ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

80個のWebサイトをAWS移行 創業100年超、森永乳業が進める“4つのセキュリティ対策”(3/4 ページ)

» 2020年11月19日 13時00分 公開
[高橋睦美ITmedia]

「脆弱性管理」は「Radar」「Tenable.io」で

 次に脆弱性管理では、アプリケーションとプラットフォーム、それぞれで定期的に診断を行っているという。

 以前はオンプレミスのツールを用いてアプリケーションの診断を行っていたが、WebサイトのAWS移行に合わせてF-Secureの脆弱性管理ツール「Radar」を新たに採用。現在は月に平均20〜30サイトの診断をRaderで実施している。

 定期的な診断も実施しているが、リニューアルや機能追加といったリリース前にも診断を行っている。「Radarのスケジュール機能を使って診断の運用負荷を下げることができますし、SaaS形式なので、場所にとらわれず在宅でも診断を実施できるのが利点だと思います」

 プラットフォームの診断には米Tenebleの脆弱性管理プラットフォーム「Tenable.io」を利用し、OSやミドルウェアに含まれる脆弱性を週次でチェックしている。「ツールとしては問題ありませんが、診断の結果を見てどれだけ緊急性があるのか、パッチを適用する必要があるのかを判断しづらく、そこに運用コストがかかることが課題です」

 森永乳業では現在、アプリケーションの脆弱性管理にフューチャーが提供するクラウドベースの脆弱性管理プラットフォーム、「FutureVuls」の採用も検討中という。「運用負荷に関する課題をどれだけ解決できるか、Trend Micro Workload Securityと連携して発見された脆弱性の保護がどれだけできるかも含め、トライアルを実施していく予定です」

「検知・分析」はサードパーティーのサービスとAWSの機能をハイブリッドで活用

 この1〜2年で防御と脆弱性管理の体制を整え「だいぶ運用も地に足が付いてきた」という森永乳業。現在は、検知・分析やガバナンス・可視化といった領域に取り組み始めた段階という。

 検知・分析の領域ではまず、米Sumo Logicのログ統合分析・管理ツール「Sumo Logic」を導入してログ分析を始めた。障害やアラートが発生したとき、アクセス元やアクセス件数、エラー件数などの確認に使うという。

 「日頃の運用業務の中にどう組み込むか、アラート発報の仕組みをどう構築するか、関連するログを連携させて相関分析できるようにしていくかといった部分は今後の課題です」

 セキュアブレインが提供する「GRED」を用いたWeb改ざん検知と、マネージド型脅威検出サービス「Amazon GuardDuty」による脅威検知も導入した。GuardDutyについては、セキュリティイベントや脅威の調査・分析サービス「Amazon Detective」との連携も目指していくという。

Copyright © ITmedia, Inc. All Rights Reserved.