ミッションクリティカルな金融システムのコンテナ化には
厳格な要件をクリアするためのツールが必要

　グループビジョン「Trusted Global Innovator」を掲げ、世界を舞台にさまざまなデジタルソリューションを提供しているエヌ・ティ・ティ・データ（以下、NTTデータ）。多彩なサービスを手がける同社だが、クラウドビジネスはいま最も注力している分野の1つだ。これに合わせて同社では、クラウド人材の育成を加速させており、2022年度までに国内で3,000人、グローバルで1万人育て上げることを目指している。

　また同社はクラウドビジネスの拡大に伴い、アプリケーションとインフラのモダナイズを実現すべく、コンテナの技術開発に取り組んできた。同社のキャッシュレス決済総合プラットフォーム「CAFIS（キャフィス）」と連携するコード決済ゲートウェイにおいてアプリケーションとインフラのモダナイズを実現するため、コンテナを適用することを決定した。

　ところが検討を進めていくうちに、Kubernetesだけでは決済システムに求められる運用監視およびセキュリティの要件に対応するのが難しいことが明らかになった。技術革新統括本部 システム技術本部 生産技術部 クラウド技術センタ 課長の武田 健太郎 氏は「開発のアジリティを高め、顧客のニーズや技術の進化に対応しながら新たなサービスを提供するためには、コンテナの活用が必須であり、Kubernetesは最適な管理ツールでした。しかし決済というミッションクリティカルなシステムの厳格な要件をクリアするためにはKubernetes単体では不十分で、そこをカバーできる新たなツールが必要と判断しました」と語る。

運用監視とセキュリティの2つを
1つのサービスで対応する
「Sysdig Secure DevOps Platform」を採用

　そこでNTTデータは解決策を模索していたが、SCSKとの意見交換の中から「Sysdig Secure DevOps Platform（以下、Sysdig）」の存在を知り、2020年1月にSCSKと連携した製品評価の実施を依頼。2月よりオンプレミス版とクラウド版を順次検証し、4月に採用を決定した。Sysdigを選定した理由について、技術革新統括本部 システム技術本部 生産技術部 クラウド技術センタ 主任の佐藤 優太 氏は次のように語る。
「運用監視とセキュリティの2つを、1つのサービスで実現できるというのが大きな魅力でした。PoCを実施してみると、オンプレミス環境のOpenShiftおよびパブリッククラウドのコンテナマネージドサービスの双方と相性が良いこと、自動的なコンテナイメージの脆弱性スキャン、メトリクスの統合収集機能などが有用であることなどがわかりました。セキュリティも、OSSのコンテナランタイムセキュリティソフトウェアであるFalcoルールに基づき、環境に関係なくコンテナへの不正アクセスが検知できるなど、必要な機能をすべて網羅していました」

　Sysdigの採用を決定した同社は、2020年6月よりコード決済ゲートウェイへの導入作業をスタート。まずテスト環境にモニタリング機能（Sysdigモニター）を導入し、影響調査や性能試験を実施した。この結果を受けて、8月より商用環境に導入。監視設定、ダッシュボードの開発などを経て、11月より本格運用を開始した。またセキュリティ機能（Sysdigセキュア）は、2021年6月からの本格導入に向けて、Falcoルールの勉強会を開催したり、異常検知のスキルを磨いたりしながら、ツールのチューニング作業に取り組んでいる。
「SCSKにはPoCから一貫して支援いただき、おかげさまで導入もスムーズに進みました。手順書やマニュアルも日本語化／動画化されており、簡単にデプロイできました。機能についても、Falcoルールの設定やキャプチャの解析など、特殊なノウハウが必要なところはSCSKに勉強会を開催していただきました」（佐藤氏）

　ただし、Sysdigを導入した時点で終わりではなく継続的な改善が必要である。
「Sysdigモニターでは、必要な指標（メトリクス）をいかに取得し改善していくかが大切です。Sysdigセキュアも、不正なアクセスだけを検知するためにはチューニングが必要となります。それゆえ、SREチームとセキュリティチームが継続的に改善していく体制で開発を進めています」（武田氏）

　現在、Sysdigモニターはコード決済ゲートウェイで稼働する約100台のコンテナを管理しているが、これにより担当者のスキルに依存することなく障害を迅速に検知、復旧できる仕組みが実現した。
「これまでは障害の原因が瞬時に判断できず、対応時もKubernetesに特殊なコマンドを打つ必要がありました。しかしSysdigの導入後は、チーム単位でダッシュボードを構築して情報収集の初動を高速化し、トポロジーマップで障害の原因を特定できるようになりました。さらに、チャットシステムやオンコールシステムと連携し、コンテナの障害を検知した際には即座に対応する体制を構築しています」（佐藤氏）

PCIDSSなど高信頼・高セキュリティが
求められる決済系にも適用
ハイブリッド＆マルチクラウド対応を目指す

　NTTデータでは今後、PCIDSSなど高信頼・高セキュリティが求められる決済系システムにもクラウド・コンテナ活用を拡大していく計画だ。同社が提供する金融機関向けクラウドサービス「OpenCanvas」のコンテナ基盤や、複数のパブリッククラウドサービスのコンテナなど、ハイブリッドクラウド対応、マルチクラウド対応も見据えているという。
「この際、モニタリングとセキュリティが1つのビューで確保できるSysdigのメリットを活かすことができると思います。SCSKには機能面でのブラッシュアップや、教育支援、ベストプラクティスの提供を期待しています」（佐藤氏）

　また2020年7月には、同社とSCSKが販売パートナーとしてSysdigに関するビジネスを共同で推進していくことを発表。共同セミナーの開催やプロモーション活動を通じて、コンテナ・モニタリングやセキュリティの必要性や重要性を世に広く訴え、コンテナを活用した顧客のDX支援を行っていく考えだ。
「クラウド・コンテナ活用人材を育成し、SCSKとの協業のもと、Sysdigを含めさまざまなサービスを多くのお客様にデリバリーしていきます」（武田氏）

　NTTデータにおけるクラウド・コンテナ活用は、Sysdigと共に発展を続けていくだろう。