Nuxeoのセキュリティチームは、その設立当初から、弊社のコンテンツサービスプラットフォームを最も厳密なセキュリティ基準とプロトコルに準拠させるべく常に努力してきました。特に過去2年間は、Nuxeo Platformのセキュリティを確保しつつ、お客様が求める高いレベルのパフォーマンスを実現するため、多大な投資をしてきました。

私は2017年にNuxeoのセキュリティ責任者になりましたが、就任と同時に最初に実行したのが、Nuxeo Platform内のデータとコンテンツの管理に関して有効なプロセスがあるかどうかを確認することでした。「何が」、「どこで」、「いつ」、「どのように」の情報を、できるかぎり完全に常に把握するためです。この基本が確立していれば、セキュリティインシデントが発生しても効果的に対応することができます。

##各地の事業拠点のセキュアな接続とネットワークの更新
Nuxeoは、北米、ヨーロッパ、アジアにオフィスを持ち、遠隔勤務の社員も数人サポートしています。そこで、機器管理のアプローチを統一してVPNメッシュを作り、すべてのオフィスをシームレスにつなぐことにしました。また、アマゾンウェブサービス(AWS)上にVPCへの接続を追加して、AWSのアーキテクチャを活かしながら、どのオフィスからでも社内サービスにアクセスできるようにしました。

##シングルサイオン(SSO)
Nuxeoの事業が拡大するにつれ、使用するシステムやツールが増えてきました。こうして規模が大きくなったことで、ローカルアカウントと共有アカウントの両方を安全に管理する必要が生じたのです。

そこで新しいAWS Directory Serviceをインストールして、完全なActiveDirectoryを導入しました。さらに、Radiusサーバも導入して、WPA Enterpriseだけを使ってWiFiに接続できるようにもしました。使用状況を確実に管理し、調査能力を向上させるためです。また、新しいActiveDirectoryをOktaに接続しました。こうしたことから、今ではほとんどの既存アプリケーションにSSOを使用しています。

##AWS
Nuxeoは、複数のAWSアカウントを包含する単一の組織を作成して、すべてのアカウントをそれに接続しました。自社開発したツール(Ivoryshield)を使用して、すべてのアカウントにAWS CloudTrailを徹底したため、今ではすべてのイベントが数分以内に処理され、社内ポリシーを確実に順守しています。AWSの良い点は、すべてのアクションにイベントを生成する点です。このため、詳細なコントロールを維持してスクリプトで自動処理するのも簡単です。

##自動化がカギ
新しいランブックをスクリプトにして複数のサービスに接続したため、Nuxeoは、CloudTrailを介してすべてのアクションを記録できるようになりました。結果として、すべてのチームメンバーが同じアクションを同じ順序で実行するよう徹底されています。さらに、脆弱性スキャナも自動化して、専用環境をスキャンしています。

##セキュリティの継続的改善
弊社のセキュリティチーム、プロダクションチーム、開発チームはすべて、Nuxeo Content Platformが厳密なセキュリティプロトコルに準拠できるようにすることを重視しています。

高いレベルのセキュリティを確保するには、注意を払って継続的に改善していく必要があるため、弊社ではこれを念頭に置いたセキュリティ面の目標を設定しています。私たちが取り組んでいる目標には、例えば以下のようなものがあります。

  • すべてのRESTの暗号化 - S3バケットの暗号化を自動化しました。
  • アンチウイルス - Cylanceソリューションをすべてのサーバに導入しました。
  • WAFの導入 - AWS WAFとAWS Shield Advancedを導入しました。
  • IDS - Threatstackをすべてのサーバに導入して、アラートの詳細度を高め、望ましいレベルに到達させました。

Nuxeoのセキュリティ

##監査とギャップ分析
監査とギャップ分析は2018年末に開始しました。現在ではこの結果を参考にして、プラットフォーム内にあるすべてのコンテンツとデータを確実に保護するための継続的な取り組みを進めています。

Nuxeoのセキュリティチームは、承認トークンのシステムも開発しました。弊社の環境内でのセキュリティルールの検証プロセスを自動化するものです。これにより、アクセスコントロールや他のセキュリティルールを特定のワークグループ(「セキュリティチーム」など)に適用したり検証したりする際のプロセスの精度と効率が向上しています。

そして……NuxeoはPCI/DSS認証も取得しました!

##今後の取り組み
私たちは、休む間もなく次の活動を開始しています。SOC2監査です。さらに他の認証も引き続き取得していきます。弊社の製品で可能なかぎり高いレベルのセキュリティを実現することで、弊社とその製品に対する信頼を今以上に高めていけると確信しているからです。

今後もセキュリティ関連の記事にご期待ください。セキュリティの自動化やIvoryShieldを使ったファイアウォールのトークン署名に関する洞察などをお届けしていきます。