JALインフォテック:管理者・利用者双方が使いやすいシステムへ
最後に登壇したJALインフォテックからは、JALグループ向け全クラウドプラットフォーム「CIEL/S」のインフラエンジニアを務める爰野寛太氏、基盤構築における標準化や自動化推進を担う「ATLAS」チームリーダーを務める永尾唯氏がHashiCorp Vault導入に至るまでの経緯などを解説した。
JALインフォテックでは、日本航空や一般向けにITを用いて、安心・安全・快適のためのサービスを提供している。HashiCorp Vaultの導入前、同社にはセキュリティに関する2つの課題があった。1つはSSH鍵の管理が煩雑化していること、もう1つはサーバーログイン用のパスワードを台帳で管理しており、セキュリティの懸念があったことだ。これらの課題を解決すべく「シークレット管理」について要件の詳細化から着手することにしたという。
同社がシークレット管理の最低要件として定めたのは次の5点だ。
- 多様なシークレットを管理できること(SSH鍵だけではなく、Key-Value型のシークレット、AWSシークレットなど幅広く、さらに「Just in time(動的に)」で管理したいという狙いによるもの)
- マルチクラウドに対応していること
- 認証方式がAzureADと連携できること
- 自動化しやすい仕組みが提供されていること
- 国内実績があること
これら5つの要件に応えられる製品がVaultだった。SaaS型のHCP Vaultにした理由としては、メンテナンスの手間やコストが削減できること、サービス提供までのスピードが早いこと、Enterprise版に比べると機能はやや劣るものの必要十分な要件を満たすことが挙げられた。爰野氏は「DR(ディザスタリカバリ)レプリケーション機能はついていませんが、パフォーマンスレプリケーションにより、リージョンがダウンしてもリードだけで継続稼働が可能です。バージョンアップ作業でもダウン時間を最小かつ手軽に実施可能な点で軍配が上がりました」と話す。
JALの新システムとしてVaultの採用が決まると「ALTER(オルタ)」という名前とロゴがつけられた。単語が持つ「変える」という意味からキーをローテーションすることや、キーボードの「Alt」キーのように様々な機能を発揮することをイメージできることから名づけられた。JALでは、このように主要システムに名前をつけて、社内への周知や愛着の醸成につなげているという。
こうして「ALTERシステム開発プロジェクト」が始動したものの、すぐに3つの壁が立ちはだかった。それは「可用性の壁(サービスダウン時にどう対応するか)」「JALが定める高いセキュリティ基準の壁(シークレット情報を外部に保存していいか)」「共通サービス化の壁(クロスアカウントや多様なユーザーレベル)」だ。
1つ目の可用性の壁については、Vaultコンティンジェンシー(航空用語で予期せぬ事態に備えて定めておく緊急事態追う計画)、つまりVaultの障害発生時に緊急的にログインできる環境を整備することで突破した。ユースケースごとに障害の影響や解決策を検討して資料化しているという。2つ目のセキュリティ基準の課題には、セキュリティチーム、自動化・効率化を推進するATLASチーム、クラウドプラットフォームを司るCIEL/Sチームが集い、JALのセキュリティ基準に合致するポリシーを設計することで対応。永尾氏は「ALTERではVaultのすべての構築や設定変更はTerraformで管理し、手作業は一切行いません。誤操作を考慮し、管理者(セキュリティチーム)ですら手作業ができない設計になっています」と話す。
3つ目の共通サービスの壁は、管理者と利用者の双方で「使いやすい」環境を目指すことで突破を図った。管理者に対しては効率化を重視し、すべての設計をTerraformとVaultでIaC化。続いて既存の自動化ツール(Ansible)とも連携し、維持管理作業をジョブ化した。利用者に対してはマインド作りと敷居の低さを重視し、シークレット管理の重要性を周知するための教育から実施。利用・導入ガイドを作成することで利用ハードルを下げ、GUI操作・API操作など利用方法を多彩に用意することで使いやすさを高めていった。
今後の展望として爰野氏は「オンライン学習プラットフォームであるUdemyの動画教育などを活用した利用者教育の拡充、証明書管理や他のシークレット管理などの機能拡張、効果測定などを進めながら、さらなる自動化を進めていけたらと考えています。ALTERはまだリリースしたばかりですが、今後は全社へ展開していく予定です。ALTERを通じて、JAL全体で先進的でセキュアなシークレット管理ができるように推進していきたいです」と意気込んだ。
自動化や効率化で開発者体験を向上
これまで見てきたように「HashiCorp Strategy Day Japan 2024」では、トヨタコネクティッド、イオンスマートテクノロジー、みずほリサーチ&テクノロジーズ、JALインフォテックの4社がそれぞれ導入の背景や経緯、そして効果や展望を語った。どの企業にも共通していることは、いかに“開発者体験を向上”させるか、いかに構築したプラットフォームやシステムを社内に展開するかという点であった。
最後にHashiCorp Japan Lead 小原光弥氏は「今後も、日本のお客様の活用事例を共有いただく場、お客様同士をつなげる場をご提供してまいります。プロダクトの提供のみならず、皆さまのクラウド活用をご支援してまいりたいと思います」と述べ、イベントを締めくくった。
