ZS が AWS セキュリティサービスを利用して常時オンのセキュリティに関するベストプラクティスを実現

ZS Associates (ZS) は、複雑で厳しいセキュリティニーズを持つ多様なグローバルクライアントベースのために、セキュリティ体制の可視性を高め、管理を簡素化することを目指していました。多くのクライアントは、国や業界によって異なるコンプライアンス標準を満たす必要があります。ZS は、Amazon Web Services (AWS) を利用して、個々のクライアントに固有のクラウドソリューションアーキテクチャを構築してきたため、簡単にスケールでき、既に利用している何百もの AWS サービスと連携して適切に機能する、レプリケート可能なセキュリティソリューションを求めていました。ZS は AWS を利用して、時間のかかる手動のセキュリティ手順を自動化し、クライアントのためにクラウドアーキテクチャのロールアウトを容易にする、スケーラブルで包括的なセキュリティ環境を構築しました。

1983 年の創業以来、ZS はソフトウェアを使用してクライアントの問題を解決してきました。長年にわたり、同社は分析、人工知能、機械学習の機能を使用して革新的なオファリングを構築し、それらを Software as a Service として提供してきました。ZS は多くの場合、AWS 上に構築され、さまざまなマネージド AWS サービスによって拡張された独自のプラットフォームである ZAIDYN を利用してクライアントソリューションを構築しています。同社には独自の Cloud Center of Excellence (CCoE) があります。これは、ZS のクライアント向けソリューションの一部であり、250 を超える AWS アカウントの構築、メンテナンス、および設計支援を専門とする部門です。ZS が「スポーク AWS アカウント」と呼ぶものの中で、さまざまな AWS サービスが各クライアントのために連携します。ZS は、これらのすべてのアカウントを、関連するログ、メトリクス、イベントの一元管理を通じてモニタリングできます。

これらのログ、メトリクス、イベントは TB 規模の生の情報を生成し、ZS は少なくとも 1 年間、Amazon Simple Storage Service (Amazon S3) を利用してこれらの情報を保存しています。Amazon S3 は、業界をリードするスケーラビリティ、データ可用性、セキュリティ、パフォーマンスを提供するオブジェクトストレージサービスです。CCoE はこの情報をフィルタリングし、中間コンポーネントを通じて数百 GB のデータを一元的なオブザーバビリティプラットフォームに送信する方法を生み出しました。(図 1: AWS オブザーバビリティプラットフォームのリファレンスアーキテクチャを参照)「最も多くのインサイトを提供するログを確認できるように、さまざまなデータ階層を作成する会社固有のデューデリジェンスプロセスが必要です」と ZS の Director of Cloud Services である Rujuswami Gandhi 氏は述べています。 

セキュリティは、この情報フローの重要な一部です。ZS は、National Institute of Standards and Technology (NIST) のサイバーセキュリティフレームワーク (識別、保護、検出と対応、回復) を中心とした堅牢なセキュリティ環境を構築しました。また、ガバナンスを追加しました。これは、サードパーティーのセキュリティ監査に備えるための社内イニシアティブです。「当社は、クライアントのために採用している独自のテナンシーアーキテクチャで多くの AWS サービスを利用していますが、セキュリティは非常に重要な要素です。なぜなら、クライアントは強力な情報セキュリティを強く求めているからです」と Gandhi 氏は述べています。「当社のお客様には、当社が成熟した方法で AWS サービスを利用しているということだけでなく、業界標準のフレームワークにも準拠しているという点でもご安心いただけます」。 ZS が構築したセキュリティ環境の詳細については、図 2「ZS の AWS クラウドトラスト環境 – セキュリティレンズ」をご覧ください。

例えば、ZS は検出と対応の柱の一環として、多数のサードパーティーソリューションによって強化された 8 つの AWS サービスを利用しています。ZS は、セキュリティに関するベストプラクティスのチェックを実行し、アラートを集約して、自動是正をサポートするクラウドセキュリティ体制管理サービスである AWS Security Hub を利用して、ほぼリアルタイムの一元的な可視性を実現しています。さらに ZS は、SOC 2、ISO/IEC 27001、HITRUST など、ZS のクライアントが必要とする多くのセキュリティフレームワーク向けのマッピング機能を使用して、基本的なコンプライアンス管理を簡素化しました。セキュリティ標準は世界的に異なるため (欧州連合の一般データ保護規則 (GDRP) や、Multi-Layer Protection Scheme として知られる中国のガバナンスフレームワークなど)、AWS Security Hub を利用することで ZS のグローバル展開が促進されました。「AWS Security Hub を利用すると、事前構築済みのパッケージ化されたルールセットから選択するだけで、自動的にデプロイされ、是正作業の進行に合わせて遵守状況に関するインサイトと傾向が提供されます」と Gandhi 氏は述べています。「AWS Security Hub の管理にかかる手間はわずかです」。

ZS が脅威を検出して対応するために使用するもう 1 つのサービスは Amazon Inspector です。これは、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーがないかを確認するために、継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。差し迫った脅威を阻止するために、ZS は Amazon GuardDuty を利用しています。これは、AWS アカウントとワークロードを継続的にモニタリングして悪意のあるアクティビティがないかを確認し、可視性と是正のための詳細なセキュリティに関する検出結果を提供する脅威検出サービスです。「Amazon GuardDuty を利用することで、インシデント対応チームがすぐに気付いていなければセキュリティインシデントになっていたかもしれない、重要なインサイトを得ることができました」と Gandhi 氏は述べています。また、コンプライアンスの実証に役立つよう、ZS は AWS インフラストラクチャ全体のアカウントアクティビティをモニタリングおよび記録する AWS CloudTrail を利用しています。この可視性の向上により、監査手順が簡素化されます。

NIST フレームワークの保護の柱に沿った環境の一環として、ZS は AWS 全体にわたってきめ細かなアクセスコントロールを提供する AWS Identity and Access Management (AWS IAM) を利用しています。「これは、AWS を利用することなく、当社自身で対処することにしていたとしたら、非常に複雑になっていたでしょう」と ZS の Cloud Architect である Beeling Chang 氏は述べています。

CCoE のワークロード全体は AWS Landing Zone の概念に基づいて構築されています。このサービスは、AWS のベストプラクティスに基づいて、安全なマルチアカウント AWS 環境をより迅速に設定するのに役立つソリューションです。AWS Landing Zone は、安全でスケーラブルなワークロードを実行するための設定を自動化することで、時間を節約するのをサポートします。ZS は、AWS ソリューションの常時オンの自動コンプライアンスモードを使用することで、セキュリティに関するベストプラクティスの遵守状況を手動で確認するのにかかる労力を、1 か月あたり約 1,000 時間節約できると見積もっています。さらに、ZS は AWS のスタッカブルセキュリティや他のサービスを利用して、新規クライアントのオンボーディングを 3 倍高速化しています。

ZS の CCoE チームは、クラウドアーキテクトがさまざまなアプリケーションやワークロード向けに、安全かつ高性能で、回復力と効率に優れたインフラストラクチャを構築するのに役立つ AWS Well-Architected フレームワーク全体で改善を目指し、引き続きセキュリティに注力しています。

また、AWS ソリューションに重点を移して以来、ZS は革新的な分析機能と機械学習機能の活用における俊敏性を高めながら、優秀な人材を引き付け、従業員の能力を強化しています。従業員はこれらの最先端のテクノロジーを利用して、クライアントと共同で作業し、複雑な問題の解決に役立てています。「AWS を利用すると、一元的な可視性が得られます」と Gandhi 氏は述べています。「常時オンで、常時ライブです。私たちの考え方全体が変わってきています」。