多様化する環境と複雑化する運用、セキュリティにおける課題
ハイブリッドやマルチクラウドに対応し、あらゆるインフラやサービスの運用管理を自動化、標準化する製品サービスを展開するHashiCorp。今年に同社がグローバルで企業向けにクラウド導入や運用の現状について調査を実施したところ、既にマルチクラウドを活用していると回答した企業は8割を超えているという。
そしてそれらの企業の9割が、マルチクラウドが各社のIT戦略において機能していると回答。また86%の企業がCCoE(Cloud Center of Excellence)やプラットフォームチームといった中核組織を組成し、組織横断的に各社のクラウド戦略を推進していると答えたとのこと。
一方、意思決定者にとってはセキュリティ確保への意識がより高まっている。「我々の調査でも、CIOやCTOら意思決定をする立場からの回答では、クラウド活用を進める上ではセキュリティが最も重要な鍵との声が89%ありました。グローバルでの調査結果でこの高い数値ですから、セキュリティへのアンテナが高い国内市場に絞るとより高い結果になると考えられます」と話すのは、HashiCorpで日本市場のマーケティング責任者を務める坂田州氏だ。
あらゆる便利なサービスがクラウドで提供される昨今では、大きな組織になればなるほど部門毎に異なる環境やサービスの採用が行われ、結果的に異なる運用フローが点在しやすい。そうなれば運用コストもかさみ、介在する人の数も増えれば求められるスキルセットも多様となり、管理も難易度が増す。「各社が各種クラウドサービスを導入しながらも、ある一定のガバナンスを効かせ、尚且つセキュリティを確保することが多くの企業にとって課題となっています」と坂田氏は指摘する。
確かに様々なサービスが点在すれば、たとえば個々の環境で利用する暗号鍵の管理も繁雑化、複雑化するといった課題は容易に生起する。複雑化し、そこに人が介在することでミスが生起し、情報漏洩のリスクにつながってしまう。実際に漏洩被害に遭い、痛い目を見てから慌てて鍵管理ソリューションを探す企業もあるという。
「利用するクラウドサービスが多様化し、またそのサービス仕様や機能が追加されたり、ある日突然変わる可能性のある環境においては、利用するサービス毎に適したセキュリティ対策を実施することは容易ではありません」と語るのは、HashiCorp Japanで技術営業組織を統括する小原光弥氏だ。セキュリティリスクが見つかったりセキュリティ事故が発生してから対応完了するまでの時間は最小限にすることが求められるため、現場での対応は一層困難となる。
一方、複雑化するマルチクラウド環境においても変わらないのは“システムにアクセスする主体(アイデンティティ)”だ。「誰がもしくは何がどこにつながるのか、その接続は正しいのか。クラウド環境は変化してもアクセスする主体である“アイデンディティ”が存在することは変わりません。一方、アイデンティティ自体は変化・多様化しているのも事実です。だからこそ変わらず存在する“アイデンディティ”に注目し、それを起点に正しいアクセスを定義するというシンプルな対応が求められます」と小原氏は指摘する。
さらにクラウドの世界は変化が速く、ユーザーだけでキャッチアップすることもまた大変な労力だ。結果的にクラウドでの開発運用においても、パートナーなど外部の力に頼ることが普通となり、これもまた新たなリスクを生む結果となる。
散在するクラウド環境に内部、外部の人間が安全にアクセスすれば、ガバナンスを確保する必要があるためだ。従来、外部の人間については契約などで縛る“性善説”で対処してきた。しかしながら今はゼロトラストといった、インシデントは起こるものと考え「テクノロジーで守り、仕組みでガバナンスが効くようにすることが重要です」と小原氏は言う。
クラウド運用ではゼロトラストがデフォルト、中心サービスの「Vault」とは
HashiCorpは、前述したようなクラウド運用におけるあらゆる課題を解決するための製品、サービスを展開している。「HashiCorpの製品は、様々なサービスを社内で利用されている企業に、インフラ、セキュリティ、ネットワーク、アプリケーションそれぞれのレイヤーにおいて統一インターフェイスを提供し、運用効率と開発生産性の向上を支援しています」と坂田氏は言う。
その中で、最近注目されているのがあらゆる環境における機密情報を集合管理し、機密データを保護してセキュリティの自動化を実現する「HashiCorp Vault」だ。企業向けのサービスとしてはセルフマネージド型の「Vault Enterprise」とマネージドクラウドサービスの「HCP Vault」を展開している。
国内最大級のWebサービス事業者であるヤフー株式会社では、同社の暗号鍵管理ソリューションとしてVault Entepriseを採用している。非常に多くのユーザーとWebトラフィックを抱え、それを支える複数データセンターにまたがる巨大なITインフラにおける様々な資格情報やアクセスキーを安全、且つ可用性を持たせながら自動管理し、システムの堅牢性と開発運用効率の向上を実現されているという。同様の理由で同サービスを採用している企業が増えているとのことだ。
Vaultを採用すれば、鍵管理の工数は圧倒的に効率化される。ビジネス環境の変化に柔軟かつ即座に対応するために、DevOpsを実践するような企業では、なるべくアプリケーション開発に集中し競合に対する優位性を得たい。そしてアプリケーション開発に集中するには、インフラ管理などはなるべく効率化したい。これに応えられるのがVaultと言うわけだ。
とはいえ、新しいサービスを作る際にサービスチームごと別々の鍵管理となれば大きな手間がかかる。サービスが数多くあれば人がミスなく完璧な管理をすることは難しい。だがVaultを使えば、暗号鍵漏洩といったセキュリティインシデントを未然に防ぎ、アプリケーションの開発効率を上げられるという。
小原氏は「お客様にクラウド運用の課題をヒアリングすると必ずと言っていいほどあがるのがセキュリティの確保です。Vaultの特徴的な機能の一つに、動的シークレットの発行と管理があります。最小権限を必要な時にだけオンデマンドで自動発行するというもので、より堅牢なシステム運用が実現可能になります。ここがお客様に高い評価を得られている理由だと思います」と付け加える。
HashiCorpは提供する製品をすべてオープンソースとして公開し、コミュニティと共に開発している。同社はInfrastructure as Code(IaC)を実現する「Terraform」の開発とその商用版サービスプロバイダーとしてよく知られるが、「TerraformだけではなくVaultも、AWS、Azure、GCPに加えてあらゆる外部のDevOpsツールやデータサービスと連携先をもっており、エコシステムを拡大しています。SnowflakeやMongoDBをはじめ、直近ではRedisの動的シークレット管理の対応も発表しました」と坂田氏。
BoundaryとVaultが、侵入・被害も防ぐ
攻撃者はフィッシングなどでID、パスワードを盗み出し、それを用いてシステムに侵入する。システムで固定的にID、パスワードを運用していれば、盗んだID、パスワードで簡単に侵入でき、より高い権限を奪われることにもなりかねない。HashiCorpは、今回新たに「HCP Boundary」の一般提供を発表した。これはSSHでログインする、あるいはサーバーに入って作業するなど、人からマシンへのアクセスを制御をするものである。
Vaultを使えば、前述した通り動的にID・パスワードを払い出し、その利用は一時的に限定したり、最低限の権限でIDを払い出すことが可能になる。さらにBoundaryを組み合わせることで、リモートアクセスのためのプロキシ機能だけでなく、これらのID払い出しが自動で行われアクセスできるといった業務フローを実現することができる。
リモートで業務にあたるエンジニアに対し、たとえばデータベースの保守作業に必要となる限定した期間、権限だけでアクセスを許可でき、その払い出しを自動化できるのだ。
「仮に侵入を許してもそれ以上の特権ユーザーにはなれず、重要な情報の漏洩などの被害を抑えられます」と小原氏。このようなゼロトラストのモデルによる動的なIDやパスワード、権限の払い出しで、漏洩しない、侵入されても被害を発生させないという。
たとえば100人規模の開発環境にリモートアクセスさせるとして、1人ひとりに仮想マシンを用意し、そこに開発ツールなどをセットアップして利用するとしよう。この環境では、100台分の仮想マシン環境を常にセキュアに保ち続ける必要があるため工数がかかり、その対応が漏れたり遅れたりすることはセキュリティリスクが存在することになる。
だがVaultとBoundaryがあれば、エンジニアそれぞれの端末からアクセスする際にも状況に応じ動的に必要なID、パスワードを払い出し、最低限の権限でアクセスさせることが可能だ。特別な踏み台環境を用意しなくて良いため、効率的で安全なリモートアクセス環境が実現できる。
新しいプラットフォームでも問題なし
またHashiCorpは、分散したサービスのIPや状態などを管理して、マルチクラウド環境におけるシステム間の接続構成を自動化するためのサービスレジストリ・ディスカバリ、サービスメッシュなどを実現するマネージドサービス「HCP Consul」も提供する。坂田氏は「Vault、Boundary、Consulを組み合わせた形で実現できる全方位なゼロトラストのモデルは、業界や規模を問わずあらゆる企業にとって有益なものと考えます」と述べる。
そして小原氏によれば、セキュリティやIaC含むDevOps、運用環境の高度化も、それぞれ分断して実現するものではないと指摘する。運用しやすいよう、あるいは開発しやすいようにするためのセキュリティであり、マルチクラウドやKubernetes環境のセキュリティ確保だけが目的ではないという。むしろ「セキュリティを考慮していない開発や運用環境は、継続できないでしょう」とさえ指摘する。
さらに同社ではパブリッククラウドやKubernetesなど新しいプラットフォーム環境を活用する企業を支援しており、「最新のプラットフォームで最適かつセキュアな開発・運用を目指す企業は、ぜひHashiCorpに相談していただきたいと思います」と小原氏は言う。
なお、HCP VaultとHCP Consulは利用リージョンを選択することができ、東京と大阪の国内2リージョンで近日利用開始が可能となる。同製品をいち早く試すスターターキット「HCP (Vault, Consul) Jumpstart」のキャンペーンも実施している。Jumpstartでは、限定特別ライセンス価格での提供、テクニカルトレーニング(座学+ハンズオン)、利用開始支援、導入後フォローアップ、資格試験対策講座(Consul/VaultのAssociated試験の対策)が提供され、導入・活用をサポートするパッケージメニューとなっている。
クラウドの活用が進む一方、日本企業の多くで運用の複雑化やセキュリティ、コストの増大などの課題が多くの場所で聞かれるようになっている。HashiCorpソリューションを活用して、自社のクラウド活用状況を見直してみてはいかがだろうか。
トヨタ自動車、大日本印刷、LACに習うクラウド活用・セキュリティ戦略とは?
12月7日(水)に、HashiCorp主催のHashiCorp Virtual Strategy Dayの第3回目が開催されます。トヨタ自動車のCCoE戦略、大日本印刷のハイブリッド環境におけるセキュリティ戦略など、日本を代表するエンタープライズ企業が持つクラウド活用の戦略と具体的な取り組み、HashiCorp製品の活用事例をご紹介します。HashiCorp Virtual Strategy Day Japan Vol.3へのお申し込みはこちらからどうぞ。