ユーザー事例

SAP Concur

SAP Concur

COMPANYDETAILS

企業や政府機関向けに統合して提供される、出張・経費・請求書管理ソリューションの大手グローバルプロバイダー。

ビジネスニーズ

  • セキュアな金融アプリケーションをグローバルに提供する
  • プラットフォームの可用性を常に確保する
  • 競争力を維持するために、アプリケーションを迅速かつ安全に提供する

課題

  • Prometheusは運用面で高負荷であった
  • 手動の脆弱性スキャニングとコンプライアンスチェックは手間がかかり、対応スピードが低下していた
  • トラブルシューティングとコンプライアンス監査のためのデータが欠如していた

SYSDIGのビジネス効果

  • SAP Concurは、Sysdigとともに、セキュリティとコンプライアンス要件を満たす、グローバルなプラットフォームを提供。これにより、同社新サービスの、より迅速な市場投入を実現。

SYSDIGプラットフォームの利点

  • 自動化により10,000時間以上を削減
  • セキュアDevOpsを、単一エージェントで実現できるため、費用対効果が高い
  • コンテナがなくなった場合でもフォレンジック可能
  • Sysdigプラットフォームは、その導入以来、同社のK8s基盤の成長に伴い20倍の規模にまで拡張
  • 監査の負担を大幅に軽減する証跡管理を実現

インフラ

アマゾンウェブサービス(AWS)とオンプレミス

オーケストレーション

Kubernetes

sap-1.jpg

SAP Concurは、コンプライアンスに準拠したセキュアなソリューションを世界中で5,000万人以上のエンドユーザに提供しています

概要

SAP Concurは、企業や政府機関に対して出張、経費、請求書の管理サービスを提供するSaaS企業です。北米だけで25,000以上のグローバルな中小企業を顧客に持つSAP Concurは、非常に大規模なインフラストラクチャを運用しています。新しく、信頼性の高いサービスを常時エンドユーザが利用できるよう、可能な限り安全に提供することは、ビジネスの展開にとって最も重要です。

SAP Concurは、アプリケーションをより迅速に提供できる柔軟性を実現するため、モノリシックなアーキテクチャからマイクロサービスに移行することを決断しました。その決断から4年後、SAP Concurは現在、2,000以上のノードで構成されるコンテナエコシステムで運用し、それを担当する20名が所属するチームがあります。

チャレンジ

SAP Concurのマイクロサービス構築は、小さな専門家チームから始まりました。同社のエンジニアリングディレクターであるMike Luedke氏は、次のように説明しています。

最初は草の根の活動から始めました。異なる組織から集まった何人かで、クラスターの構築を始めました。最終的に、私たちはそれを、Concur内でも新しい取り組みに関心が強いメンバーへ公開しました。その後、かなり急速に牽引力を獲得しました。非公式のグループがこの活動を管理するところから始まり、Concurで明確な未来を持つようになると明らかに感じられるようになりました。その時点で、私たちは正式なチームを作り始めました。

当時、SAP Concurスタックのすべてがオープンソースでした。それらが成長するにつれて、彼らはセキュリティチームを巻き込んでいきました。特に、従来のインフラストラクチャのセキュリティを新しいコンテナ環境と比較するときに、セキュリティと可視性の観点からそのギャップをすばやく特定していったのです。

Luedke氏は、次のように述べています。

オープンソースのProm etheusを用いて、それが100ノードに到達した頃、変曲点に達しました。より優れたスケーリング戦略を考え出す必要が出てきたのです。私たちはリソースに縛られていました。私たちはチームを大きくすることと、社内のアプリケーションチームの需要を満たすのに忙しく、Prometheusをスケーリングさせる有効な解決策を見つける余裕がありませんでした。そこで、商用オプションの検討を開始しました。

SAP ConcurがSysdigを選んだ理由

既知の商用監視ツールとセキュリティツールを比較した後、SAP Concurは次の理由からSysdigを選ぶことにしました。

  • セキュリティ分野でKubernetes-ファーストのアプローチをとる
  • オープンソースにルーツをもつ
  • 独自のsyscall実装をしている
  • 統合されたセキュリティ、コンプライアンス、監視の仕組みがある
  • PromQLのサポートがある
  • 多様な切り口から、詳細なカーネルレベルのメトリクスを取得できる

数千時間を節約し、毎日のリリースを可能に

Sysdigを導入する以前、SAP Concurは、コードを本番環境にプッシュする前に手動でレビューを行っていました。Luedke氏は、次のように述べています。

Sysdigを使用することで、多くの手動レビューを自動化することができました。Sysdigをパイプラインに組み込んで、コンテナを本番環境にデプロイするタイミングで、コンテナの脆弱性とコンプライアンスチェックを実行しています。これらの自動チェックにより、我々の業務プロセスを更に進化させることができました。

Luedke氏は、Sysdig導入以前の状況について、次のように説明します。

脆弱性の手動レビューまたは手動スキャンは、チェックインごとに10分以上かかっていました。Sysdigを導入する以前、脆弱性スキャンは、オープンソースのClairを使用していました。 そのため、結果を確認するためには別のインターフェースを用意して使用する必要があり、時間がかかりました。Sysdigを使えば、コンテナのデプロイ時、パイプラインの一部としてそれらすべてが自動化されます。現在、1日あたり数千の処理を実行しています。1件あたり平均10分程かかり、それを1日に数千もこなす必要があると考えると、いまやSysdigなしで運用することは到底できないでしょう。

セキュリティと可視性のギャップを取り除く

Sysdigは、唯一の統合されたセキュリティ、コンプライアンス、および監視プラットフォームとして、開発、DevOps、およびセキュリティチーム間の情報のサイロを排除するために信頼できる唯一の情報源を提供します。このアプローチにより、クラウドとKubernetesのコンテキストに自動的に関連付けられた詳細なシステムデータの分析が可能となり、組織は問題をより迅速に解決できます。更に、DevOpsチームがセキュリティの責任を引き受けることもできます。

Sysdigは、アプリケーション、運用、インフラストラクチャ、Dev Ops、セキュリティチームなど、SAP Concurの多くのチームで使用されています。複数のユースケースに対応する、共通で単一のツールを使用することで、誰もがセキュリティに責任を持ち、安全なDevOpsを実現できるようになりました。Luedke氏は次のように述べています。

Sysdigを使用すると、アプリケーション開発者は何が起こっているのかをダイレクトに視認できます。パフォーマンスメトリクスなどを確認することができ、トラブルシューティングツールとしてSysdigを使用することもできます。これにより、アプリケーションで独自のDevOpsを実行できるようになります。運用チームやインフラチームに連絡する手間を一切省いて、Sysdigにアクセスするだけで何が起こっているかを確認できます。

脆弱性の手動レビューまたは手動スキャンは、チェックインごとに10分以上かかっていました。(中略) Sysdigを使えば、コンテナのデプロイ時、パイプラインの一部としてそれらすべてが自動化されます。 現在では、1日あたり数千の処理を実行しています。(中略) いまやSysdigなしで運用することは到底できないでしょう。

sap-2.jpg

Luedke氏は続けて次のように説明しています。

Sysdigはアプリケーションチームだけでなくインフラチームの時間も節約してくれます。Sysdig導入によってインフラストラクチャで何が起こっているのか、みんながより深く、詳細に認識できるようになりました。

またLuedke氏は、Sysdigの統合プラットフォームはセキュアな環境を実現するだけでなく、リソースとコストも節約すると説明しました。

これには非常に大きな価値があると考えています。たとえば、セキュリティと運用監視、それぞれ別々のツールを導入した場合、それぞれのエージェントが、それぞれ処理するためのリソースを必要とするため、これらをSysdig単一のエージェントだけで処理ができることは、莫大な費用を節約できることになります。

企業規模でのPrometheusメトリクス

SAP ConcurがSysdigを導入する以前、チームは監視にPrometheusを使用していました。Luedke氏によると、

メトリクス収集の面では、Prometheusがあったので大丈夫でした。しかし、私たちが直面していた問題は、スケーラビリティに関するものでした。Prometheusは1時間分のデータしか保存できなかったのです。1時間以上前に何かが起こったと気付いた場合、私たちは困惑するしかありませんでした。Prometheusデータベースが完全に失われ、クラッシュすることもありました。データを完全に失っているのです。私たちは、盲目的に飛行しているような状況だったのです。

Sysdigは、Prometheusと完全な互換性を持つ唯一のソリューションです。Sysdigには、高度なメトリッククエリを実行したり、ダッシュボードを構築したり、アラートを作成したりするためのPrometheusクエリ言語(PromQL)のサポートが含まれています。Sysdigは、Prometheusの活用を妨げる問題、つまりはスケーラビリティ、データ保持、およびエンタープライズアクセス制御に対処します。

イメージスキャンでセキュリティを更に加速する

イメージスキャンを通じて、DevOpsプロセスの早い段階で脆弱性と設定ミスを見つけ、修正することにより、チームはセキュリティリスクを管理できます。 SAP Concurは、Sysdigを使用して、レジストリおよびCI / CDパイプライン内、ひいては本番環境の稼働中でさえ、継続的なイメージスキャンを可能にします。この時、検知した脆弱性をKubernetesベースのアプリケーションに一意にマッピングすることができるため、作業を効率化することができます。

Luedke氏は、次のように述べています。

SAP Concurにおけるコンテナの脆弱性スキャンと侵入検知は、Sysdigに頼っています。Sysdig導入前は、ノード上でホストベースの侵入検知を実行していました。
しかしこの仕組みでは、Docker IDのような、影響を受けたプロセスを示唆してくれる程度でした。大規模なマルチテナント環境では、Kubernetesのメタデータと関連付けない限り、そのコンテナが何に属しているのかわかりませんでした。その情報を入手できなかったわけではありませんが、定期的にそれを行うのは骨の折れる作業でした。Sysdigは、非常に迅速にセキュリティイベントやその他の危険度が低い情報を確認する術を提供してくれました。

Sysdigを用いたシステム環境の保全は、会社が発展するにつれて進化しています。以前は法人顧客にかなり焦点を合わせていましたが、最近では公共分野のビジネスが加速しています。これに伴い、新たなコンプライアンス義務が発生しました。Sysdigを活用して、これらのコンプライアンスチェックもクリアすることができました。これらのチェックに、以前は週に1、2回、手動で数時間もかけて行う必要がありました。しかし、コンプライアンス要件がKubernetes環境の拡張とともに増大するにつれ、手動でそれを行うことは、もはやできなくなりました。現在の規模では、Sysdig失くしてその運用は成しえません。さらに言えば、Sysdig失くしてKubernetesの運用はできません。

我々はSysdigをパイプラインに組み込み、コンテナの脆弱性を実行して、コンテナが本番環境にデプロイされる際のコンプライアンスチェックを行っています。
自動化されたこれらのチェックが、我々の進化するスピードを更に押し上げてくれるのです。

簡素化されたコンプライアンスレポート

Sysdigのアクティビティ監査機能を使用すると、Sysdigはコンテナアクティビティをキャプチャし、その情報をアプリケーションコンテキスト、およびKubernetesのユーザやサービスと関連付けます。この機能は、監査期間中も含め、何百回も役に立ちました。

Luedke氏は、次のように説明しています。

監査証跡を辿れることは、多くの状況で私たちを助けてくれました。ある時、私たちが話した通りの環境を稼働させていることを確認したい、という監査人がいました。彼らは、インフラ上で実行されている、あるコンテナのプロセスの情報を要求しましたが、そのコンテナはdistrolessで実行されていたため、シェルはありません。実行する必要があるものだけにロックダウンされているため、非常に安全ですが、シェルなどを実行して、プロセスの情報を取得するといったことはできません。私たちはSysdigを使用して、そのコンテナを可視化し、監査人に証拠を提供することができました。

さらに、Luedke氏は次のように述べています。

そのインスタンスのトッププロセスメトリックビューのダッシュボードを見て、必要なものを提供しました。彼らから、私たちのコンテナが不変であることを確認する追加質問を受けました。私たちはこの義務を果たしている、と彼らに伝えたからです。Sysdigを使用することで、実行中のコンテナが起動されて以降、変更されていないことを証明できました。Sysdigの監査イベントを使用して、コンテナでのファイルシステムとシェルのアクティビティを表示し、それを証明しました。

コンテナ消失後さえもフォレンジック

コンプライアンス監査に役立つ同様のアクティビティ監査証跡は、異常な動作が発生した場合にも、非常に役立ちます。Sysdigを使用すると、企業は、コンテナが存在しなくなった場合でも、すべてのアクティビティ情報をフォレンジック用のキャプチャファイルに保存することができます。

Luedke氏は次のように説明しています。

Sysdigは、トラブルシューティングに関連するデータを幾たびも提供してくれました。パフォーマンスが低下した場合は、常にトラブルシューティングツールとして使用しています。Sysdigは、問題がどこにあるかを特定するのに、とても役立ちます。これは、Sysdigの最も価値ある機能の1つです。

Luedke氏曰く、

さまざまな属性のメトリクスを異なる観点から詳しく分析できることは非常に便利です。何か問題が起きた時、それは多くの場合あまり前例のない問題だったりします。問題を確認するために必要な、既定のビューがない場合は、そのビューを自分たちですばやく作成できます。何かが計画どおりに進まないときに、これがどれほど価値のあることなのか、私は説明せずにいられません。

深いカーネルデータは比類のない可視性を提供します

Sysdigはシステムコールを使用して、コンテナ内で何が起こっているかをレポートします。ユーザとカーネルの相互作用の主要なメカニズムとして、syscallはプログラムが何をしているかについての優れた洞察を提供し、トラブルシューティング、監視、およびボトルネックの特定に非常に役立ちます。
Luedke氏によると、

このSysdigのアプローチが、とても気に入りました。情報がどのように計測され、実際いかにしてデータ収集されるのか、他のツールと比べても、ひときわ優れたセキュリティ監視ソリューションであると考えました。他社のセキュリティツールは、Kubernetesの機能拡張を多く行っています。それらはKubernetesのギャップを埋めているようなものですが、Kubernetes自体が成熟するにつれて、それらのギャップは埋められるか、アップストリームで対処されていきます。私たちは、カーネルからメトリクスを取得することに対し、強い信頼を寄せています。非常に堅実な戦略だと評価しています。Sysdigから取得したすぐに使用できるメトリクスに、私は常に感銘を受けています。低いレイヤーから取得できる詳細なデータは、他のソリューションと比較して非常に広範囲にもわたるため、直面する問題を深く深く見ることができます。

ハイブリッドクラウドインフラストラクチャ全体の可用性を最大化

SAP Concur環境は、AWSクラウドとオンプレミスのインフラストラクチャにまたがっています。Sysdigを使用すれば、SAP Concurが展開する全てのインフラストラクチャで全く同じビューを実現できるため、プラットフォームに跨って依存関係を持つようなマイクロサービスの問題をより簡単に観測できます。これは、問題が発生した場合、システム全体の可視性を確保することで、より迅速な解決が容易になるということです。

Luedke氏は、次のように述べています。

Sysdigがもたらす1つのビューで、AWSとオンプレミス両方の問題を調査して探すことができます。双方のUIを比較してみて、どちらか一方に異常が発生しているのかどうかをすぐに理解できます。ダッシュボードのスマートグループ化により、私たちが必要なコンテキストで、また、意味のある方法で、メトリクスのさまざまな属性をグループ化できます。データのスコープを設定してから細かく分析して、Kubernetesまたは名前空間ビュー、より物理的なビュー、またはクラスターを表示したい、などといった、自分がまさに欲しいビューを取得し、それをまとめることができます。 Sysdigのコンテキストを使用すると、インフラストラクチャ全体で何が起こっているのかを本当に深く理解できます。

オープンでコミュニティに焦点を当てた会社

また、SAP ConcurチームはオープンソースをベースとしたSysdigに惹かれました。Luedke氏は、次のように述べています。

Sysdig社がオープンソースに貢献していることも気に入りました。それは私たちにとって大変重要なことでした。

sap-3.jpg

今日、オープンソースがクラウド市場を牽引していることは明らかです。Sysdig製品は、Sysdig Inspect、Falco、Prometheusなどのオープンソースをベースに成り立っているため、より高速に進化できると同時に、より安全なソフトウェアを提供できるのです。
これについて、Luedke氏は次のように述べています。

SysdigがPrometheusのようなオープンスタンダードと連携し、すばやく簡単に使用できることは大きな意味があります。それは仮に、何かしらの機能が融合されず、すぐに利用できない場合でも、Prometheusエンドポイントを使用して必要なものをすぐに構築できるからです。本当に簡単に、迅速に。これはとても素晴らしいことです。

Sysdig社がオープンソースベースの企業であることは、同時にコラボレーションを信じていることも意味します。Sysdig社は発足以来、何時間もかけて顧客の話を聞き、顧客ニーズをもとにロードマップを進化させてきました。Luedke氏は、長年のSysdigユーザとして、このレベルのサービスを維持し続けているSysdig社を次のように評価しています。

Sysdigは私たちにとって良いパートナーです。彼らは常に私たちの進化するニーズを受け入れ、大小を問わず私たちのために解決策を見出し、助けてくれます。彼らは私たちと一緒に戦い続けているのです。

Translated by Ayumi Kudou

カテゴリー

ご質問・お問い合わせはこちら

top