Southwest Airlines が AWS Security Hub を利用してセキュリティ体制に投資

Southwest Airlines (Southwest) は、航空会社の安全かつ円滑な運営を支える多くの統合アプリケーションを保護するために、セキュリティ体制に投資したいと考えていました。セキュリティに関するインサイトを収集するためにクラウドネイティブの要素を使用することで、同社はインフラストラクチャの管理ではなく、革新的なアプリケーションの構築に注力できるようになりました。「チームがセキュリティイベントの調査および回復や、事後のフォレンジック分析をより適切に実行できるように、セキュリティに関する豊富なインサイトをチームに提供できるようにしたいと考えていました」と Southwest の Cloud Security Senior Manager である Will Walsh 氏は述べています。

Amazon Web Services (AWS) への継続的な移行の一環として、Southwest はクラウドセキュリティ体制管理サービスである AWS Security Hub を採用しました。AWS Security Hub は、AWS アカウント全体のセキュリティアラートとセキュリティ体制の包括的なビューをユーザーに提供する、より広範かつスケーラブルな自動統合の重要な部分です。AWS Security Hub を利用することで、Southwest のセキュリティチームは、同社のセキュリティ運用の可視性を高め、クラウドネイティブアプリケーションとサードパーティーアプリケーションの両方を簡単に管理できます。

テキサスを拠点とする Southwest は、世界最大の格安航空会社の 1 つで、約 54,000 人の従業員が年間 1 億 3,000 万人の乗客を 11 か国、101 の目的地に輸送しています。同社は、最も初期の AWS エンタープライズカスタマーの 1 社であり、2010 年に初めて AWS サービスを利用し始めました。以前は、自社のデータセンターで社内テクノロジーを実行して、フライトスケジュールの管理、需要の予測、メンテナンスのスケジュール設定、モバイルおよびウェブ販売の動的価格設定の実現、遅延の原因となる天候などの不規則な事象への対応を行っていました。Southwest は柔軟性を高め、価値の提供を加速したいと考え、2017 年に運用を AWS に移行し始めました。当初、Southwest はクラウドで運用しながら、自社のデータセンター用に開発したのと同じセキュリティ運用モデルを引き続き使用していましたが、クラウドネイティブアプローチを採用することで、その機能を最大限に活用できることにすぐに気付きました。AWS が Southwest に代わってインフラストラクチャを管理する責任共有モデルに移行することで、同社のセキュリティチームは、セキュリティイベントの検出、防止、対応など、より重要な優先事項に注力できるようになります。

Southwest は、高い可用性、回復力、そして開発チームがセキュリティ機能を構築するために使用できるさまざまなツールを高く評価して AWS を選びました。「AWS への移行は、セキュリティアプリケーションの配信速度を上げるための重要なステップでした」と Southwest の Cybersecurity Engineering Director である Jon Barcellona 氏は述べています。「AWS のツールを使用すると、アプリケーションの統合、管理、セグメント化が自然にシンプルになります」。

Southwest は、AWS Security Hub を利用して、AWS 上のさまざまなセキュリティサービスやサードパーティーのセキュリティ製品からデータを管理および収集するセキュリティソリューションを構築しました。また、AWS リソースの設定を記録および評価するサービスである AWS Config のカスタムルールを使用して、さまざまな AWS サービスを管理しています。AWS Security Hub にデータをフィードするサービスには Amazon GuardDuty が含まれています。Amazon GuardDuty は、悪意のあるアクティビティや不正な動作を継続的にモニタリングする脅威検出サービスです。また、Amazon Inspector も利用しています。これを利用することで、自動的にアプリケーションを評価し、エクスポージャー、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認できます。調査開始のために、同社は Amazon Detective を利用しています。Amazon Detective は、潜在的なセキュリティ問題の根本原因を分析、調査、迅速に特定するのを容易にします。

Southwest のソリューションは AWS Security Hub を利用して、Amazon GuardDuty、AWS Config、Amazon Inspector を通じて検出されたイベントを収集します。そこから、イベント情報は地域別に集約され、モニタリングおよびオブザーバビリティサービスである Amazon CloudWatch のログにフィードされます。最後に、Southwest は Amazon CloudWatch ログのアダプターを使用して、サードパーティーのエンタープライズセキュリティ情報およびイベント管理ソリューションにイベント情報をフィードします。このソリューションは、多くのソースからデータを集約し、リッチコンテンツとのイベント相関を実行して、対応が必要なセキュリティイベントを検出します。イベントはセキュリティオペレーションセンターによって継続的にモニタリングされ、必要に応じて分析、封じ込め、根絶されます。

AWS Security Hub を利用することで、セキュリティオペレーションセンター、脅威インテリジェンスチーム、インシデント対応者、アプリケーションチームなど、Southwest のさまざまなチームが、Southwest のセキュリティ体制を詳細に把握できます。このソリューションにより、350 を超える自動セキュリティコントロールを実装するために必要な時間と労力が減り、Southwest はセキュリティ体制を構成する、関連付けられたセキュリティコントロール目標を厳格に遵守できます。世界レベルでは、Southwest は毎月数百の AWS アカウントにわたって 600,000 を超えるリソースをスキャンしており、リソースの 98% がセキュリティ体制チェックに合格しています。残りの 2% のリソースの是正は、AWS Security Hub を通じて簡単に行うことができます。「AWS Security Hub を利用することで、必要なセキュリティ機能が強化されました」と Barcellona 氏は述べています。

Southwest は、検出結果の標準フォーマットである AWS Security Finding Format (ASFF) を使用して、将来の自動セキュリティコントロールの開発時間を短縮するライブラリを構築しています。標準フォーマットを導入することで、Southwest は複雑なテストコントロールを複数のアカウントに実装できます。同社は、新しいコントロールを実装するための開発時間を 5～6 週間から 1 週間に短縮できました。以前は何年もかかっていた開発のアイデア出し、本番稼働、アクティブ化のプロセスを、今では数か月、あるいは数週間で完了できます。「AWS Security Hub によって、まるで魔法のようにデータが標準化されました」と Walsh 氏は述べています。「機械学習、人工知能、異常検出を適用できるようになりました。これらは、当社が以前はできなかったことです」。

今後、Southwest は、ユーザーが AWS のリソースとサービスへのアクセスを安全に管理できるようにする AWS Identity and Access Management (AWS IAM) を利用して、アカウント管理を簡素化することを計画しています。また、外部エンティティと共有されているリソースとアカウントを識別する AWS IAM Access Analyzer を利用して、リソースとデータへの意図しないアクセスのセキュリティリスクの可視性をさらに高める予定です。

Southwest は AWS 上でクラウドネイティブのセキュリティソリューションを構築することで、アプリケーションと機密データを安全に保つために必要な可視性、回復力、効率性を実現しました。「セキュリティシステムが稼働していなければ、当社は飛行できません」と Barcellona 氏は述べています。「そのため、AWS で実現できる堅牢なセキュリティ体制と機能を備えておくことは、当社にとって重要なことなのです」。