クラウド活用効果の最大化に必要な2つのアプローチ
イベント冒頭、HashiCorp Japan Lead 小原光弥氏が登壇し、世界におけるクラウドの利用状況について解説した。2023年にPwCがグローバル企業を対象に実施した調査によると、78%の組織がクラウドを導入していると回答したものの、クラウドの投資で得られると期待していたビジネスインパクト(コスト削減、耐障害性の向上、新たな収益の創出)を実現している組織はわずか10%にとどまっていた。
クラウド利用における具体的な課題を見てみる。コストの観点では、クラウドの利用によってシステムの複雑性が高まり、94%の組織で無駄な利用が増えて35%の支出超過につながったと報告されている。また、報告された情報漏えいインシデント10件のうち9件には、認証情報の盗難または流出があるなど、ガバナンスとコントロールが深刻化していると指摘。さらに、クラウド利用規模が拡大すればするほど、開発者がコーディングに費やせる時間が減るなど、生産性の低下も問題視されている。
HashiCorpが顧客を対象に毎年実施している調査を見ても、日本市場における組織の76%が「クラウド技術に精通した人材が不足している」、88%が「クラウドに関する無用なコストが発生している」と回答。人材不足や無駄なコストの抑制は組織において重要な課題であることが浮き彫りになっている。
小原氏は「事業の成長とともにクラウド活用を効果的に拡大するためには、技術スキルを補う自動化施策や包括的なアプローチが必要になります。なかでも重要となるものが『アプリケーションバリューチェーン』と『標準化アプローチ』です」と話す。
1つ目に挙げたアプリケーションバリューチェーンは、アプリケーション、インフラストラクチャ、セキュリティ、モニタリングからなる一連の流れを指し、それぞれにライフサイクル管理がある。分かりやすい例がアプリケーションのライフサイクル管理だ。また、インフラストラクチャのライフサイクル管理は、プラットフォームチームがインフラを構築、デプロイし、それらを管理するためのワークフローや機能を有する。セキュリティのライフサイクル管理は、運用・セキュリティチームがシークレット(人以外に紐づく特権認証情報)や顧客データなどを保護し、安全に接続するためのシステム整備に重点を置いている。
2つ目に挙げた標準化アプローチでは、アプリケーションの実行に必要なクラウドリソース、シークレット、ネットワークなどの選択肢と柔軟性を保ちながら、クラウド活用の複雑さを軽減することを目的とする。
HashiCorpのインフラストラクチャクラウドはSaaS型のHashiCorp Cloud Platform(HCP)またはセルフマネージド型で提供されており、各種プロダクトにより先述したインフラストラクチャとセキュリティのライフサイクル管理を担うことができるものだ。
こうした製品から具体的にどのような効果が得られるのか。以降は、HashiCorpの製品を導入した企業が登壇し、導入した背景や経緯、どのようにHashiCorp製品を自社環境に組み入れたのかを解説する。
トヨタコネクティッド:3大課題を解決したHCP Vault Dedicated
最初に登壇した企業はトヨタコネクティッドだ。2000年に設立された同社は、トヨタ自動車グループでトヨタコネクティッドカーやモビリティサービスの開発や運用を手がける企業だ。クラウドを活用し車両データの管理や分析など多岐にわたるサービスを展開するなかで、クラウド活用の複雑化にともない、本番環境でのシークレット管理におけるリスクが喫緊の課題になっていたと話すのは、同社 コネクティッド技術部 部長の武田洋佑氏だ。サービスごとにシークレットを管理していたことで、運用にばらつきが発生。また、キー情報が分散していたためにシークレットのローテーションや管理が困難になっていたのだ。
同社 コネクティッド技術部 アーキテクチャ室 クラウドアーキG GM 阿部絢人氏
この課題を解決すべく様々なソリューションを比較検討した結果、HashiCorpの「HCP Vault Dedicated(以下、Vault)」を選定。動的シークレット生成や有効期限付き管理などシークレット管理機能が充実していることや、データ暗号化に対応していること、SaaS型のため運用コストが低減できて、マルチクラウドにも対応していることなどが採用理由として挙げられた。
現在は特定のワークロードでVaultの利用を開始している。シークレット管理に対する社員の意識向上とともに、運用の効率化やセキュリティリスク低減に寄与していると武田氏。今後は、既存資産に適用範囲を拡大し、またマルチクラウドで展開することも視野に入れているとした。さらにHCP Vault Radarでシークレットを洗い出すことも検討しているという。
実際にVaultをどのような構成で利用しているかについて、同社 コネクティッド技術部の阿部絢人氏が解説。同社の現場では、大量のサービスを安定的に運用しつつも、アジリティ高く開発を行う必要性に迫られていたという。また、プロジェクトごとに細かい差異はあるものの、リポジトリ管理やCI/CDパイプラインなど共通の要件も多く存在する。このような状況で、一定水準以上のセキュアな状態を全てのサービスに適用することも必要だ。そのため、「便利かつガバナンスの効いた開発プラットフォームが必須だ」と阿部氏は言う。
こうしてVaultを組み込んだ結果、下図のような開発プラットフォームを整備した。ユーザーはまず、ユーザー管理サービスにアクセスする。ここで認証と認可を一元管理しているため、シングルサインオンが可能だ。続いてアクセスする仮想デスクトップサービスでは、情報漏えいリスクが低減されたり、操作の証跡が残されたりするような仕組みが備わっている。
開発したコードはリポジトリ管理サービスで一元管理することで、開発者の利便性を高めると同時に、ガバナンスを効かせてコードの外部公開を抑止する。シークレットの管理はVaultで行うため、レポジトリと管理を分けられることが特徴だ。これによって開発者は、シークレット情報を意識することなく開発に集中できる。必要に応じて脆弱性分析ツールやCI/CDプラットフォームなどの便利ツールも活用しているという。
続いてシークレット管理の流れを見ていこう。シークレット管理者はVaultにログインしてシークレット情報の登録・更新・削除を行う。実際に開発者からソースコードがプッシュされると、CI/CDパイプラインが起動。パイプラインにはあらかじめVaultを組み込んでいるため、必要なシークレット情報をVaultに問い合わせ、Vaultは対応するキー情報をAWS Secrets Managerに渡す。
阿部氏は「Vaultを利用することでシークレット情報とソースコードの分離を実現した結果、シークレット管理者とアプリ開発者のタスクも分離できました。これにより、人的要因と技術的要因の双方でシークレット漏えいリスクの削減が可能になったのです」と話す。
ただし、Vault実装にあたっては懸念もあった。1つ目はVaultが単一障害点になるリスクだ。Vaultがダウンすると、シークレット情報の問い合わせができず、アプリケーションがダウンしてしまう。そこで、Vaultが返すシークレット情報をAWS Secrets Managerに渡し、アプリケーションはAWS Secrets Managerにアクセスするようにした。2点目はシングルサインオンの認証方式だ。当初、シークレット管理者のVaultログインはOIDC(OpenID Connect)認証を採用していたが、シークレット管理のタスクが増えてしまうデメリットがあった。しかし、VaultがSAML(Security Assertion Markup Language)認証に対応したため、SAML認証でのシングルサインオンに切り替えることで解決できたという。
今後はVaultのSecrets Syncを利用することで、シークレット情報を更新したタイミングでSecrets Managerに同期することを計画していると阿部氏。「これでCI/CDパイプラインにVaultを組み込む必要がなくなり、より利便性が高まります。これによって、さらにVaultの普及を加速できると考えています」と今後の拡張プランを語った。
イオンスマートテクノロジー:「Platform as a Product」アプローチ法とは
続いて登壇したのはイオンスマートテクノロジー CTO室 SREチーム 齋藤光氏。イオンスマートテクノロジーは2020年10月に設立され、「イオングループの全てのビジネスをテクノロジーの力で進化させる」をミッションにグループのデジタルシフト戦略を担う企業だ。同社が手がけているイオングループの決済機能やポイントプログラムをまとめた「iAEON」アプリは提供開始から約3年で総ダウンロード数は1000万を突破している。
齋藤氏は2022年5月に入社して以来、SREチームの立ち上げに従事してきた。まずは、SREチームの役割としてイネーブリングとプラットフォームの2つを定義。前者はSA(Stream-Aligned:主にビジネスのソフトウェア担当)チームへSREをインストールしてツールや基盤の伝承・伴走などを行い、後者はインフラ基盤そのものの改善などを行う。
設立から4年ほどしか経っていないイオンスマートテクノロジーだが、プロダクトの増加に比例してSAチームからSREチームへの依頼も増え続けている。SREチームではオブザーバビリティを管理するNew Relicなど、共通で使うツールは随時整備している。しかし、使用するツールは多岐にわたるため、開発チーム・プラットフォームチームともに認知負荷が高い状況となる。そして、現時点ではSAチームごとにリソースの充足度もケイパビリティも差異が生じ、足りていない部分があればSREチームが入りギャップを埋めるようにしている現状があるという。
このような背景から、齋藤氏はプラットフォームエンジニアリングへの向き合い方として以下のポイントを挙げる。
- 開発ポータルの導入からではなく部品(モジュール)を整えること
- 組織の現状を考慮して開発全体のフローを高めること
- 環境をデプロイすることだけではなく運用も視野に入れること
実際の取り組みではレバレッジを高めるため、再利用性と標準化を重視。2022年には再利用を目的にHCP Terraformコードのリファクタリングを試みたこともあったという。現在は標準的なワークロード実行基盤としてのスタックを堅め、オンボーディングドキュメントの整備、各種アカウント作成など、頻度が高くハードルが低いものからセルフサービス化を進めている。
活用しているHashiCorp製品はHCP Terraform(以下、Terraform)とHCP Vault(以下、特記以外は「Vault」)だ。齋藤氏は、Terraformを採用した理由に「IaCのデファクトスタンダードであること」「Microsoft AzureをベースにNew RelicやPagerDutyなどの各種ツールを運用している環境と相性がいいこと」「ステートファイルによる状態管理で、コードと状態が一致した状態を作れること」などを挙げた。なお、SaaS版となるHCP Terraformを選んだ理由は、TerraformのCI/CDに対する認知負荷を下げ、またTerraformそのものの運用をなくすためだという。「Private Module Registryやポリシー制御を活用することで、ガードレールやモジュール整備が進むと期待しています」と話す。
Vaultの採用はクレデンシャル管理の強化が目的だ。Vaultを利用すれば、シークレットの一元管理、利用者の権限に基づいたシークレットアクセスの制御、動的なシークレット管理とローテーションの自動化が可能となる。
なお、実行基盤はAzure Kubernetes Serviceを採用しているため、Vault Secrets Operator(VSO)を利用してシークレット管理をセルフサービス化している。齋藤氏は「Terraformと連携させることで、Vaultを直接触らないような運用を心がけています。理由はコスト抑制とシークレット管理を目的にしているためです」と説明する。
今後のプラットフォームエンジニアリングの展望について、齋藤氏は「Terraformへの意識を減らすこと」と話す。ビジネス価値を高めることがより重要だからだ。現在はコードで会話している部分をフロー化し、開発者ポータルを利用することでGUIを実現するという流れで進化を目指している。また成熟度モデルで定期的に評価しながら、組織のフェーズに会わせて顧客(開発者)に必要なことを議論していくという。
「イオングループは規模が大きいため、プラットフォームエンジニアリングによるアウトカムが効きやすい。多種多様な事業環境があることで、ガバナンスやセキュリティが常に求められます。とはいえ、プラットフォームを強制するのは悪手であり、グループの文化にも合いません。ここは『Platform as a Product』のアプローチが求められています。まずは足元のプラットフォームを磨き、周囲からプラットフォームを利用したいと問い合わせが来るような状況を目指していきたいです」(齋藤氏)
みずほリサーチ&テクノロジーズ:特殊な閉域利用をTerraform Enterpriseで実現
次に登壇した企業はみずほリサーチ&テクノロジーズだ。同社はみずほフィナンシャルグループ(以下、みずほFG)のなかで、リサーチ・コンサルティング・IT・技術開発の機能を併せ持ち、融合することで複雑化する社会や顧客課題に取り組んでいる。スピーカーとして登壇した服部純一氏と浅香樹氏は同社の先端技術研究部に所属する。
みずほFGにおいては、2018年ごろからビジネス部門が個々にパブリッククラウドの利用を開始したことを契機にクラウドのCenter of Excellence(以下、CCoE)を設立。後に「みずほAWS」と呼ばれる独自のポリシーを実装した共通プラットフォームを構築し、2023年には「みずほGCP」を構築してマルチクラウド化も実現している。みずほリサーチ&テクノロジーズでは、みずほFGのCCoE設立と同時期にパブリッククラウドの専担組織を設立し、人材育成やプロジェクトを進めるとともに、CCoEも担ってきた経緯がある。
「金融機関としてパブリッククラウドを安全に活用する必要があるため、みずほFGではアプリ固有の部分と共通化が可能な部分を分けるセキュリティポリシーのもと、共通プラットフォームをあらかじめ準備してユーザーに提供しています。また、FISC安全対策基準(金融機関等コンピュータシステムの安全対策基準・解説書)に準拠できるような仕組みやルール整備を深化発展させているところです。現在、みずほAWSとみずほGCPはグループ全体で活用されています」(服部氏)
共通プラットフォームにおいては、変化の激しいクラウド仕様に追随しながらも安全性の確保が不可欠であり、各種作業の省力化が課題となっていたため、Infrastructure as Code(以下、IaC)の導入も推進。みずほGCPでは、GoogleCloudでの推奨や多くの金融機関での採用実績を踏まえ、Terraform Enterpriseを採用するに至っている。
服部氏は「Terraform Enterpriseを導入することで、構築・設定作業の再現性や効率性・高速化・工数圧縮などの再利用性、操作手順の簡素化やミス削減(品質確保・標準化)、予防的統制、自動化やCI/CD実現などを効果として見込みました」と語る。
先述したように、みずほFGではマルチクラウド戦略を進めている。マルチクラウドでは各クラウドの特徴や得意分野を生かし、冗長性や高可用性、ベンダーロックインの回避が見込めるものの、クラウドごとに運用管理の手間がかかり、スキルも必要となる。その点、Terraformはオープンなインフラストラクチャー自動化ツールのため、IaCの実現、宣言的な共通言語(HCL)でマルチクラウド対応にも強く、plan機能で実行前に影響範囲を把握できるといった機能や特徴がある。
みずほFGでは、Terraformの中でも有償かつセルフマネージドのTerraform Enterpriseを採用した。その背景には、「1.閉域網内での運用」「2.トレーサビリティを確保できる監査ログ」「3.権限が細分化できるアクセス制御」「4.専門的なサポート」の4つを必要としていた状況があったという。これらの要望全てを満たせるものがTerraform Enterpriseだったのだ。
具体的に見ていこう。1で挙げた閉域網内での利用を可能にするため、Airgap installerで運用環境を構築した。これはインターネットに接続していない環境でも構築・運用が可能な機能だ。バージョン管理はTerraform Versions機能で行う。2に挙げた監査ログは、Audit Logを取得し、各種ログ管理サービスに転送することで実現。3のアクセス制御に関しては、Team Management機能により、権限やアクセス制御を設定しているという。参照の可否、実行の可否など細かく設定できるため、業務に応じた権限を設定できて内部不正の防止にも役立つ。
そして4で挙げた専門的なサポートに関してはGold Planを選択し、24時間365日、迅速なサポートが得られる状態にした。浅香氏は閉域網内での利用という特殊な環境ゆえに、多くの試行錯誤を体験したことを振り返り、「HashiCorpの営業やSEの方々が我々の環境や運用ルールを十分理解したうえで、具体的なやり方をコマンドも含めて提案してくれたので、しっかりと作り込みができました」と語る。
みずほFGにおけるTerraformの活用で、大きな特徴となるものが閉域網内での利用だ。他の導入事例ではあまり見られないため、社内向けの利用ガイドを制定し、展開することでスムーズな利用につなげているという。また、各種バージョンはCCoE側でコントロールしているものの、特定のバージョンを利用したい場合には、申請によりバージョンを指定できるようなフローも用意。Terraformに限らず、利用方法に戸惑うユーザー向けにサンプルコードを提供するなどして、最初に利用するハードルを下げ、利用の負担を軽減できるようにするなど、独自の工夫も多く凝らしているのだ。
JALインフォテック:管理者・利用者双方が使いやすいシステムへ
最後に登壇したJALインフォテックからは、JALグループ向け全クラウドプラットフォーム「CIEL/S」のインフラエンジニアを務める爰野寛太氏、基盤構築における標準化や自動化推進を担う「ATLAS」チームリーダーを務める永尾唯氏がHashiCorp Vault導入に至るまでの経緯などを解説した。
JALインフォテックでは、日本航空や一般向けにITを用いて、安心・安全・快適のためのサービスを提供している。HashiCorp Vaultの導入前、同社にはセキュリティに関する2つの課題があった。1つはSSH鍵の管理が煩雑化していること、もう1つはサーバーログイン用のパスワードを台帳で管理しており、セキュリティの懸念があったことだ。これらの課題を解決すべく「シークレット管理」について要件の詳細化から着手することにしたという。
同社がシークレット管理の最低要件として定めたのは次の5点だ。
- 多様なシークレットを管理できること(SSH鍵だけではなく、Key-Value型のシークレット、AWSシークレットなど幅広く、さらに「Just in time(動的に)」で管理したいという狙いによるもの)
- マルチクラウドに対応していること
- 認証方式がAzureADと連携できること
- 自動化しやすい仕組みが提供されていること
- 国内実績があること
これら5つの要件に応えられる製品がVaultだった。SaaS型のHCP Vaultにした理由としては、メンテナンスの手間やコストが削減できること、サービス提供までのスピードが早いこと、Enterprise版に比べると機能はやや劣るものの必要十分な要件を満たすことが挙げられた。爰野氏は「DR(ディザスタリカバリ)レプリケーション機能はついていませんが、パフォーマンスレプリケーションにより、リージョンがダウンしてもリードだけで継続稼働が可能です。バージョンアップ作業でもダウン時間を最小かつ手軽に実施可能な点で軍配が上がりました」と話す。
JALの新システムとしてVaultの採用が決まると「ALTER(オルタ)」という名前とロゴがつけられた。単語が持つ「変える」という意味からキーをローテーションすることや、キーボードの「Alt」キーのように様々な機能を発揮することをイメージできることから名づけられた。JALでは、このように主要システムに名前をつけて、社内への周知や愛着の醸成につなげているという。
こうして「ALTERシステム開発プロジェクト」が始動したものの、すぐに3つの壁が立ちはだかった。それは「可用性の壁(サービスダウン時にどう対応するか)」「JALが定める高いセキュリティ基準の壁(シークレット情報を外部に保存していいか)」「共通サービス化の壁(クロスアカウントや多様なユーザーレベル)」だ。
1つ目の可用性の壁については、Vaultコンティンジェンシー(航空用語で予期せぬ事態に備えて定めておく緊急事態追う計画)、つまりVaultの障害発生時に緊急的にログインできる環境を整備することで突破した。ユースケースごとに障害の影響や解決策を検討して資料化しているという。2つ目のセキュリティ基準の課題には、セキュリティチーム、自動化・効率化を推進するATLASチーム、クラウドプラットフォームを司るCIEL/Sチームが集い、JALのセキュリティ基準に合致するポリシーを設計することで対応。永尾氏は「ALTERではVaultのすべての構築や設定変更はTerraformで管理し、手作業は一切行いません。誤操作を考慮し、管理者(セキュリティチーム)ですら手作業ができない設計になっています」と話す。
3つ目の共通サービスの壁は、管理者と利用者の双方で「使いやすい」環境を目指すことで突破を図った。管理者に対しては効率化を重視し、すべての設計をTerraformとVaultでIaC化。続いて既存の自動化ツール(Ansible)とも連携し、維持管理作業をジョブ化した。利用者に対してはマインド作りと敷居の低さを重視し、シークレット管理の重要性を周知するための教育から実施。利用・導入ガイドを作成することで利用ハードルを下げ、GUI操作・API操作など利用方法を多彩に用意することで使いやすさを高めていった。
今後の展望として爰野氏は「オンライン学習プラットフォームであるUdemyの動画教育などを活用した利用者教育の拡充、証明書管理や他のシークレット管理などの機能拡張、効果測定などを進めながら、さらなる自動化を進めていけたらと考えています。ALTERはまだリリースしたばかりですが、今後は全社へ展開していく予定です。ALTERを通じて、JAL全体で先進的でセキュアなシークレット管理ができるように推進していきたいです」と意気込んだ。
自動化や効率化で開発者体験を向上
これまで見てきたように「HashiCorp Strategy Day Japan 2024」では、トヨタコネクティッド、イオンスマートテクノロジー、みずほリサーチ&テクノロジーズ、JALインフォテックの4社がそれぞれ導入の背景や経緯、そして効果や展望を語った。どの企業にも共通していることは、いかに“開発者体験を向上”させるか、いかに構築したプラットフォームやシステムを社内に展開するかという点であった。
最後にHashiCorp Japan Lead 小原光弥氏は「今後も、日本のお客様の活用事例を共有いただく場、お客様同士をつなげる場をご提供してまいります。プロダクトの提供のみならず、皆さまのクラウド活用をご支援してまいりたいと思います」と述べ、イベントを締めくくった。
