OpenShiftのマネージドサービスと
Sysdigを組み合わせた
ソリューションを展開
マイクロサービスのセキュリティを
CI/CDトータルで強化し
顧客のDXを推進
*米国国立標準技術研究所
「Sysdigはコンテナアプリケーションのモニタリングだけでなく、NIST SP800-190を網羅的にカバーしており、今後コンテナ環境で顧客がサービスを開発していく上でセキュリティ面から有用なツールであることがわかりました」
サービスプラットフォーム事業本部 マネージドサービス事業部 クラウドマネージドサービス本部 デリバリ&プラットフォーム第2部
磯 良明 氏
高度なITにより顧客のイノベーションを加速させるべく、IT分野で多様な事業を展開している日立製作所(以下、日立)。同社は企業のDX推進にも注力しており、さまざなまソリューションやサービスを提供しているが、その一環として2021年秋、コンテナの活用により開発効率と運用効率の向上を実現する「Red Hat OpenShift Container Platform(以下、OpenShift)」のマネージドサービスの提供を開始した。
KubernetesをコアとしたパッケージソリューションであるOpenShiftは、コンテナ技術を活用した業務システムの開発・実行基盤を提供し、DXの推進に欠かせないアプリケーションの開発を加速することが可能になる。そのマネージドサービスの提供を始めた背景について、同社で金融・公共・社会分野向けのSIサービスを担当しているサービスプラットフォーム事業本部 マネージドサービス事業部 クラウドマネージドサービス本部 デリバリ&プラットフォーム第2部の磯良明氏は「Kubernetesのようなコンテナオーケストレーションの運用・保守は、一般のシステム部門にとっては煩雑であり、技術的に敷居の高い部分もあります。そこで、お客様がアプリケーション開発の部分に集中していただけるよう、マネージドサービスを提供することになりました」と説明する。
同社がこれまで基幹系システムの提供において高い評価を得てきたこともあり、顧客はコンテナ環境においても高いレベルでのサービス提供を期待する。そこで同社はサービス水準の向上を期し、コンテナ環境における情報セキュリティの確保可能なツールの導入ソリューションを検討することになった。
「さまざまなサービスがコンテナオーケストレーション上で動くようになったとき、アプリケーションを開発している各チームがそれぞれぜい弱性の診断を行ったり、対応したりしていては余計な手間がかかってしまいます。そこで、セキュリティ面を一元管理できるツールを提供できれば大きな付加価値になるのではないかと考えたのです」(磯氏)
かねてより磯氏のチームは、来たるべきマイクロサービス時代に備えて、Kubernetesの検証環境を構築するとともに、コンテナ環境におけるセキュリティツールについて情報を収集していた。そうした中、2019年5月にSCSKから米Sysdig社のKubernetes向けセキュリティ/モニタリングツールである「Sysdig」の取り扱いを始めるという案内が届いたのである。
「優れたツールのようでしたので、評価版を導入してみようかと考えていたのですが、実はすでに社内の他チームがモニター機能を中心に検証を行っており、社内レポートが出ていることを知りました」(磯氏)
そこで磯氏は2020年2月、SCSKが主催したセミナーに参加した上で、Sysdigのテスト採用を決断。コンテナのモニタリングに加え、アプリケーションの開発から運用に至るまでのセキュリティ対策をサービスの一つとして提供することを目的に、2020年夏から2021年3月ごろまで検証を行った。
ちょうどそのころ、デジタルシステム&サービス統括本部 セキュリティリスクマネージメント本部 HIRTセンタの岡田健一氏もSysdigに注目していた。岡田氏は、日立グループのCSIRTであるHIRTセンタにおいて、製品のセキュアな開発に必要となるぜい弱性診断に関連した技術動向やツールなどについて情報収集を行い、社内に向けて情報発信を行っている。
「今後は社内でもコンテナ技術をベースにしたシステム開発が増えていくことを考えると、コンテナ環境におけるぜい弱性診断についてのノウハウを蓄積することが必要だと考え、情報を集めていたのです」(岡田氏)
岡田氏が情報収集を進めていく中、NIST(米国国立標準技術研究所)の「アプリケーションコンテナセキュリティガイド SP800-190」(以下、SP800- 190)に、コンテナ環境を対象としたセキュリティ対策のノウハウが詰まっていることがわかった。そこで、このガイドに示されているセキュリティリスクに対し、効果的に対応するために必要なツールを調べていく中、有望なツールとしてSysdigにたどり着いた。
「SysdigはSP800-190対応もうたっており、今後コンテナベースの製品やサービスを開発していく上でかなり頼りになるツールでありそうなことがわかりました」(岡田氏)
そこで岡田氏は、実際に使ってみて評価したいとSCSKに相談したところ、すでに磯氏のチームが検証を行っているということを聞き、2021年10月から12月にかけて連携して評価を実施した。
SP800-190では、大きく5つの切り口からリスクを示している。「コンテナイメージのリスク」「コンテナレジストリのリスク」「オーケストレータのリスク」「コンテナランタイムのリスク」「ホストOSのリスク」である。これらはさらに細分化され、延べ23項目に整理されているが、今回の検証を通じてSysdigが各項目へ網羅的に対応していることが確認できたため、効果的にぜい弱性を点検できるツールと判断された。そこで岡田氏は、社内用のセキュア開発に関するドキュメントの一つ「ぜい弱性点検ガイド」に、コンテナ環境における有効なセキュリティツールの一つとして掲載することにした。
「もちろん、ツールを導入しさえすればセキュアな開発を担保できるというものではありませんので、引き続きノウハウを蓄積していきたいと考えています」(岡田氏)
左から日立製作所 磯 良明 氏、岡田 健一 氏
今後、DX推進のためのシステム基盤としてコンテナ環境が普及し、APIサービスを含めた多くのサービスが利用されていくことになれば、そのぜい弱性を一元的に管理できるSysdigの必要性も高まっていくと考えられる。
「OpenShiftのマネージドサービスを組み合わせたご提供はもちろん、SIサービスとしてもSysdigをご提供できれば、顧客のDX推進はセキュリティ対策とともにいっそう加速すると思います。当社もSysdigの必要性をお客様へ積極的にアピールしていくつもりですので、豊富な知見を持つSCSKにはぜひご協力いただきたいと考えています」(磯氏)
「HIRTセンタとしても、社内の開発部門に向けて、コンテナ環境におけるセキュアな開発について積極的に情報を発信していくつもりです。SCSKにはSysdigも含めて最新の情報を提供いただけるとありがたいですね」(岡田氏)
同社とSCSKは今後も密に連携し、顧客のDX推進におけるセキュリティ課題の解決を支えていくだろう。
DX推進のキーワードの一つとなっているコンテナ技術を活用した体制をしく開発や運用の現場では、コンテナの特性を生かした上でセキュリティも確保するといったニーズが急速に増加しています。例えばコンテナの特性としてアプリケーションの高速デリバリがありますが、アプリケーション開発の速度を損なわずにセキュリティの確保が可能なソリューションは実は非常に限られています。Sysdigはこの要件に対応し、アプリケーションの開発から運用までのセキュリティを一気通貫で提供します。SCSKでは、今後も日立製作所様とともにSysdigを活用したコンテナ環境でのセキュアな開発や運用の実現に貢献してまいります。
川杉 喜彦
所在地:東京都千代田区丸の内1-6-6 日本生命丸の内ビル
U R L:
https://www.hitachi.co.jp/
日本を代表する総合電機企業。1910年の創業以来、「優れた自主技術・製品の開発を通じて社会に貢献する」という企業理念のもと、重電・産業用電気機器/プラント・エンジニアリング/コンピュータ・通信機器・OA機器/医療機器など、さまざまな事業を提供することで顧客と社会の発展に寄与してきた。近年はインフラ系重視の戦略にシフトするとともに、海外事業を拡大。さらに、最新のOT×IT×プロダクトを組み合わせて社会課題を解決する「社会イノベーション事業」を通じ、データとテクノロジーで持続可能な社会の実現と人々の幸せの両立に挑戦している。
2022年6月