「入門 監視」読書会レポート vol.10

株式会社リゾーム システム企画・開発部 第3グループの渡邉です。
読書会の第10回目のレポートです。 第9回目のレポートは、こちらになります。

tech.rhizome-e.com

読書会の題材

前回に引き続き 入門 監視 ―モダンなモニタリングのためのデザインパターン を題材としています。

10回目レポート

今回は、「10章 セキュリティ監視」で、参加者は6名でした。

それぞれの感想・意見交換

監視とコンプライアンス
  • 出てきたキーワード、全てがHerokuに載っていたと思う。
    • こういうのでもっとカジュアルな規格とかがあればいいんだが。
  • この場合のすべてのログとは万一の事態が発生したときに、裁判において証拠能力を有するすべてのログという意味にも取れる?
  • 様々なコンプライアンス規制がある事を知った。
    • 多くの統制事項が期待する通りに動くようにするには、監視を実装するのが良い方法。
ユーザ、コマンド、ファイルシステムの監査
  • auditdは使ったことがないけれど、本来は入れておいたほうがいいんだろうなと思う。痕跡を残さなければならない。
    • コンテナにしたときでも必要なんだろうか?このログをクラウドサービスに書き込めたらいいんかな?と思ったら、プラグインがあるそうな。
  • AmazonLinux2はauditdが標準でインストール済みだった。
    • 実際にログを見た事が無かったので確認してみたが、sudoコマンドの実行が記録されていた。
    • ログの保管とカスタムルールについては検討した方がよさそう
ホスト型侵入検知システム(HIDS)、rkhunter
  • ルートキットなどインストール時はよくよく気を付けなければいけない。
    • 危険なのはそれなりの権限を持ったユーザーが、自分の手で導入してしまうケース。
ネットワーク侵入検知システム(NIDS)
  • 先の高速道路の例で言うと交通管理隊の落下物回収・巡回のようなものだろうか。
  • ネットワーク関連、あまり気にしたことがなかった
    • 敷居高そう
  • 最大限の効果の為には各所にネットワークタップが必要
    • 冗長構成とか倍々で増えていくんだろうな
      • でも安全には変えられないな…
  • ネットワークタップはfail-openなモードを備えたタップを選ぶ事
    • 可用性の監視も忘れない事
    • 確かにこれが障害点になってしまったら困るよね…
10章全体を通して
  • DDoSについてはレンタルサーバー・VPS問題でかなり話題になった(主にサポートの前提知識不足と対応内容についてという不名誉な内容ではあるが…)。
    • 解決策として Cloudflareの の DDoS対策が用いられることも多いが、時代的にはそろそろ標準装備の対策になってもいいような気がする。
  • ちなみに最も基本的なセキュリティ対策は、恨みを買うような行動をしないことと、危ない場所に行かないことだと思っている。
    • 危ない状況に遭遇しても直ぐに適切な判断を行うこと。
  • いくつかセキュリティを監視する仕組みはすでにあるが、実際うまく動いてくれているのかはよく分かっていない部分もある
  • セキュリティ監視をする上でセキュリティについての知識は必要不可欠
    • どのような脅威があるか知る必要がある
    • 以前読んだ「安全なWebアプリケーションの作り方」という本が、セキュリティについて多く書かれていてよかった

まとめ

今回はシステムを運用・保守していく中で、絶対に欠かすことのできないセキュリティの監視についてでした。セキュリティ対策は実施してはいるものの、実際に問題が発生した際のフローや確認箇所など、改めて再確認・メンバーへ周知する必要性を感じました。

今回の読書会も終盤に差し掛かってきました。読んできた内容を業務に活かせるよう、アクションを起こしていきたいですね。