入ってからすぐに、24時間365日の運用チームに入ったんですよね

新谷 でも俺は基本的には昼間だったけど(笑)途中からバンダイナムコゲームスさんを担当し始めて、1人24/365状態でしたよ(笑)夜中はさすがに寝てるから、アラートは夜間チームに見てもらう、それでダメなときは電話してもらう感じで回してました。もちろん他にもNikonさんとかも当時は担当してましたよ。他にもいくつも掛け持ちで。

――いくつも24時間365日で運用するって、大変だと思います

新谷 そうですね。分業は難しいし、でもチームで頑張って回す感じですね。構築やりながら、障害対応もやる。今みたいに構築チームと運用チームが区分けされてなかったから、個々の力でなんとかするしかないみたいな感じでした。

――個々の力となると、いろいろ問題も起きる気がするのですが

新谷 だから人も増やして、今はチームも増えて、ナレッジも共有してって感じで、どんどん広がっていったんですよ。

そろそろ本題を伺ってみましょう

――cloudpackはセキュリティを重要視していますが、以前と比べて運用面での変化はありましたか?

新谷 以前は、最低限のセキュリティっていうのは意識してましたけど、それはお客様の環境に対してのセキュリティであって、社内っていう意味では薄かったんですよね。今思えば、結構危なかったんだなって思います。最近だと、AWSコンソールを扱うっていうところの意識はガラッと変わりました。個人PCも一切使わなくなったし、そういった意味では全体的に変わりましたね。

――セキュリティを運用する、という意味で配慮している点はありますか?

新谷 どんな作業をするにしても、「上長承認を取る」というのは徹底してます。事故を防ぐと言うことです。ただし、24/365でやっている以上、必ずしもこれに該当しないケースもあります。それでも障害時は必ず連絡、サービス影響が出てる場合とかですね。土日とか休みの場合はどうしても人が薄くなるので、本番環境へのシステム変更はやらないようにしていて、どうしてもやって欲しいという場合には、お客様に確認を取るようにしています。特にデータベースに関する作業は、絶対に勝手にはやらない。ダブルチェック以上を最低限としてます。

――基本的なシステム運用のやり方が、セキュリティの運用にも繋がると

新谷 いや、本音を言うと、直接的には繋がらないとは思っています。でも結果的には繋がる。というのは、やはり、「効率的に運用する方法」も大事なんです。なので、「みんなで同じ情報共有したい」という点では、苦労してますね。例えば、お客様から共通アカウントを使って欲しいとか。そういうのは効率はいいけど、セキュリティの観点から見ると厳しいですよ。何を持ってセキュリティというのか、というのもあると思います。ウチも課題はまだまだあって、どうやって効率的な運用を回しながら、高いセキュリティレベルを保てるように出来るかチャレンジしています。お金をかけたシステムでなくても、綺麗な運用でカバーできると思ってます。今後はシステム運用のクオリティを今以上に上げることで、同時にセキュリティレベルも上げていきますよ。