EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ドコモの豊富なクラウド活用経験をパッケージに、通信キャリア並みのセキュリティを実現可能に

edited by Operation Online   2019/09/30 14:00

AWS東京リージョン大規模活用を初めて行ったドコモ

株式会社NTTドコモ イノベーション統括部 クラウドソリューション担当 担当課長 住谷哲夫氏

谷川: クラウド初心者の企業が持つ課題感はどういったものですか?

住谷氏: クラウドを利用しようとすると内部統制、リテラシの向上、アカウント管理やコスト管理で悩むことになります。こういった課題感について説明する前にまず、ドコモがなぜクラウド利用について解説するのか、お話しします。

 ドコモでは2009年頃から主に研究目的でパブリッククラウドの利用を始めました。その後、2011年のAmazon Web Services(AWS)の東京リージョン開設のタイミングから大規模に利用し、ビジネスでも利用を開始しました。 例えば、スマートフォンで利用する音声対話エージェント「しゃべってコンシェル」や、写真共有サービス「フォトコレクション(現 dフォト)」などでAWSを利用しています。

 当初はパブリッククラウドに顧客の情報を預けて良いのかなど、社内でさまざまな議論がありましたが、リリースまでの期間やトラフィックの需要予測への対応を考慮しパブリッククラウドの利用を決断しました。リリース後、大きな障害も無く順調に運用できており、パブリッククラウドの利用が社内で理解されるようになり、パブリッククラウドをWEB系サービスの基盤として利用するケースが増えました。その後、2013年に社内業務システムの1つであるデータ分析基盤をオンプレからクラウドに移行する検討を行いました、機密情報を扱うシステムにおいてオンプレと同等のセキュリティ基準を守れるのかという議論が起きましたが、AWSのセキュリティ機能やそれまで培ったノウハウを活かすことで、最終的にドコモのセキュリティ基準を満たすことができると判断しています。また、この頃から社内のクラウド利用を統括する体制を作り、以降、ドコモでのAWSの利用は右肩上がりで増え、現在ではストレージ容量は数十ペタバイト、アカウント数は500を超えています。

 セキュリティの確保や内部統制、アカウントやコスト管理、リテラシの向上といったシステム以外の課題も含めて、それを順次解決してきた経験がドコモにはあります。日本ではSI企業にシステム開発や運用を委託するケースも多いのですが、クラウドの課題はユーザー企業側でなんとかしなければならない問題です。たとえば企業の大切な資産である顧客情報をクラウドで安全に管理できるのか、これは経営の問題であり企業自ら考えなければなりません。

谷川: AWSのようなサービスには、セキュリティを担保するための機能やサービスがあり、コスト管理のためのツールもあるかと思います。リテラシの向上についても、教育研修のプログラムも用意されている。クラウド利用における課題解決のための材料は、揃っていると思うのですが。

住谷氏: クラウドを利用する際、クラウドベンダーとの間には責任共有モデルがあります。AWSであればAWSが責任を持つ範囲と、ユーザー企業が見る範囲が明確に分かれています。クラウドベンダーは仮想化よりも下の部分の面倒は見てくれますが、アプリケーションのセキュリティやネットワークの設定などは企業側で行わなければなりません。もちろんユーザー側の責任範囲を補助するためのサービスや機能はありますが、それをどう使うかはユーザー次第です。

谷川: 責任を共有し分担しなければならないことは理解できますが、実際にそれを実践していくのは簡単ではないですよね。

住谷氏: ドコモではクラウドを安全に活用するための体制を社内で作り、そこに至るまでに培ってきたノウハウをユーザーに提供しています。結果として、さまざまなガイドラインやツールも提供しています。これまでまったくクラウドを使ったことがない企業でも、ドコモが実際に使ってきたガイドラインをベースに使えます。このガイドラインを自社のルールに併せて変え、独自の基準を作れます。また、これを社員の教育プログラムに利用される企業もいらっしゃいます。

谷川: ドコモの中で実践し確証を得てきたものを、展開しているのですね。多くの企業がこれを使えばすぐに自社のクラウド利用のルールなどが構築できると。 住谷: 当然、FISCなど金融系で独自基準がありそれに対処しなければならない企業もあります。しかしドコモは通信キャリアとして、万一情報漏洩などがあれば総務省から行政指導が入る立場にあるため、セキュリティやコンプライアンスに関しては、極めて重視した企業運営がなされています。そのため、高いセキュリティレベルが要求される場合でも対処しやすいガイドラインとなっています。

出典:NTTドコモ作成[画像クリックで拡大表示]

 ドコモでは社長直下に情報セキュリティ部を置き、社内のポリシーを決め監査を行っています。全ての開発システムは、オンプレミスでもクラウドでもそこが定めた規定に従う必要があり、たとえばセキュリティに関しては200を超えるチェックポイントを満たさなければなりません。

ドコモだからできる!クラウド初心者も安心のパッケージ 詳細資料は>>こちら<<

通信キャリアの超高度セキュリティも実現できる

谷川: 一般企業よりも通信キャリアとして厳しいセキュリティのルールを持っている。そのドコモの基準をベースにしているから大抵の企業はこれを使えば満足できる基準を作れると。具体的にどのようなガイドライン、ツールが提供されているのですか。

住谷氏: 大きく3つのものを提供しています。1つがクラウド利用のためのガイドライン集で、ガイドラインを活用するためのコンサルティングサービスもあります。ガイドラインは現在8つあり随時追加しています。クラウドの進化は速いため、内容が時代遅れにならないよう最低でも年に2回は改訂しています。もう1つが、「ScanMonster」で、これはセキュリティアセスメントを行うツールです。3つ目がクラウド利用時のコストを可視化するツールの「CostVisualizer」です。

出典:NTTドコモ作成[画像クリックで拡大表示]

 ガイドラインとして、まず「クラウド開発ガイドライン」があります。これはクラウドでアプリケーションを開発する際のお作法をまとめたもので、どうすればクラウドネイティブなアプリケーションを構築できるかが書いてあります。開発、設計だけでなく運用フェーズまでカバーしています。 「システム移行ガイドライン」は、オンプレミスからの移行のノウハウがまとめられています。「インシデント対応ガイドライン」は運用時に発生するトラブルにどう対処すれば良いかが記述されています。クラウドではオンプレミスとは異なる対処が必要になるため、このガイドラインも不可欠です。

谷川: クラウドベンダーとの責任共有でどう切り分けて対処するかがオンプレミスとは違うのですね。

住谷氏: オンプレミスではトラブルの原因をとことこん追求しがちですが、クラウドではユーザーから見えないところにトラブルの原因がある場合もあるため、オンプレミスと同じ対処ができません。ユーザーとしては運用面での割り切りも必要です。

谷川: 原因の追及よりもなるべく迅速に問題から復旧すると。

住谷氏: そういった考え方から入り、実際にどういう体制でどう対処したら良いかをまとめています。他には「共通基盤化ガイドライン」があり、システムを組む際に共通して絶対に必要となるもの、たとえばログの処理やセキュリティ設定などを含む基盤をあらかじめ構築し共有できるようにします。

  昨年、新たに提供した「サーバーレスガイドライン」は、サーバーレスがどのようなワークロードに向いているかやモデル構成などがまとめられています。「セキュリティ・デザインパターン」は200ほどあるセキュリティチェックポイントをどのようにすれば満足できるかのノウハウです。クラウドセキュリティ認証のISO 27017を踏まえており、それをアレンジしたものとなります。

 セキュリティのベストプラクティスをまとめたセキュリティテンプレートも用意しており、セキュリティ・デザインパターンに沿って自社の基準に則ったテンプレートを作れば、AWS CloudFormationを使いセキュアな環境を自動で構築できます。また「IAMデザインパターン」「コスト最適化ガイドライン」もあり、これらは全てドコモの経験をもとにまとめられたものです。

出典:NTTドコモ作成[画像クリックで拡大表示]

ドコモだからできる!クラウド初心者も安心のパッケージ 詳細資料は>>こちら<<

ガイドライン運用順守をサポートするツール

谷川 耕一氏

谷川: しっかりしたガイドラインがあっても、それをどう守っていくかが重要ですよね。

住谷氏: ガイドラインがあっても、日常の運用の中で誰かが設定を変えてしまうこともあるでしょう。甘いネットワーク設定が残り、それが踏み台にされることもあるかもしれません。そういう時には「ScanMonster」使うことで、危ないところを見つけ出せます。あらかじめ危険なものが設定してあり、API経由でそれらをチェックし結果を提示します。可用性が担保されているか、ログの設定がきちんと行われているか、ネットワーク設定に穴がないか、権限設定やリソースの無駄がないかなどをチェックしOK、NGが表示されます。NGのところがあれば、それをクリックすればどう改善すれば良いかの具体的な手順も提示します。

谷川: 最終的には、全てがOKとなるように運用していくのですね。

住谷氏: リスクを享受できるならば、NGのまま運用することもあります。サービス要件として満足できるのならば、NGのままのほうがコストを抑えられることもあるので。全てをOKにすることが目的ではありません。大切なのはリスクを可視化し、判断するための補助ツールだと言うことです。

谷川: これはドコモが1から作ったオリジナルのツールですよね。

住谷氏: ドコモ自身で課題だったことを解決するために自分たちで作りました。ドコモが実際に失敗したことを解決できるものになっています。

谷川: AWSの上で動くオリジナルのツールなのですね。だからこそ、安価に提供できる。もう1つの「CostVisualizer」はどのようなツールですか。

住谷氏: AWSでも最近はコストを可視化する環境が充実していますが、ドコモが大規模にAWSを使い始めた2012年頃にはそういったものはありませんでした。その頃から数百台規模でサーバーを使っており、コスト管理には苦労していました。それを解決するために作ったツールとなります。特長は、複数のプロジェクトを横断してコストが可視化できるところです。全てのプロジェクトが見えるので、プロジェクト間で相互監視的な効果もあります。

谷川: AWSでもアカウントごとにはどれくらいサービスを利用しているかは見られますよね。

住谷氏: AWSでは自分のアカウントの分だけか、全てが見えるかの2つがあります。対してCostVisualizerでは、設定で見える範囲を制限できます。これはAWSにはないところです。CostVisualizerもドコモがAWS上に構築したツールです。2つのツールはテンプレートの形で提供され、ユーザー環境でそれぞれに構成し利用します。請求情報やセキュリティに関することは、外に出したくないという企業の意向を考慮しています。

ドコモだからできる!クラウド初心者安心のパッケージ 詳細資料は>>こちら<<

ユーザー企業の目線で作られているところが評価されている

谷川: ところで、これら3つのサービスの最も特長的なところはどこになりますか。

住谷氏: 一番は、ユーザーの観点で構築されているところです。3サービスの全てにおいて、ドコモがユーザーとして取り組んできたことをベースにしています。

谷川: ソフトウェアベンダーの立場で便利そうなものを作ったのではなく、ドコモ自身が経験から生み出した訳ですね。

住谷氏: こういったアプローチで作られているものは、他にはないのではと思います。AWSにはベストプラクティス集のようなものもありますが、さまざまなノウハウを集めてしまった結果抽象度が高く、実際に使おうとするとどこから手を付けて分からないとの声もあります。一方で我々のサービスは。ドコモの基準として実際に利用しているものなので、具体的な記載になっています。また、これを見たユーザーが実際にどう手を動かせばよいか、すぐにアクションがとれることを重視して作成しています。

谷川: そこから上げるのか緩めるのかは、それぞれの会社が考えれば良いのですね。

住谷氏: ユーザーとしてはどういった見方をすれば良いかが具体的に書かれているので、分かりやすいとの評価を受けています。それともう1つ、通信キャリアとしてセキュリティのところは自信があります。我々のガイドラインの基準を満たせれば、スタートアップ企業でも通信キャリア並みのセキュリティ基準となるでしょう。

谷川: これから新たにクラウドでサービスを立ち上げる企業では、何らかの形で個人情報を扱うことになる。そうなれば、通信キャリア並みのセキュリティ基準があっても良い。むしろそれくらいでなければ、ビジネスにおけるリスク回避はできないかもしれませんね。

住谷氏: ドコモには、クラウド・センターオブエクセレンス・チームがあります。これはクラウドの利用を横断的に見る組織です。ここが情報セキュリティ部としっかりと連携しています。その中でノウハウがたまれば、ガイドラインにも随時反映されるのです。 

まずはクラウドを使ってみて、障壁に当たればドコモのサービスを

谷川: ドコモでは単にクラウドを試すだけでなく、実践で使えるようにするサポートができますね。新たにクラウドを使おうとする企業では、まずはガイドラインの活用から考えれば良いですか。

住谷氏: まずはガイドラインを参考にしてもらい、コンサルティングサービスも使いクラウド利用のポリシーやルールを作ってもらう。それを運用する中で、必要に応じScanMonsterやCostVisualizerを使ってもらえればと。とはいえ、企業のクラウド利用の状況に合わせ、必要なものを適宜選んでもらえれば良いです。すでにたくさんAWSを使っているならば、CostVisualizerから入ってもOKです。

谷川: 最後に、これらのドコモのサービスやツールをどのような企業に利用してもらいたいですか。

住谷氏: ドコモではさまざまな企業と協創していきたい、その時にオンプレミスの仕組みでは連携しにくく、クラウドを使えばそれをスピードアップできる。そういったことが経験知として分かっています。そのような理由から、日本企業のクラウド導入を促進し、日本全体がデジタルトランスフォーメーションに取り組めるようにしていきたいと考えています。大規模でなくとも良いので、クラウドを触ってみて、そのメリットをぜひ体感いただければと思います。

ドコモだからできる!クラウド初心者も安心のパッケージ 詳細資料は>>こちら<<

※この記事で紹介したサービスの資料をダウンロードいただけます。資料は会員の方のみダウンロードしていただけます。


著者プロフィール

  • 谷川 耕一(タニカワ コウイチ)

    EnterpriseZine/DB Online チーフキュレーター かつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリストとして、クラウド、データベース、ビッグデータ活用などをキーワードに、エンタープライズIT関連の取材、執筆を行っている。

バックナンバー

連載:Operation Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5