SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press(PR)

トヨタがCCoE設立でクラウド活用本格化──DNPやラックも思わずうなるHashiCorpの価値とは

『HashiCorp Virtual Strategy Day Japan Vol.3』レポート

大日本印刷:hontoのハイブリッド化に伴うセキュリティ課題を「Vault」で解決

 大日本印刷(以下、DNP)は『未来のあたりまえをつくる。』をブランドステートメントに掲げ、独自の「P&I」(印刷と情報)の強みを活かして、持続可能なより良い社会、より心豊かな暮らしを実現する新しい価値の創出に取り組んでいる。本イベントでは、DNPが提供しているハイブリッド型総合書店『honto』がハイブリッドインフラ環境へと移行することにともない生じたセキュリティ課題と、それをHashiCorp Vaultでどのように解決したかを解説した。

 hontoは、インターネット書店とリアル書店を連携させたハイブリッド型総合書店。各ストアを共通のサービスインフラで連携することで、横断的にポイントや商品検索などのサービスが利用できる。佐野氏は「生活者に本の価値を伝え、読者を増やし、人々と社会の知を支える出版文化の可能性を広げることを目的としています」と話す。

大日本印刷 出版イノベーション事業部 honto.jpビジネスセンター ハイブリッドプラットフォーム開発ユニット 佐野昂洋氏
大日本印刷 出版イノベーション事業部 hontoビジネスセンター
ハイブリッドプラットフォーム開発ユニット 佐野昂洋氏

 そして、2022年にはhontoがサービスを開始して10周年を迎えており、会員数は700万人を突破した。言い換えれば700万人の個人情報を預かっているため、セキュリティ事故防止のために細心の注意を払っている。

 2012年のサービス開始当時はオンプレミス環境のみで稼働しており、物理的な場所やネットワーク(境界防御モデル)でアクセス制限がなされていた。2015年にDWHをGCPのマネージドサービスに移行するプロジェクトが発足し、これをきっかけに他のシステムも段階的にGCPへ移行するようになったという。

 クラウド環境への移行直後、セキュリティは手探りの状態。社内のアカウント認証とSSOで連携するなどしていた。次第にマイクロサービス化が進むと、機能ごとに適した環境やサービスを利用するようになり、マルチクラウドとオンプレミスのハイブリッドインフラ環境へと発展。2020年ごろからは、社内CCoEと連携してセキュリティ戦略を見直すことにした。

 特に課題となったのが、クラウドへのアクセス制御とクラウドサービスの利用状況の監査だ。開発者や運用担当者など、人間がアクセスするときなら認証サーバーと連携したSSOを利用できるが、プログラムがアクセスするときには権限を持つサービスアカウントを使用し、キーを開発拠点のサーバーに配置していた。このアーキテクチャでは、もしサービスアカウントキーが流出してしまうと、外部からhontoが利用するGCPサービスにアクセスできてしまう。そのため、キーが流出した際のリスクを低減する方策や、キーの作成や利用状況についてきちんと監査できる体制が必要だった。

 そうしてセキュリティを見直した結果、ネットワーク分割によるアクセス制限は保持したままアカウント管理をシステム化し、アクセス制御をよりセキュアにすることに。具体的には、アカウントキーを短期間でローテーションさせることや、アカウントキーの発行には開発者の手を介さないフローとしている。そしてアカウントキーの作成とダウンロード、サービスアカウントを利用した外部からのアクセスを監視するような運用とするだけでなく、監視していることを内部向けにも周知して、万が一の不正利用に対する抑止力とした。

 なお、初期構想においては、期限付きアクセストークンの使用を考えていたという。GCPでは期限付きでサービスアカウントのアクセストークンを作成できるため、同機能を利用。サービスアカウントから期限付きトークンをリクエストして、この期限付きトークンを用いてGCPにアクセスするという具合だ。これならもし流出したとしても、悪用されるリスクはトークンの有効期限内に限られる。

 ただし、アクセストークンをリクエストする権限をもったサービスアカウントをプログラム側が持っている必要があり、そのサービスアカウントの有効期限の管理ができないという問題があった。そこでアカウントキーやアクセストークンを取得するタイミングで認証・認可ができるシステム、あるいはアカウントキーやアクセストークンを扱うエージェントのような機能が求められ、模索した結果としてVaultを試してみることにしたという。

 当初、Vaultを次のような構成で導入することを構想として描いた。オンプレミス環境にはVaultエージェントをインストールし、このエージェントをクラウドにあるVaultサーバーで認証することで、GCPで使用するアカウントキーを要求。Vaultサーバーでは、GCPのIAM(Identity and Access Management)から必要なアカウントキー(有効期限付き)を取得して、エージェントに返す。オンプレミスにあるプログラムは取得したアカウントキーを使い、GCPにアクセスする。この方法ならアカウントキーのやり取りに人手を介す必要がなく、アカウントキーの有効期限が設定できるだけでなく、アカウントキー取得時に認証・認可のプロセスを挟むことが可能だ。

 PoCを実施した結果、サービスへの影響や耐障害性、キー漏えい時のセキュリティ、監査などの要件を満たすことが確認できた。また、大きなプログラム改修も必要なく利用可能であることも判明したという。実装については、運用観点からの変更点は加えたが、PoCで検証した構成を大きく変えることなく、システムを構築することができた。

『Vault』導入でセキュリティ課題を改善
『Vault』導入でセキュリティ課題を改善
[画像クリックで拡大]

 佐野氏は、Vaultの今後の展開として「将来的にDBなどをクラウド上で扱うことになった場合に、そのデータ領域を暗号化・復号する用途に利用すること、プログラムのリリースや突発的な障害対応をテレワーク環境からも可能とするように認証・認可のコントロールに利用することを考えています」と見据えて締めくくった。

次のページ
ラック:アプリケーションのセキュリティ向上に「Vault」でシークレット管理

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17144 2023/01/25 10:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング