全ての記事
トレンド
セキュリティ
業務効率化
生産性向上
コスト削減
本格的な普及期を迎えたコンテナに潜むリスクとその抜本的な対策とは
- アプリケーション開発
- インタビュー
- コンテナ
- ../../../article/2020/11/sysdig.html
経済産業省によるDXレポートや、内閣府が提唱してきたSociety5.0で語られる世界では、デジタル領域への投資が長期的な成長に欠かせない要素とされています。現在では多くの企業が、デジタルトランスフォーメーション(以下、DX)を実現しようとしています。
一方で、DXが進むと、アプリケーション開発のありようも変わってきます。複雑化が進み、顧客のニーズが多様化するDX時代の今、ウォーターフォール型開発ではスピードや柔軟性が不十分です。今や状況やニーズの変化にフレキシブルに対応できるアジャイル開発は不可欠となりました。
アジャイル開発では、開発(Dev)チームと運用(Ops)チームが責任と役割において住み分けられ、互いに協力しながら素早くプロジェクトを進めることが重要です。これはコンテナを活用することで効率的に進められるため、DX時代のアプリケーション開発ではコンテナ利用が進むことが予想されます。一方、コンテナを安全に利用するには、コンテナを守るセキュリティが必要です。コンテナのセキュリティは既存のセキュリティと異なるため、注意すべきポイントをきちんと押さえる必要があります。
2021年6月18日、SCSK株式会社はオンラインセミナー「『DXを推進するために必要なコトは?』 ~DXの海をわたるための羅針盤~」を開催し、SCSK株式会社、レッドハット株式会社の専門家がDXの現状と、推進の方法について解説しました。
本セミナーでは、コンテナ/ kubernetes に関連するソリューション、DXを実現するための企業の体制作りから、アジャイル開発を進める上で重要なチーム作りなど、DX実現を目指す企業と、そうした企業を支援するIT事業者に役立つ内容をご紹介しました。当記事ではセミナーの内容についてお伝えします。
開催概要
主催:SCSK株式会社 共催:レッドハット株式会社
日時:2021年6月18日(金) 10:00~11:30
会場:オンラインセミナー
目次
95%の企業が進められていないDX、鍵は「攻め」と「守り」
SCSK株式会社 中村 彰宏は、経済産業省が提唱してきたDXの重要性を語りました。
SCSK株式会社
ビジネスデザイングループ統括本部
事業企画部 第一課
中村 彰宏
経済産業省は「あらゆる産業において、新たなデジタル技術を使ってこれまでにないビジネス・モデルを展開する新規参入者が登場し、ゲームチェンジが起ころうとしています。こうした中で、各企業は、競争力維持・強化のために、デジタルトランスフォーメーション(DX:Digital Transformation)をスピーディーに進めていくことが求められています」と2018年に発表したDXレポートに明記しています。
しかし、われわれの推測では95パーセントの企業はDXに未着手か、着手し始めたばかりです。実際、SCSKのお客様を見てみると、その多くが1~2年前からDXに着手しており、DXを進めるための部署を設置するなどしています。ただ「DXで成功している」あるいは「DXが順調に進んでいる」というお客様はまだ多くないのが現状でしょう。
中村は「課題は『トップのコミットメント』と『ミドル層への浸透』です。経営層がDX推進について共通認識を持っていないため、組織的な活動が進みにくいのです。経営層とミドルマネジメントの視座や目標が合致しておらず、現業部署の巻き込みに時間がかかるのです」と話します。
こうした課題を解決するために、SCSKではDX推進支援プログラムを用意しています。同プログラムでは、DXを「社内向けの『守り』のDX」と、「社外向けの『攻め』のDXの2つに分けてアプローチします。社内では、働き方改革とデジタル化でオペレーションの高度化を進め、やりがい向上とナレッジ蓄積で従業員値体験・価値を向上していきます。一方社外ではプロセス改革と市場創造で顧客体験・価値向上を図り、ビジネス変革を起こします。
これを進めるにあたって必要なことが3つあります。1つ目は、デジタル化推進に必要なプロセスを整備すること。2つ目は、DXに必要なデジタル技術の活用を組み込んだDXロードマップを策定すること。3つ目は、ビジネスとITと人の変革を目指すことです。
中村は最後に、「DX推進支援で大切なのはDXの成功体験をもたらすフレームワーク、導いてくれるプロフェッショナル人材、DXを伴走形式で走らせるプロジェクトの3つです」と語りました。
アジャイルなチームには、それに即したリーダーシップが必要
SCSK株式会社 山本 尊人はDX時代のアジャイルなチームの作り方を解説しました。
SCSK株式会社
ものづくり革新推進センターアジャイル推進部
アジャイル開発課 課長
山本 尊人
先の読めないDX時代に入り、変化の中でのアプリケーション開発に対応できるアジャイルなチーム作りが必要になってきました。しかし、多くの企業でやり方がわからない、うまくいかないという声が上がっています。
山本氏は「なぜ難しいのかというと、従来型のプロジェクトの進め方とアジャイルなプロジェクトの進め方では、プロセスや考え方が全く異なるからです」と語ります。
従来型のプロジェクトでは明確なゴールが設定され、それを実現するための計画やプロセスがありました。一方、アジャイル型のプロジェクトのゴールは見えない、あるいは常に変化するものです。ゴールを実現するためには、状況にあった無駄のない計画やプロセスが必要になります。
われわれが考える、成果を出すアジャイルチームには4つのパターンがあります。
1つ目は、全て揃ってからではなく、価値の高いものからリリースする。2つ目は、顧客のフィードバックなどから価値のないものは削除する。3つ目は、内部のロジックを常に見直し変化に備える。4つ目は、価値が十分となった時点で開発・投資を止める。どのパターンを選ぶかは、価値提供にあたって(1)提供の素早さ(2)価値の多さ(3)提供の容易さ(4)提供の適切さ、のどれを重要視するかによって変わってきます。
では、アジャイルチームを率いるリーダーシップはどうあるべきでしょうか?キーワードは「権限委譲」「サーバントリーダーシップ」「心理的安全性」です。
アジャイルな変化に迅速に対応するためには、ビジネスや市場に最も近いチームに権限を委譲することが重要です。戦略以外の意思決定の権限は現場に移譲すべきです。頻繁な判断、迅速にすべき判断、保持する情報による判断は、現場のメンバーで下せるようにする必要があります。
サーバント型リーダーシップは、リーダーが奉仕や支援を通じてメンバーから信頼を得て、主体的に協力してもらえるようにするリーダーシップです。
心理的安全性は、チームの中でメンバーが意見を言っても、対人関係が悪化するような心配はしないで良い状態です。
山本は「このような観点をもとに、SCSKではアジャイルチームとリーダーシップの両面からビジネスアジリティを発揮する現場づくりを支援します」と締めくくりました。
コンテナ活用成功の鍵は「プロセスの見直し」
レッドハット株式会社 手塚 由起子氏はアジャイル開発で重要性を増すコンテナ活用の注意点を語りました。
レッドハット株式会社
テクニカルセールス本部
ソリューションアーキテクト
手塚 由起子氏
現代は極めて不確実性の高い時代です。検証を重ねてアジャイルに開発を行い、状況に適した成果を機動的に出していかなければなりません。つまり、アプリケーションを大きくリリースするのではなく、ビジネス単位で小さくリリースし、変更があれば迅速に対応するマイクロサービスが重要です。
これに伴い、テクノロジーの活用方法も変わってきます。コンテナを活用し、クラウドネイティブなアプリケーションを作り実践することで、よりアジャイルなDevOpsを目指すことができます。
コンテナを活用すると、開発と運用、それぞれの技術的論理分界点と責任分界点が一致し、環境依存や役割を切り離し、円滑に分担することができます。これができれば、開発はアプリケーションの迅速なリリースに、運用は安定した運用に集中できるようになり、効果的にアジャイルなDevOpsを実現することかできます。
しかし、コンテナを導入してもその真価を発揮できるとは限りません。既存のプロセスを見直すことなくコンテナを導入し、これまでのやり方にkubernetesを合わせ、ドキュメント化してプロセスを固定してしまうと、導入価値が実感できなかったり、業務停止リスクが高まったりします。これではコンテナ導入はうまくいきません。メンテナンス運用も増えるため、工数も増えてしまいます。
一方で、コンテナ導入に成功している企業はプロセスを見直し、コンテナを活用した自動化を行い、工数を削減します。手作業が自動化されることでアプリケーションのリリースサイクルは速まります。さらに、一度自動化した作業ではミスが発生しないため、リリースの品質も向上します。
自動化で重要なのは、人がすべきこととシステムに任せることの見極めです。例えば、開発リソースの調達が課題である場合。コンテナ化してアプリケーションをマイクロ化すると、リリース頻度が上がり、その結果リソース調達や変更作業が増加し、コンテナのメリットが小さくなることがあります。これではリソース調達に一週間かかることもあり得ます。
手塚氏は「例えばRedHatが提供するkubernetesベースのコンテナオーケストレーション基盤「Red Hat OpenShift」には、開発者がセルフサービスでリソースを払い出せる機能があります。これを使えばリソース変更は5分で済みます」と話します。
こういったものをうまく活用しながら自動化する前提で開発・運用プロセスを見直し、担当者間のコミュニケーションを簡素化することが、DX時代のアジャイルを支える効果的なコンテナ活用において重要です。
コンテナを活用するならセキュリティも整える必要性も
SCSK株式会社 川杉 善彦は急速に需要が拡大しているOpenshift/Kubernetesのセキュリティリスクとその対策について解説しました。
SCSK株式会社
ITエンジニアリング事業本部
ミドルウェア第二部 第一課
川杉 善彦
2020年、セキュリティ事故は増加傾向にあり、特に情報漏洩・紛失事故件数は過去最多となっています。コンテナ関連のセキュリティ事故事例では、2019年4月にある企業のアカウント情報が流出する事件がありました。これは、クラウド環境内の脆弱なセキュリティ構成を攻撃者が利用したものでした。同年5月には別のある企業から顧客情報が流出しました。こちらはコンテナの構成不備が原因でした。さらに、2021年に行われた国内コンテナ/Kubernetesに関するユーザー導入調査結果によると、コンテナ/Kubernetes導入の課題として2番目に多く挙げられたのがセキュリティ対策でした。
ここで参考になるのが、米国国立標準技術研究所(NIST)が2017年9月に発行した「アプリケーションコンテナセキュリティガイド」(SP800-190)です。
川杉は「SP800-190には、コンテナ特有の5つのリスクと対策が定義されています。NISTが掲げる対策の難易度はそれほど高くないので、参考にすると良いでしょう」と言います。
では、コンテナのリスクが悪用されると、どんな攻撃が起こり得るのでしょうか。例えば、webサーバやwebアプリの本番環境に脆弱性のあるコンテナが紛れ込んだ場合、攻撃者は脆弱性のあるコンテナを乗っ取ることができます。さらに、ホストOS上のコンテナ制御プログラムであるコンテナランタイムなどに脆弱性がある場合、乗っ取られたコンテナがこれを攻撃することもできます。
こうしたリスクに備えるために有用なのが「Sysdig」です。「Sysdig」はコンテナに潜む脆弱性を発見し、不正アクセス・サイバー攻撃などの異常を検知し、コマンドの実行履歴をすべて記録します。NISTが挙げる5つのコンテナリスクに対応した機能も備えています。グローバルで450社超に導入され、国内ではヤフー株式会社、株式会社メルカリ、株式会社エヌ・ティ・ティ・データなどで導入されています。国内ではSCSKが総販売代理店を務めます。
川杉は「SCSKにはkubernetesの認定資格者が多数在籍しています。「Red Hat Openshift」の設計支援や構築、「Sysdig」の導入まで一気通貫で提供できます。DX実現の相談、アプリの開発メソッド、DXのためのコンテナ基盤のためのセキュリティを全て提供できます。お気軽にご相談ください」と語りました。
