LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

広報情報 | 

アイデンティティ管理で開発現場のゼロトラスト・セキュリティを実現、セキュリティとIT運用を自動化するHashiCorpとラックがタッグ

ラックは、クラウドの運用課題を自動化ソリューションで解決する米HashiCorpの日本法人であるHashiCorp Japanと販売代理店契約を交わしている。第1弾として2019年8月、ITシステムにログインする際に使うシークレット(ID/パスワード、APIアクセスキーやクラウドのアクセストークンなど)を一元管理するソフト「Vault」を販売開始。2019年12月には第2弾として、サーバーの構成管理をコード化/自動化するInfrastructure as Code(IaC)を実現する「Terraform」を販売開始した。

ラックがHashiCorp Japanの販売代理店になった背景には、ITシステムの稼働環境がクラウドにシフトしていく中、ネットワークゲートウェイで不正アクセスをブロックする境界型防御のやり方では、サイバー攻撃からITシステムを守れなくなっているという事情がある。その代替として、サーバーにアクセスするユーザーやアプリケーションを都度認証するゼロトラスト・セキュリティが求められている。この文脈の下でラックは、シークレットを一元化する「Vault」を、ゼロトラスト・セキュリティを実現する製品として位置付けている。

一方のHashiCorp Japanは、セキュリティに強いパートナー企業との連携を模索していた。ラックは国内の販売代理店としては6社目に当たるが、SIベンダーとしてはラックが国内で初めてHashiCorp製品の販売と導入支援サービスおよびサポートサービスの提供を開始した。

「ラックのセキュリティベンダーとしての実績を高く評価している」と、HashiCorp Japanでカントリーマネージャーを務める花尾 和成氏は言及する。実際にラックは、2021年6月、HashiCorp社より、国内企業として初めてHashiCorp販売代理店の最高ランクであるHyper-Specialized Partnerに認定され、さらに2022年4月27日には2022 HashiCorp APAC SI & Reseller Partner of the Yearを受賞した。

HashiCorp Japanでカントリーマネージャーを務める花尾 和成氏
HashiCorp Japanでカントリーマネージャーを務める花尾 和成氏

HashiCorpのグローバルイベントはゼロトラスト・セキュリティに軸足

米HashiCorpは、2022年10月4日から6日(米国現地時間)にかけて、グローバル規模のプライベートイベント「HashiConf Global 2022」を米国ロサンゼルスで開催した。3年ぶりの現地開催となり、現地には1,000人、オンラインに9,000人の参加者が集まった。キーノートに加え、テクニカルなブレークアウトセッションが40以上、テック企業らしく手を動かすラボセッションも開催している。HashiCorp製品を販売するラックで、執行役員CTOを務める倉持 浩明も、このイベントに参加した。

ラックで執行役員CTOを務める倉持 浩明
ラックで執行役員CTOを務める倉持

倉持は、HashiConf Global 2022に参加した感想として「HashiCorpはTerraformを中心にIaC(Infrastructure as Code)を推進する会社というイメージが強いですが、イベントではVaultやリモートアクセス管理のBoundaryなど、ゼロトラスト・セキュリティを重視しているというメッセージが多く発信されていました」と振り返る。

「IaCを導入することで、インフラの設計と運用にガバナンスを効かせられます。コードは人間でも機械でも読めて、世代管理も可能です。HashiCorpはTerraformで、まずはこうした世界を実現してきました。今は、シークレット管理のVaultを中心としたゼロトラスト・セキュリティの実現に注力しているように思います」(倉持)。

「ネットワークセキュリティベンダーでは、シークレット管理に行き着かない。VPNの脆弱性を無くそうとか、シークレットの使い回しはやめようといったポリシーで解決しようとします。しかし、シークレット管理はセキュリティの要です。セキュリティ事故の多くはシークレット管理に関する問題で起きています。シークレットの生成・ローテーション・破棄を一元管理できるVaultはこれからのセキュリティ対策において重要な位置を占めると考えます」(倉持)。

HashiCorp Japanの花尾氏も、倉持の感想に同意する。

「われわれは従来、クラウド運用モデルが時代の流れからして大事だと強調してきました。それを実現する際に、スピードと生産性を高めるために"いいとこ取り"をしたいというニーズがやってきます。その際に、マルチ(複数)クラウドを使うという自然の流れがやってくると考えており、その裏側にあるのが、ゼロトラスト・セキュリティだと最高経営責任者(CEO)のDave McJannetは話しています。オンプレミスや複数のクラウドが混在した環境では、ゼロトラスト・セキュリティが重要です。ゼロトラストの基本的な考え方は、ユーザーからの通信やサーバー間の通信を都度認証するというもの。これを実現するのがVaultです」(花尾氏)。

より詳しく知るにはこちら

より詳しく知るにはこちら

マルチクラウド環境を自動化する運用管理ソフトウェアであるHashiCorp社の製品は、世界の多くの企業に活用されています。また、ゼロトラストを軸にしたDX実現の鍵として、注目されています。ラックはHashiCorpの日本法人と連携して、企業の課題解決を全面的に支援しています。

シークレット管理に関する課題をシンプルに解決するVault

さらに詳しく知るにはこちら

Vault(ヴォルト)

Vaultは、ITシステムにアクセスする際に必要なパスワードや鍵を、ネットワーク上で一元的に管理するサーバーソフトだ。Vaultを導入することによって、ID/パスワードなどのシークレット管理機能をITシステムから切り出すことができる。自前で記録・記憶していなくても、Vaultに問い合わせることでシークレットを得ることができるのだ。有効期限を設けたシークレットを動的に発行する機能も持つ。

さらに詳しく知るにはこちら

Vault(ヴォルト)

花尾氏は、Vaultの特徴の1つとして、ユースケースの広さをアピールする。「ユーザーの多くは、ID/パスワードを集約して一元管理する、という基本的な使い方から始めています。その後に、より高いセキュリティを確保するべく、必要な場面で必要なシークレットを動的に発行する使い方(動的シークレット管理)へと移行します」(花尾氏)。

倉持も「Vaultは実はとてもシンプルな使い方もできる」と話す。「最近のセキュリティ製品は導入が大変なものが多いですが、Vaultは導入が簡単です。ID/パスワードを一元管理するという目的から始めて、利便性を感じつつ、徐々に利用範囲を広げていくアプローチが良いでしょう」(倉持)。

アプリケーションのソースコードにクラウドのアクセストークンやシークレットをそのまま書き込んでしまう問題(ハードコーディング)もある。シークレットが記述されているソースコードをそのままGitHubに公開してしまったことからセキュリティ事故につながるケースもある。「HashiConf Global 2022では、必要になった時点でID/パスワードを入手することを指して、"ジャストインタイムのシークレット"と表現していました。ご存知のとおり、ジャストインタイムとはトヨタ自動車のトヨタ生産方式で使われている言葉で、生産工程において各工程に必要な物を、必要な時に、必要な量だけ供給する生産技術のことです。これまで私たちもVaultのシークレットを"動的シークレット"と紹介していましたが、"ジャストインタイムなシークレット"という表現の方がシックリ来ます」(倉持)。

Vaultには、無償で使えるオープンソース版もあります。「最初はオープンソース版を使い、利用の範囲を組織レベルへと広げる際に有償版(Vault Enterprise)に移行するといった導入が可能だ。Vault有償版には障害発生時のディザスターリカバリー(DR)や、シークレットの発行時の承認機能など、大規模なチーム及び運営における必須機能が実装されています」(花尾氏)。

製品カットではなくITの自動化をテーマに掲げて推進していく

「ユーザーの課題に対する解決策の提供という意味では、IaCやID管理などの製品カットの切り口に注力し過ぎることは好ましくなく、自動化によってセキュリティ管理やソフトウェア開発を効率化するという大きなテーマで捉えることが大事です」と倉持は述べる。自動化による効率化の「手段」として、IaCやシークレット管理など個々の解決方法があるという考え方だ。

自動化は日本にとって重要なテーマだと倉持は言う。「日本は製造業を中心として自動化が進みました。モノ作りでは当たり前にできていた自動化が、ソフトウェア開発ではできていない」(倉持)。

ソフトウェア開発者は本来、いかに楽をするか、同じことを2回やらないで済ますか、といったことが得意な人たちだと倉持は言う。「優秀なプログラマは総じて、ある意味での"怠け者"とも言えます。自動化によってラクをすることに、企業はもっと投資しなければいけません」(倉持)。

花尾氏もうなずく。「HashiCorpは一言で表現するなら"自動化"の会社です。様々な自動化によって、セキュリティのリスクを減らすこともできれば、開発のスピードを上げることもできます。自動化という大きな需要から派生して、IaCやID管理など、個々の課題に細分化した製品があります」(花尾氏)。

セキュリティはトップダウンで全社に導入

IaCツールのTerraformは、小規模な開発チームが自分たちの手の届く範囲で使い始められる。開発チームの生産性を高めるために、開発チームが"ラクをする"ために導入する。現場のエンジニアから「これを使いたい」という形で、ボトムアップで導入が進むことが多くある。これとは逆に、セキュリティはトップダウンでなければ導入はなかなか進まない。「セキュリティはトップダウンで導入すべきです」と倉持は話している。

もっとも、Vaultにも、暗号化などのセキュリティ機能をAPI化して切り出すという、ソフトウェア開発ツールの一種としての意味はある。「プロジェクトごとに自前で実装していたセキュリティ機能を共通化して切り出し、再利用することで、個々の開発チームの作業が減ります。こういう観点でセキュリティに取り組むという需要はあるのです」(花尾氏)。

セキュリティは導入効果も見えにくいので導入が進まないと花尾氏は話す。「IaCのTerraformは、ツールを使う人の役割と、ツールの使い方が確立されている世界なので、ツール導入前と導入後のビフォーアフターでどんな効果が出るのかが見えやすいです。一方、シークレット管理のVaultは、プロジェクトごとに課題も効果も異なります。誰が何をやればいいのかも見えにくいのです」(花尾氏)。

部門レベルの「戦術」から全社レベルの「戦略」へと移行

トップダウンのアプローチは、全社的なメリットにつながる。花尾氏は、ユーザーが抱える大きな悩みとして「場当たり的なクラウド活用から、包括的なクラウド活用へのシフト」を挙げる。「IaCも、部門の運用を効率化するだけでなく、これを共有することで、会社全体で運用を効率化できます。日本でも、ようやく部門横断的になり始めてきていますが、どこまで広げられるかはトップの後押し次第です」(花尾氏)。

倉持も同調する。「より大きな効果を得るためには、セキュリティ分野のVaultだけでなく、IaCのTerraformについてもトップダウンで導入を進める動きが必要です。まずは戦術的に各チームがTerraformを導入してそれぞれのクラウドを管理し、これを会社が戦略的に後押しし、徐々に企業全体で使っていくという形が上手くいくようです」(倉持)。

現実に、IaCの事例はたくさんあるが、ビジネスの成果はまだ大きくないと倉持は言及。「トップダウンでIaCの導入を進める上で、クラウドやIaCの技術者が需要に対して足りていません。クラウド活用を推進するCCoEのような体制を作り、組織としてナレッジを貯めて標準化していくことが望ましいです」(倉持)。

ラックは、SI企業としてIaCに取り組んできた歴史がある。「日本では、2014年前後にIaCのコンセプトがシステム開発の現場でも普及し始めました。これは、日本国内でもAWSを始めとしたパブリック・クラウドの導入が進み始めた時期と符合します。クラウドを導入・利用するメリットとしてコスト削減やスピードが挙げられることが多いですが、実は最大のメリットはインフラをソフトウェアとして利用し、コードで管理できることです。Terraformを使ったIaCと、Vaultを使ったシークレット管理を開発・運用のワークフローに組み込むことで、企業としてガバナンスを効かせた上でクラウドのメリットを享受できます。ラックも2014年からIaCを追ってきています。セキュリティ事業だけでなく、システム構築事業でもユーザーを支援可能です」(倉持)。

HashiCorp Japanで日本のカントリーマネージャーを務める花尾 和成氏(左)と、ラックで執行役員CTOを務める倉持 浩明
HashiCorp Japanで日本のカントリーマネージャーを務める花尾 和成氏(左)と、ラックで執行役員CTOを務める倉持 浩明

なお、12月7日にオンラインで開催されるイベント「HashiCorp Virtual Strategy Day Japan Vol.3」では、花尾氏がオープニングセッションを務め、ラックからは倉持がパートナーセッション「インシデント事例から考える、DevSecOpsを実現する戦略的セキュリティ対策」をテーマに登壇する。参加は無料のため、ぜひ検討していただきたい。

イベント概要

2022年12月7日(水) 13:00~16:30 オンライン開催
HashiCorp Virtual Strategy Day Japan Vol.3
マルチクラウド時代における組織規模の戦略的クラウド活用

この記事は役に立ちましたか?

はい いいえ