Worldpay by FISは、米国のフォーチュン誌が実施する企業番付「フォーチュン500」にリストアップされているグローバル決済サービスプロバイダーです。
マルチクラウド-- AWS、Azure、Google
Red Hat OpenShift
Worldpay by FISは、世界最大の決済サービスプロバイダーの1社です。
年間数十億件の取引があり、146か国で利用されています。
126の通貨、300を超える支払いタイプに対応しています。
彼らの目標は、テクノロジーによって銀行業務、決済、投資の課題を解決し、顧客に優れたサービスを提供することです。
加盟店のビジネスを容易にする、セルフサービス型でクラウドベースのプラットフォームを構築することにより、これを実現しています。
WorldPayは進化し続ける決済ビジネスの主要プレーヤーとして、革新を続けていかなければなりません。
例えば2020年から問題になっているCOVID-19に対しては、非接触型決済である音声決済、網膜を利用した決済、UPIやAePSなどのデジタル決済媒体が、一瞬にして注目されることになりました。
このような変化に対応できるアプリケーションの構築とリリースのためにWorldPayはRed Hat OpenShiftを利用しています。
加盟店がPCIに準拠するため、WorldPayとして、アプリケーションの正常稼働やセキュリティを確保することが非常に重要となっています。
同社の開発者は、さまざまな環境で稼働させているシステムを可視化させる必要があり、何かしらのツールが必要であると考えていました。
WorldpayのプリンシパルコンテナプラットフォームエンジニアであるBernd Malmqvist氏は、次のように述べています。
Sysdigは私たちの提供するサービスに欠かせないものとなっています。開発チームが求めるモニタリングだけでなく、セキュリティチームの課題をも埋めてくれたことが本当に素晴らしいと思っています。役割に問わず、様々な社員がSysdigを利用しています。
WorldpayはSysdig社のSaaSファーストな考え方に共感しています。
Bernd氏は
全てクラウドで運用していきたいと考えています。我々は、大規模でダイナミックなインフラを運用しており、常に正常稼働しグローバルにスケールアップ出来るようになっている必要があります。私たちは常に新しいプラットフォームの構築・提供方法を検討していますが、SysdigのSaaSサービスは非常に適していると考えています。オンプレミスのデータセンターは制限が厳しく、ダイナミックさに欠けています。私たちのお客様の中にはインターネットに直接接続できない方もおり、オンプレミス型のソリューションでは十分なサービスを提供できません。運用上のオーバーヘッドを大幅に軽減することもできるようになるため、可能な限りSaaSサービスを利用したいと考えています。SaaS版サービスによって、我々はSysdigバックエンドを維持/管理する必要がなくなり、コミュニティ・プラットフォームの運用に注力することが出来ます。
と述べています。
Worldpayは、Sysdigによって提供される簡単なオンボーディング、直感的なUI、詳細なデータ、SaaSファーストのアプローチによって運用コストを50%削減することができました。
FISのDevSecOpsクラウドセキュリティアーキテクトであるNatnael Teferiは、Sysdigを次のように評価しました。
Sysdigは、コンテナおよびKubernetesセキュリティ向けの唯一のSaaS型ソリューションとして、迅速な革新を可能にし、柔軟性を求める企業にとって最適です
Bernd氏は
私たちはクラスターを展開しても、自分達で操作することで、オペレーションにかかる労力を極力減らすようにしています。
Sysdigはそのためのサポートをしてくれています。Sysdig社は常に革新的なロードマップを推し進め、新機能を提供しています。新しい機能も正常に稼働しており、新しい機能を使うことへの抵抗もありません。とても信頼しています。
と話しています。
決済処理プラットフォームとして、システムをPCIに準拠させることはWorldPayにとって大きなハードルとなっています。
クラウド上でのコンテナの増加や寿命の短さは、PCI遵守を非常に困難にし、アプリケーションのリリース頻度向上の妨げにもなっています。
しかし、PCIに準拠していなかった場合、多額の罰金が科せられる可能性や、顧客の信頼だけでなく、得られる収益を失う恐れがあります。
Sysdigは、我々の負担を減らし、PCIの要素をよりシンプルにしてくれたので、作業がすごく楽になりました。セキュアなプラットフォームを構築するためには多くの作業が必要ですが、予防、ランタイム解析、侵入検知、脆弱性スキャンなどの特定の要素に関しては、Sysdigが全て対応してくれます。
とBernd氏は述べています。
本番環境でコンテナとKubernetesを実行するには、既存のワークフローに統合されるセキュリティと可視性が必要です。
Sysdigは、単一のエージェントとバックエンドで、セキュリティ、コンプライアンス、および監視のユースケースに対処できる唯一のソリューションです。
WorldPayがSysdigを評価しているポイントの一つに、ツールの統合とコスト削減に加えて、リソースの浪費を抑え、複数のユースケースに対応できることが挙げられます。
Natnael氏は、次のように述べています。
私たちは分散プラットフォームを運用しているため、1つの製品で複数環境のセキュリティと監視のユースケースに対応できることは、非常に価値があります。Sysdigは単一エージェントでの運用のため、エージェント同士の干渉を考慮する必要もなく、とてもありがたかったです。
SOCチームはKubernetesのインシデント対応の際、考えられうる様々な要因から原因を分析しなければなりません。
特にコンテナ環境では、コンテナがなくなるとデータもなくなるため、フォレンジックはほぼ不可能となります。
何か問題が発生した時には、インシデント対応を迅速化するために利用できるデータが非常に重要となります。
フォレンジック機能は、セキュリティの観点からSysdigを選択する際に重要なポイントとなりました。S3バケット内の監査ログにより、アクティビティを完全に可視化することができ、監視および調査機能の強化につながりました。監査証跡によって何が起こったのかを把握することが出来、調査時間を大幅に節約することが出来ました。他のソリューションではこのような情報を得ることが出来ませんでした。さらにSysdigは誰に通知する必要があるかを特定し、通知してくれる機能も持ち合わせています。コンテナのライフサイクルは、短いものだと数秒単位のものもあれば、数秒から数週間の間オンラインになっているものもあり、我々はこれら全てのコンテナのセキュリティを担保しなければなりません。Sysdigを使えば、FIS環境全体の稼働状況をリアルタイムに可視化することができます。また、何かあったときには、そのデータを使って調査することができます。
とNatnaelは説明しました。
Sysdigは必要のない情報は提供せず、重要な情報だけを表示しています。
Bernd氏によると、
コンテナセキュリティツールを使用していると、デプロイしてバックエンドに接続する時に、情報が多すぎて混乱してしまうことがあります。情報の精査はとても気が遠くなるような作業で、どこから始めればよいのかわからなくなります。Sysdigはダッシュボード上に必要かつ重要な情報をとても見やすく表示してくれるため、ログインした際に何か重大なトラブルが起きてしまったのではないか、と勘違いしてしまい焦ることも無くなりました。
Natnaelは
セキュリティを中心にみている我々としては、脆弱性を発見した場合、アジャイル開発チームに対して脆弱性の修正依頼をしています。開発チームとしては脆弱性の修正対応を行いますが、基本的には利益を生み出す開発に時間を割きたいと考えていると思います。Sysdigはプログラムの修正箇所をハイライトしてくれ、どのように修正すべきかを示してくれます。この機能により、脆弱性の修正時間を大幅に短縮することができ、開発チームの葛藤を解消することができるようになったと考えています。
と述べました。
Natnael氏は、リスク管理するためのポリシーの設定に関しても次のように述べています。
Sysdigのランタイムポリシー機能を使用すると、ポリシーを簡単に作成でき、すぐに通知アラートが作成されます。ポリシーやデプロイメントの作業は非常に簡単で、デーモンセットを作成するだけです。また、Sysdig社が提供するガイダンスには、さまざまなシナリオの展開方法が記載されているため、リスク管理が非常に容易です。
多くの開発者は、クラウドネイティブサービスの主要なメトリクスを取得するために、オープンソースのPrometheusから使い始めます。
ただし、複数のKubernetesクラスターを使用して本番環境でスケーリングするには、複数のPrometheusサーバーが必要であるため、それぞれの環境の状況を確認することは非常に困難になります。特に複数のプラットフォームに跨っているマイクロサービスは問題が発生しても気が付きにくいことが多くあります。
そのためSysdig社がPrometheusとPromQL言語をサポートしていることはWorldpayにとって大きなメリットとなっています。
Bernd氏は
私たちはPrometheusを多用しており、SysdigによるPromQLのサポートを非常に頼りにしています。Prometheusを中心に多くのシステムを構築し、Sysdigではこれらのメトリクスを実際に使用しています。次のプロジェクトの1つに、マルチリージョン実装による継続的デリバリーというものがあります。このプロジェクトにはPrometheusが非常に重要な役割を担っており、PrometheusをサポートしているSysdigにとても期待しています。
と述べました。
世界中の開発者がWorldpayのセルフサービス・プラットフォームを利用しているため、どのようなツールであってもオンボーディングは非常に重要です。 Worldpayのような顧客がSysdigについて気に入っていることの1つは、導入してすぐに運用を開始することができることです。
Sysdig SaaSの立ち上げにかかった時間は、最初のクラスタからメトリクスが提供されるこの間、わずか30分でした。以前使用していた他のツールでは1ヶ月かかっていましたので、起動時間を大きく短縮することが出来ました。
とNatnael氏は評価しました。
SysdigのTeams機能を使用すると、管理者は誰が何にアクセスできるかを制御することが出来るようになります。
インストール後、アクセスが必要な新しいチームを追加する際には、チームマネージャーを1人割り当てるだけで対応することが出来ます。チームマネージャーは、アクセスを分散してチームを管理する機能を備えているため、コストを節約することが出来ます。
とNatnael氏は強調しました。
FISとWorldpayの間では、各アプリケーションシステムは複数のクラウドにまたがっています。
FISはマルチクラウドでの運用を推奨しているため、クラウドにとらわれないセキュリティと監視機能が提供されていることを最も重要視しています。Sysdigは会社の成長に合わせて、増えていくプラットフォームを全てサポートすることが出来るため、FISのシステム運用に大きな役割を果たしています。 FISが別の会社を買収し、新しい会社が加わったときにもSysdigによってセキュリティおよび監視を簡単に拡張できます。これにより、システム導入が簡素化され、統合にかかる時間が短縮されるようになります。
とNatnael氏は述べました。
Sysdig社はオープンソースベースの企業であり、CNCFによって採用されたクラウドネイティブランタイムセキュリティプロジェクトであるFalcoなど、オープンソースコミュニティにいくつかの製品を提供してきました。
Sysdig社はベストプラクティスの設定を支援し、オープンソースコミュニティを支援しています。
また、オープンソース上で構築しているため、非常に迅速な開発を可能にしています。
Bernd氏は、次のように述べています。
Sysdig社がオープンソースで活発に活動していることを素晴らしいと思っています。Sysdigはセキュリティと監視の両方のオープンソースプロジェクトに入っており、世界中の人々によって日々開発されています。それにオープンソースのツールを使いこなした後には、エンタープライズ版も用意されています。Sysdigには非常にたくさんの機能があり、皆さんの課題を解決してくれるでしょう。そしてオープンソースコミュニティーをより盛り上げてくれるでしょう。
Translated by Shoko Sekiya
