ニュース

面倒なセキュリティ運用を自動化――、レッドハットがSOARソリューションとしてのAnsibleをアピール

 レッドハット株式会社は14日、構成管理とIT自動化管理のプラットフォーム「Red Hat Ansible Automation Platform」に関する記者説明会を開催した。Red Hat Ansible Automation Platformのセキュリティソリューション(Ansible Security Automation)と、セキュリティ自動化・効率化であるSOAR(Security Orchestration And Automated Response)への応用について語られた。

 なお、説明にあたったRed HatのAnsibleセキュリティ担当コンサルティングプロダクトマネージャー、マッシモ・フェラーリ(Massimo Ferrari)氏は、急きょ来日中止となり、イギリスからのビデオ会議での登場となった。

ビデオ会議で登場した、Red HatのAnsibleセキュリティ担当コンサルティングプロダクトマネージャー、マッシモ・フェラーリ(Massimo Ferrari)氏

Ansible Automation Platformとしてツールと各分野のソリューションを統合

 まずAnsible Automation Platformについて、レッドハット 製品統括・事業戦略担当本部長の岡下浩明氏が説明した。

 岡下氏は、従来の個別の自動化を「自動化1.0」と呼び、それに対してAnsibleによる自動化を「自動化2.0」であるとした。自動化の属人性を排除し、スピードアップし、コスト削減し、最終的には品質向上につなげるという。

 国内の事例としては、自動化2.0に進み自動化組織による推進により1万を超えるノードに導入している例から、部門を超えた自動化で自動化2.0に取り組む例、現在は部門レベルの自動化だが標準化されており、やがて自動化2.0に進むだろうという例が紹介された。

レッドハット株式会社の製品統括・事業戦略担当本部長の岡下浩明氏
Ansible Automation Platformの国内事例4社の自動化1.0と自動化2.0

 Ansible製品は現在、「Red Hat Ansible Automation Platform」という製品に統合されている。この中には、自動化ツール本体のAnsible Engineや、Ansible Engineの構成情報を統合管理するAnsible Tower、Ansibleの動作の可視化・コラボレーション・信頼性・加速のためのSaaSサービスが含まれる。

 Ansible Automation Platformの中ではこうしたツールの軸と同時に、ネットワークやサーバーインフラ、開発、ビジネス部門、セキュリティといった分野別のソリューションを用意している。例えばネットワークであれば、各ベンダーのネットワーク機器ごとに自動設定を適用するためのモジュールや、自動設定の記述であるPlaybookおよびRoleなどがある。

 「現在、国内ではサーバーインフラの自動化が多い。ついで多いのがネットワーク。今後、セキュリティインシデント対応がポイントになるだろう」と岡下氏は説明した。

Red Hat Ansible Automation Platform製品

SOARとしてのAnsibleのセキュリティソリューション

 これを受けてフェラーリ氏が、Ansibleのセキュリティソリューション(Ansible Security Automation)について解説した。

 大企業が検討するセキュリティ製品の分野は、SIEM(Security Information and Event Management)やIDPS(IDS/IPS)、ファイアウォール、メールゲートウェイ、Webゲートウェイ、脅威インテリジェンス、エンドポイント保護、認証など、さまざまな分野にわたる。そして、それぞれにさまざまな製品があるため、全体では山のような選択肢になる、とフェラーリ氏は指摘する。

 氏はまた、IT管理部門がセキュリティアラートの5%しか調査できていないことや、インシデントへの対応が遅くなっていること、セキュリティの人材不足などの課題を挙げ、さらに「単に人を増やせば対応できるものではない。 効率化や自動化が必要だ」と語った。

 一方で、アプリケーションも複雑になり、マイクロサービスとなると多数のコンポーネントの組み合わせとなり、守らなくてはならないことも増える、とフェラーリ氏。

大企業が検討するセキュリティ製品の分野
山のような選択肢がある

 このように、さまざまなセキュリティ分野の製品のインテグレーションと、標準化、自動化が必要になるとフェラーリ氏は主張した。この取り組みは「SOAR(Security Orchestration And Automated Response)」の名前で、いくつかの企業が行っているという。同分野には、Microsoftが買収したHexadateや、IBMが買収したResilient、Palo Alto Networksが買収したDemistoなどがいる。

SOAR(Security Orchestration And Automated Response)
SOARの企業

 フェラーリ氏は、これまでのSOARソリューションについて、まだ若いスタートアップ企業であることや、個別にカスタマイズされたセキュリティエンジンのインテグレーションが難しいこと、カスタマイズしようとするとPythonコードを書く必要があってセキュリティチームには難しいこともあることを、問題点として主張した。

 そこでRed Hatは、Ansibleによるセキュリティ自動化を提唱している。フェラーリ氏はSOARでのAnsibleの利点として、オープンソースでバイアスがないこと、記述が簡単で実装やカスタマイズがしやすいこと、十分小さいこと、モジュール化されていてさまざまな局面をサポートできることを挙げた。

 「Red Hatはセキュリティツールを作るわけではなく、ISVに自動化を提供する」とフェラーリ氏は立ち位置を説明する。

 具体的には、まず、4つの分野から始めたという。ファイアウォールではF5・Fortinet・Check Point・Ciscoに、IDPSではFortinet・Check Point・Snortに、SIEMではSplunk・IBMに、認証ではCyberArk・Apache Syncopeに対応する。「今後、新しいベンダーにも対応して、分野増やしていく」(フェラーリ氏)。

Ansible Security AutomationによるSOAR
Ansibleで対応するセキュリティ製品

 事例としてはイタリア陸軍の例が紹介された。認証や検知、セキュリティ対応などのインテグレーションをAnsible Automation Platformで自動化し、19万ユーザー、470以上の兵舎、15のデータセンターで使われているという。

イタリア陸軍の事例