Vuclip が Security Command Center を用いて 100 以上のプロジェクトのクラウド環境の安全保護対策を行う方法

※この投稿は米国時間 2021 年 12 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

よい視聴エクスペリエンスにスピードは不可欠です。鮮明でバッファ不要のビデオ ストリーミングのため、Vuclip は Google Cloud に 2017 年に移行しました。従来のモノリス オンプレミス インフラストラクチャを、そのほぼすべてが Google Cloud 上にある、マイクロサービスベースの本番環境に置き換えました。ほとんどのサービスは、Google Kubernetes Engine で運用しています。これによって、手間いらずのスケーラビリティと、新機能とアップデートの製品化にかかる時間の短縮が可能になりました。

複数の会社で運用しているクラウドのフットプリントが増大していることから、データ侵害からハッカーによるシステムへの違法アクセスまで、Vuclip もさまざまな攻撃の恰好の的です。そのような攻撃に対して、事前対応準備はもちろん、万が一そういった事態が生じた場合に迅速に対処する必要があります。そこで、Google Cloud の Security Command Center（SCC）Premium を使い、複雑なマイクロサービスベースで構築されたテクノロジー環境を守ることに決めました。

Security Command Center を用いて、セキュリティを向上させ、製品化までの時間を加速

SCC Premium を導入する前に、Google Cloud チームの協力を得て、その機能を直接把握するための概念実証を実施しました。Vuclip にとって際立った特徴は、SCC はただ攻撃を低減するだけでなく、継続してシステムの脆弱性を指摘し、改善策を提案することで、セキュリティ機構全体を強化してくれる、という点でした。

かつて Vuclip が使用していたのは、従来型のセキュリティ モデルでした。セキュリティ設定は各ビジネス ユニットごとに責任が委ねられており、Group Risk という内部セキュリティ監査チームがサポートをして、開発されたアプリケーションの本番環境前レビューをする、という流れになっていました。これに対して SCC では、より簡単に検出事項を見つけ、新たなサービスを構築しながら適したセキュリティ構成を組み込むことができます。以前は問題が発生すればすべて Group Risk チームに報告して、レビューを待つ必要がありましたが、今では SCC の最適化案に基づいてポリシーを構成し、提案にすばやく対応できます。これによって製品化までの時間が大幅に短縮されました。以前は本番環境に移行するまで少なくとも 1 か月はかかっていましたが、今では 1 週間もかかりません。

継続的インサイトのための可視化の一元化

SCC プレミアムによって、かつて手動による膨大な作業が必要だった多くのセキュリティ プロセスが簡素化されました。これまで、最も重要なシステムについて定期的な脆弱性スキャンの実行が必要でしたが、マイクロサービスが 100 以上のプロジェクトで実行されていたため、そのすべてに継続的なセキュリティ チェックを行うことは困難でした。SCC の一元的な可視化があれば、こういったすべてのプロジェクトを継続してモニタリングし、構成ミスと脅威をすばやく発見しながらも、コンプライアンス基準を遵守できます。

日々のオペレーションは次のような流れです。新規または既存のプロジェクトも、新たなサービスがシステムに追加されたら、SRE チームが最初に SCC をセットアップに構成するようポリシーで規定されています。こうすることで、それぞれの攻撃対象領域とアプリケーション スタックがプラットフォームを使用しており、すべてのアラートと提案を検知できることを確認できます。すべての通知を Pub/Sub アラート システムに統合することで、複数のプロジェクトにわたるセキュリティ対策を一元的に可視化しています。

包括的なアラートが検知する構成ミス

可視化の改善によってシステムを積極的に監視することが可能になりました。IP アドレスを例に取ってみましょう。新しいシステムを構成するたびに、GKE エンドポイントから新たな公開 IP アドレスを設定する必要があります。その際、SCC からアラートが発出され、新たなパブリック IP アドレスが設定中であることを知らせてくれます。SCC は直ちにファイアウォール ルールの欠落などといった脆弱性あるいは構成ミスを特定します。過去の迅速性や正確性に欠ける脆弱性スキャンとは異なり、このような継続的な可視化があることで、全体のセキュリティ対策強化にもつながる、常に一定のセキュリティを実現しています。

脅威を 1/4 の時間で対応

このような包括的なセキュリティ対策は、SCC からのアラート数が増加してしまうことを意味します。すべてのアラートが、直ちに対応すべき深刻な脅威に関連しているわけではありません。そこで、アラート全体を確認し、その中で最も差し迫った脅威を特定して、次の対応について決定する、という役割に専任するチームメンバーをローテーションで配置しています。SCC を使用していなかったときと比べて、およそ 1/4 の時間で問題に対処することができています。なぜなら、問題を特定してソリューションを探す必要がなくなったからです。代わりに、アラートが問題を即座に指摘してくれます。

このような詳細のアラートと最適化案によって、従業員がセキュリティ関連事項について学べるようになったことは、想定外の収穫でした。この役割に専任することは、将来のシステム改善方法についてのトレーニングとなり、より深刻な脅威へ事前準備する手助けとなります。

迅速に承認を得るためのコンプライアンス強化

SCC はコンプライアンスの分野においても役立ちます。新規および既存のサービスにおける私たちのベースラインは、CIS Google Cloud Foundations Benchmark にありますが、SCC の的確な提案によって、より効率的に要件を満たすことができるようになりました。Group Risk チームは、CIS 基準を遵守していることがより容易に確認できるため、サービスをリリースする前の承認が円滑になりました。このことはさらに製品化までの時間の短縮、そして全体のセキュリティ対策の向上につながっています。

Security Command Center を用いて、安全にエンターテイメントを世界に届ける

Vuclip は、SCC プレミアムによって、断続的な脆弱性スキャンに依存した従来型のセキュリティ モデルから、継続的なモニタリングおよび一元的な可視化と制御を可能とする、よりアジャイルなセキュリティ戦略へ移行しました。これからもさらに SCC の機能を知り、活用していきたいと思っています。例えば、検出のミュート機能は、もう確認する必要のない特定のアラートを無効にしたいときに活用できそうです。

SCC と Vuclip の取り組みによって、Vuclip では安全性とコンプライアンスの確保が強化されただけでなく、製品化までの時間を削減し、さらにセキュリティにネガティブな影響を与えることなく、サービスをいち早く届けることが可能なりました。変化の速いメディア業界において、選ばれ続けるビデオオンデマンド サービス プロバイダとしての立ち位置を維持し、世界の人々にエンターテインメントを提供するには、速度が不可欠です。