"いち早くAWSに対応し、われわれが求めていたセキュリティ機能をホスト型で提供できるのがDeep Securityでした"

クックパッド株式会社
インフラストラクチャー部 部長
星 北斗 氏

クックパッド株式会社が運営する「クックパッド」は、登録レシピ数270万件超、日本での月間利用者数は約6000万人（ブラウザベースまたは端末ベースにより集計）という国内最大の料理レシピサービスだ。同社は料理教室や料理動画といった料理に関する新規サービスも展開している。

そのサービス基盤として利用しているのが「アマゾン ウェブ サービス（AWS）」だ。当初はオンプレミスでシステムを構築・運用していたが、「料理やお菓子を作る前にチェックする」というサービスの利用傾向のため、アクセス数には波がある。「特にバレンタインデーのある2月は普段の倍以上のアクセスが集中するため、新規サーバの調達と設定、パフォーマンスチューニングといった対応に追われていました」と、クックパッドの星 北斗氏は振り返る。

だが、そうした努力以上に利用者数が伸びていった結果、インフラの調達が追いつかない状況となった。同社は自前のデータセンターだけで対応するのは難しいと判断し、2010年ごろからAWSのAmazon Elastic Compute Cloud（Amazon EC2）への移行を進めてきた。

星氏らインフラの構築・運用を担うSite Reliability Engineering（SRE）チームでは、「パフォーマンスと可用性、キャパシティ、バックアップ、それにセキュリティを『5本柱』と呼んで業務の責任範囲と定め、各要素を最大限向上させてきました」という。

中でも欠かせない要素がセキュリティだ。「お客様は安心して使えるサービスでなければ使おうという気になりませんし、われわれに情報を預けてもくれないでしょう」（星氏）。そこでサーバの堅牢化にはじまり、オープンソースのホスト型不正侵入検知システム（IDS）である「Open Source HIDS SECurity（OSSEC）」などを用い、対策を実施していた。

ただしOSSECには課題もあった。1つはシグネチャ管理の負荷だ。「私一人しかセキュリティに携わるエンジニアがいない状況で、シグネチャの運用を続けるのに限界を感じていました。やるべき仕事は他にもたくさんありました」（星氏）。監視できるレイヤが限られていることも課題だった。「サーバのログには出てこないネットワーク通信そのものをホストごとにキャプチャして検査し、いわゆるDeep Packet Inspection（DPI）も実現したいと考えていました」（星氏）。

AWSに完全移行したからこその悩みもあった。「データセンターならば、全てのネットワークフローが特定のセキュリティ製品を通過するよう自分たちで設定できます。しかしAmazon EC2上では、ホストごとに検査をする必要がありました」と星氏。オンプレミス環境での一元的な監視に代わる、新しい対策のあり方を模索していた。

一連の課題を解決する手段として浮上したのが「Trend Micro Deep Security™（以下、Deep Security）」だった。「2013年当時はAWSを前提にしたセキュリティ製品がほとんど存在しておらず、AWS上のセキュリティに関するベストプラクティスも確立されていない状況でした。そんな中、いち早くAWSに対応していたのがDeep Securityでした」。クックパッドが求めていたDPI機能を、ネットワーク型ではなくホスト型で提供できることも決め手の1つだった。

トレンドマイクロがOSSECのスポンサーとなっており、Deep Securityのコアモジュールとして使われていたことも安心材料となった。「ホスト単位で監視するという方向性が合致していると知り、心強く感じました」と星氏は述べる。

クックパッドではDeep Securityを、主に新規サービスを担うインフラの保護に活用している。レシピ投稿・検索サービスについてはフレームワークやセキュアな開発プロセスが確立され、エンジニアにもナレッジがある。だが、新規サービスとなると開発の委託や新しいフレームワークの利用など、既にあるセキュリティ資産の活用が必ずしもできない一方で、顧客の個人情報など重要なデータも扱う。「こうしたサービスには設計段階からタッチするわけではありませんが、サービス提供者としての責任は我々にあります。こうした部分を監視するためにDeep Securityを活用しています」（星氏）。

Webアプリケーションの脆弱性を狙う攻撃の検知も含め、オールインワン^※でセキュリティ対策を実施してくれるDeep Securityを置くことで、仮にセキュリティ診断で拾いきれなかった問題があっても食い止め、時間を稼いでいる間にコードを修正するという運用が可能になった。

※Deep Securityでは、不正プログラム対策、IPS/IDS(侵入防御)、Webレピュテーション、ホスト型ファイアウォール、システム上の変更監視、セキュリティログ監視の6つの機能を提供しています。

導入から約4年経つが、「狙ったことがきちんと実現できており、満足しています。少なくとも見ている範囲では事故が起きたことはありません」（星氏）。インフラ全体を統括する立場となった星氏も含め、2〜3人でセキュリティを担当しているが、「シグネチャがきちんと更新され、新たな脆弱性にも速やかに追従してもらえるため、運用は楽になりました」（星氏）。Deep Securityのレポート生成機能を活用し、毎月1回程度のペースで振り返りも行っている。

クックパッドでは今後、インシデント対応プロセスやセキュリティオペレーション体制を整備し、経験則に頼らず自動化する方向を目指していく。その際にはDeep SecurityのAPIを用いてSlackなどのSNSツールと連携させ、「日常のオペレーションを1つのシステムの上で回せるようにしたいと考えています」（星氏）。

今や日本だけでなく、海外60カ国以上でサービスを展開しているクックパッド。「海外展開にともなって、受ける攻撃の量も増えてくるでしょうが、トレンドマイクロの製品も活用しながらそれらにきちんと対応し続けられる能力を備え、お客様に安心してサービスを使ってもらえるよう責任を果たしていきます」と星氏は述べている。

※ 記載内容は2017年11月現在のものです。内容は予告なく変更される場合があります。