Volkswagen Group が Amazon GuardDuty を利用して AWS でのセキュリティ脅威を一元的に管理

65 万名を超える従業員を擁する Volkswagen Group (Volkswagen) は、そのオペレーションをサポートするために強力なセキュリティを必要としています。世界的な自動車メーカーは、Amazon Web Services (AWS) を利用したアプリケーションなど、オンプレミスおよびクラウドベースのソリューションを使用しています。Volkswagen は、セキュリティ体制をさらに強化するために、Amazon GuardDuty をデプロイしました。これは、組織の AWS アカウント、ワークロード、およびデータを保護するために、悪意のあるアクティビティや不正な動作がないかを継続的にモニタリングする脅威検出サービスです。AWS セキュリティサービスを利用することで、同社は AWS アカウントを一元的に確認し、脅威に自動的に対応できます。

1937 年に設立され、ドイツに本社を置く Volkswagen は、欧州の 20 か国で 118 の生産工場を運営しています。Volkswagen の乗用車、Audi、SEAT、ŠKODA、Bentley、Bugatti、Lamborghini、Porsche、Ducati、Volkswagen の商用車など、10 の自動車ブランド向けの製品を製造しています。Volkswagen は、組織全体でアプリケーションをホストできるように、プロジェクトをスケールする方法を必要としていました。2016 年には、AWS を利用して、電気自動車の制御を統合するアプリケーションなどの大規模なプロジェクトを拡張し始めました。「AWS のサービスを利用してモジュラーエレクトリックドライブマトリックスプロジェクトのスケールを開始してから、アプリケーションホスティングの需要が高まりました」と、Volkswagen の AWS Cloud Foundational Services の製品オーナーである Sachin Patil 氏は述べています。「その後、これらのプロジェクトをサポートするために AWS を多用するようになりました」

Volkswagen は、安全でサイズ変更が可能なコンピューティング性能をクラウドで提供するウェブサービスである Amazon Elastic Compute Cloud (Amazon EC2) を含む 200 を超える AWS のサービスを利用しています。同社は AWS のサービスの利用を継続したため、AWS アカウント全体のセキュリティと脆弱性の検出を強化したいと考えていました。この目標を達成するために、Volkswagen は、検索可能なインターフェイスでほぼリアルタイムのデータをキャプチャ、インデックス作成、相関させるソフトウェアソリューションである Splunk を利用したオンプレミスのセキュリティ情報およびイベント管理サービスとともに、Amazon GuardDuty を使用してソリューションを開発しました。

Volkswagen は、社内で開発したアカウントプロビジョニングシステムを使用して Amazon GuardDuty をデプロイしました。ただし、このプロセスには時間がかかり、Volkswagen は、個々の AWS アカウントに合わせてセキュリティコントロールをカスタマイズすることは大規模な組織にとって手間がかかることに気付きました。四半期ごとのビジネスレビュー中に同社がこの認識を AWS に伝えた後、AWS チームは AWS Organizations のサポートを Amazon GuardDuty に追加しました。AWS Organizations は、エンタープライズが成長およびスケールする際に AWS 環境を一元的に管理および管理するのに役立つサービスです。AWS Organizations を利用することで、Volkswagen は AWS アカウントを作成し次第 Amazon GuardDuty をデプロイできます。「Amazon GuardDuty は AWS Organizations をサポートしているため、個々のアカウントで Amazon GuardDuty をアクティブ化する必要はありません。デフォルトで、当社が作成するすべてのアカウントに実装されます」と Patil 氏は述べています。「AWS は顧客中心の会社であり、AWS チームは当社の懸念に耳を傾けてくれます。Amazon GuardDuty 向けに AWS Organizations を利用することで、当社は多くの時間を節約できました」 Amazon GuardDuty 向けに AWS Organizations を利用することで、Volkswagen はアカウントのプロビジョニング時間をバッチあたり 5〜7 分短縮できました。

Volkswagen はまた、AWS Organizations を使用して AWS Security Hub を実装しています。これは、AWS アカウント全体のセキュリティアラートとセキュリティ体制の包括的なビューを提供するサービスであり、アカウント所有者はセキュリティの脅威と検出結果に一元的にアクセスできます。AWS Organizations を利用して AWS Security Hub およびその他の組織レベルのサービスをアクティブ化することで、Volkswagen は、全体的なアカウントのプロビジョニング時間をバッチあたりさらに 15〜20 分短縮することができました。また、アカウント作成時に脅威を検出できるため、セキュリティが向上します。システムが脅威を検出すると、その検出結果は Volkswagen の Splunk セキュリティ情報とイベント管理インスタンスにフローし、Volkswagen のセキュリティオペレーションセンター (SOC) に対応を促します。

また、Volkswagen は、従業員の作業負荷を軽減するために、脅威検出プロセスにオートメーションを実装しました。例えば、Amazon GuardDuty は、ルートキットウイルスで汚染されている可能性のある Amazon EC2 インスタンスを検出すると、アカウント所有者に E メールを送信するためにワークフローを開始します。また、AWS Security Hub に検出結果を追加し、SOC チームにアラートを送信します。チームメンバーは、Amazon GuardDuty の検出結果を確認し、Amazon EC2 インスタンスの廃止や SOC の AWS アカウントでのコピーの作成などの修復アクションを実行できます。このアカウントには、根本原因の分析と問題の修正に使用されるツールが含まれています。問題が修正され、解決済みとしてマークされると、Amazon GuardDuty はアカウントにアラートを送信して、AWS Security Hub のセキュリティの検出結果を表示します。特に重大な問題については、SOC チームとアカウント所有者がアラートを受信し、影響を受けるアプリケーションまたはアカウントを直ちに自動的にブロックして、脅威が Volkswagen のシステムの他の部分に害を及ぼすのを防ぎます。

また、Volkswagen は、AWS Organizations を利用して、サービスコントロールポリシーを適用し、AWS アカウント全体の許可を管理します。例えば、SOC チームは、アカウント所有者が使用を許可されている承認済み AWS リージョンのリストを管理します。従業員がプロジェクトを開始すると、チームはプロジェクトのニーズ、目的、および適用される規制に基づいて特定の AWS リージョンを承認します。これらのポリシーは、SOC チームにセキュリティ問題の可能性に対する可視性を提供し、従業員が承認された AWS リージョン外のリソースをプロビジョニングしてアクセスすることを防ぎます。アカウントのプロビジョニングプロセス中に、Volkswagen は、サービスコントロールポリシーを自動的に適用し、個々のアカウントが Amazon GuardDuty または AWS Security Hub を変更できないようにします。一元化された予防ポリシーを実装することにより、Volkswagen は、エラーの可能性を低減し、イノベーションに集中することができます。「当社のユーザーがセキュリティのために AWS のサービスを利用しようとするとき、AWS は常にサポートしてくれます。ゼロからソリューションを構築する必要はありません」と Patil 氏は述べています。「これにより、ユーザーはソリューションが安全で Volkswagen の基準を満たしていることを確信でき、多くの時間を節約できます。当社のユーザーは、アプリケーションの構築と車両への接続に集中できるのです」

Volkswagen は、Amazon GuardDuty、AWS Security Hub、および AWS Organizations を使用して、セキュリティの脅威を自動的に識別し、ソリューションを迅速にデプロイして、AWS アカウント、ビジネスアプリケーション、およびインフラストラクチャを保護できます。Volkswagen は引き続き AWS のサービスを利用して、Firestarter などの革新的なソリューションを開発します。Firestarter は、オープンソースの JavaScript ライブラリである React に基づく Amazon API Gateway で提供されるアプリケーションです。Volkswagen は、Amazon API Gateway で Firestarter を提供します。Amazon API Gateway は、あらゆる規模の API の作成、発行、維持、モニタリング、および保護を簡単にするフルマネージドサービスです。Volkswagen は Firestarter を使用して、新規顧客向けの AWS 環境へのオンボーディングを合理化および迅速化します。

Volkswagen は、AWS チームから受けたサポートの恩恵も受けています。「AWS での顧客中心のアプローチは注目に値します」と Volkswagen のベーシックプラットフォームオーナーである Anurag Agrawal 氏は述べています。「当社は AWS から多くのことを学びました。そしてそれは組織の一部となっています」