面倒なセキュリティ運用を自動化――、レッドハットがSOARソリューションとしてのAnsibleをアピール

　レッドハット株式会社は14日、構成管理とIT自動化管理のプラットフォーム「Red Hat Ansible Automation Platform」に関する記者説明会を開催した。Red Hat Ansible Automation Platformのセキュリティソリューション（Ansible Security Automation）と、セキュリティ自動化・効率化であるSOAR（Security Orchestration And Automated Response）への応用について語られた。

　なお、説明にあたったRed HatのAnsibleセキュリティ担当コンサルティングプロダクトマネージャー、マッシモ・フェラーリ（Massimo Ferrari）氏は、急きょ来日中止となり、イギリスからのビデオ会議での登場となった。

ビデオ会議で登場した、Red HatのAnsibleセキュリティ担当コンサルティングプロダクトマネージャー、マッシモ・フェラーリ（Massimo Ferrari）氏

Ansible Automation Platformとしてツールと各分野のソリューションを統合

　まずAnsible Automation Platformについて、レッドハット 製品統括・事業戦略担当本部長の岡下浩明氏が説明した。

　岡下氏は、従来の個別の自動化を「自動化1.0」と呼び、それに対してAnsibleによる自動化を「自動化2.0」であるとした。自動化の属人性を排除し、スピードアップし、コスト削減し、最終的には品質向上につなげるという。

　国内の事例としては、自動化2.0に進み自動化組織による推進により1万を超えるノードに導入している例から、部門を超えた自動化で自動化2.0に取り組む例、現在は部門レベルの自動化だが標準化されており、やがて自動化2.0に進むだろうという例が紹介された。

レッドハット株式会社の製品統括・事業戦略担当本部長の岡下浩明氏

Ansible Automation Platformの国内事例4社の自動化1.0と自動化2.0

　Ansible製品は現在、「Red Hat Ansible Automation Platform」という製品に統合されている。この中には、自動化ツール本体のAnsible Engineや、Ansible Engineの構成情報を統合管理するAnsible Tower、Ansibleの動作の可視化・コラボレーション・信頼性・加速のためのSaaSサービスが含まれる。

　Ansible Automation Platformの中ではこうしたツールの軸と同時に、ネットワークやサーバーインフラ、開発、ビジネス部門、セキュリティといった分野別のソリューションを用意している。例えばネットワークであれば、各ベンダーのネットワーク機器ごとに自動設定を適用するためのモジュールや、自動設定の記述であるPlaybookおよびRoleなどがある。

　「現在、国内ではサーバーインフラの自動化が多い。ついで多いのがネットワーク。今後、セキュリティインシデント対応がポイントになるだろう」と岡下氏は説明した。

Red Hat Ansible Automation Platform製品

SOARとしてのAnsibleのセキュリティソリューション

　これを受けてフェラーリ氏が、Ansibleのセキュリティソリューション（Ansible Security Automation）について解説した。

　大企業が検討するセキュリティ製品の分野は、SIEM（Security Information and Event Management）やIDPS（IDS/IPS）、ファイアウォール、メールゲートウェイ、Webゲートウェイ、脅威インテリジェンス、エンドポイント保護、認証など、さまざまな分野にわたる。そして、それぞれにさまざまな製品があるため、全体では山のような選択肢になる、とフェラーリ氏は指摘する。

　氏はまた、IT管理部門がセキュリティアラートの5％しか調査できていないことや、インシデントへの対応が遅くなっていること、セキュリティの人材不足などの課題を挙げ、さらに「単に人を増やせば対応できるものではない。 効率化や自動化が必要だ」と語った。

　一方で、アプリケーションも複雑になり、マイクロサービスとなると多数のコンポーネントの組み合わせとなり、守らなくてはならないことも増える、とフェラーリ氏。

大企業が検討するセキュリティ製品の分野

山のような選択肢がある

　このように、さまざまなセキュリティ分野の製品のインテグレーションと、標準化、自動化が必要になるとフェラーリ氏は主張した。この取り組みは「SOAR（Security Orchestration And Automated Response）」の名前で、いくつかの企業が行っているという。同分野には、Microsoftが買収したHexadateや、IBMが買収したResilient、Palo Alto Networksが買収したDemistoなどがいる。

SOAR（Security Orchestration And Automated Response）

SOARの企業

　フェラーリ氏は、これまでのSOARソリューションについて、まだ若いスタートアップ企業であることや、個別にカスタマイズされたセキュリティエンジンのインテグレーションが難しいこと、カスタマイズしようとするとPythonコードを書く必要があってセキュリティチームには難しいこともあることを、問題点として主張した。

　そこでRed Hatは、Ansibleによるセキュリティ自動化を提唱している。フェラーリ氏はSOARでのAnsibleの利点として、オープンソースでバイアスがないこと、記述が簡単で実装やカスタマイズがしやすいこと、十分小さいこと、モジュール化されていてさまざまな局面をサポートできることを挙げた。

　「Red Hatはセキュリティツールを作るわけではなく、ISVに自動化を提供する」とフェラーリ氏は立ち位置を説明する。

　具体的には、まず、4つの分野から始めたという。ファイアウォールではF5・Fortinet・Check Point・Ciscoに、IDPSではFortinet・Check Point・Snortに、SIEMではSplunk・IBMに、認証ではCyberArk・Apache Syncopeに対応する。「今後、新しいベンダーにも対応して、分野増やしていく」（フェラーリ氏）。

Ansible Security AutomationによるSOAR

Ansibleで対応するセキュリティ製品

　事例としてはイタリア陸軍の例が紹介された。認証や検知、セキュリティ対応などのインテグレーションをAnsible Automation Platformで自動化し、19万ユーザー、470以上の兵舎、15のデータセンターで使われているという。

イタリア陸軍の事例