ゴールドマンサックスにとって、市場の速度変化に対し、システムを迅速に対応させることは最も重要な課題です。
競争力を維持するためには、お客様への提案や交渉に役立つシステムが必要不可欠であり、ゴールドマンサックスのエンジニアリング部門は、社員がいつでも世界経済の変化に対応できるツールを使えるように日々メンテナンスしています。
ゴールドマンサックスでは、DevOpsやマイクロサービスの考え方をすでに採用しており、オンプレミス環境とクラウド環境全体でコンテナ化されたアプリケーションを運用しています。
これにより、同社はソフトウェアのデリバリースピードを2週間に1回のビルドから、1日あたり1,000回を超えるビルドに加速することが出来ました。
同社はマイクロサービスを採用するにあたり、Sysdig製品を導入し、ホストやコンテナの監視およびセキュリティ管理を実現しました。
ゴールドマンサックスはデリバリースピードだけでなく、コンプライアンスとセキュリティの維持を非常に重要視していました。
業界としても非常に厳しい基準が求められている中で、アプリケーションとデータを確実に監視することが求められていました。
加えて、ビジネスに直結するパフォーマンスと可用性も重要な要素と考えていました。
クラウドネイティブな技術によって、ゴールドマンサックスのDevOpsチームの業務は大幅に効率化されました。
コンテナを使用することで、ソフトウェア開発スピードの加速、ビジネス継続性の自動化、インフラストラクチャ管理の簡素化を実現しています。
そのような変化に伴い、セキュリティとコンプライアンスのプロセスを効果的に変更することが課題となっていました。
クラウドプロバイダーとオンプレミスデータセンターにまたがる非常に動的な環境により、セキュリティ、監視、トラブルシューティングはまったく新しい次元になりました
と、ゴールドマンサックスのエンジニアリング担当副社長であるChetan Mehendiratta氏は述べています。
私たちの任務は、自社環境で実行されているサービスを最適化して保護することです。
たとえば、通信パターンとクラスターの使用状況を理解し、不正な動作とセキュリティイベントを特定し、アプリケーションが十分に活用されているのか、過剰に利用されていないかを確認しなければなりません。
これらを実現するためには、詳細なテレメトリだけでなく、アプリケーションのコンテキストも必要となります。
これが非常に難しい問題でした。
ゴールドマンサックスは2016年後半にSysdig社と契約し、技術検証を行いました。
検証によって、Sysdig製品はゴールドマンサックスの求めているセキュリティとコンプライアンスの可視性レベルを満たしていることが確認されました。
Sysdig導入後は、監視、トラブルシューティング、スキャン、コンプライアンス、脅威の検知、監査など、数十のユースケースに大規模に対応できるようになりました。
ゴールドマンサックスのシステム監視チームは、Sysdigを使用して、非常に動的でスケーラブルなマルチクラウド環境のホスト、コンテナ、およびオーケストレーターを自動検出および監視しています。
オンプレミス環境とパブリッククラウド全体でアプリケーションとコンテナを簡単に識別することができ、収集されたテレメトリは、アプリケーション、インフラストラクチャ、およびプロセスレベルのアクティビティにまたがり、1秒あたり数百万のコンテナをポーリングしています。
Sysdigから得られるデータをもとに、特定のアプリケーションに属するコンテナとプロセスを識別し、他のサービスと通信するサービスの詳細を示すカスタムサービス接続マップも構築しています。
これらのマップは、スタック全体の問題の特定とトラブルシューティングに役立つ詳細なアクティビティデータで強化されています。
Sysdigの導入によって、エンティティ、データセンター、リージョン、およびクラウド間の数百万のネットワーク接続を追跡し、ネットワークの使用状況をコンテナに関連付けることが出来るようになりました。
どのプロセスやコンテナで頻繁に通信が行われているかを把握することによって、以下のようなことを実現しています。
Sysdig Secureによってセキュリティ検出ポリシーにアクセスし、プロセス、ファイル、ネットワークI / O、およびユーザーアクティビティを完全に可視化することが出来るようになりました。
すぐに使用できるルールとカスタマイズ可能なルールの両方によって、一般的な不正行為と潜在的な侵入の痕跡の検出を可能にしています。
ゴールドマン・セキュリティ・インシデント・レスポンス・チーム(SIRT)は、MITRE ATT&CK フレームワークを使用して、検出戦略を調整し、ツールを比較しながら選定を行いました。
セキュリティはベストプラクティスを中心に推進されており、チームがMITRE ATT&CKプラクティスを効率的に適用する方法が必要でした
とゴールドマンサックスのセキュリティインシデント対応のグローバル責任者であるWes Williamsは説明しています。
ゴールドマンサックスでは、既存のロギングツールと、オープンソースのクラウドネイティブランタイムセキュリティプロジェクトであるFalcoを含むオープンソースソリューションを評価しました。
評価後、既存のロギングツールでは必要な一連の検出を十分にできないと結論付けました。
FalcoをベースにしたSysdig Secureによって、インシデントを検知し、粒度の高いデータをコンテキストとともに使用して迅速に対応することが出来るようになりました。
偽陽性のノイズを最小限に抑える堅牢な検知機能により、チームの効率と信頼性を向上させました。
Sysdigが監査とフォレンジックのために収集したデータは、ゴールドマンサックスの戦略を実現する重要な要素になっています。
これらの収集したデータにより、担当者はイベントが発生した瞬間からユーザーやシステムのアクティビティを確認することができます。
これには、実行されたユーザーコマンド、構築または試行されたすべてのネットワーク接続、ホストが実行されていない場合も含めた、あらゆるI/Oアクティビティをドリルダウンする機能が含まれています。
たとえコンテナを数秒しか利用しなかったとしても、全ての記録を残すことが重要です。フォレンジック調査だけでなく、セキュリティ監査を行うためには、このようなデータを大規模に収集する必要があります。
とWilliamsは述べています。
Sysdig製品は、ゴールドマン・サックスのLinux、コンテナ、クラウド環境に欠かせない存在となっており、イノベーションを加速させ、競争力を維持するために貢献しています。
Translated by Shoko Sekiya
