テイルズオブテイルズ シーズン2ピンボール

株式会社インターネットイニシアティブ(IIJ) 様

Kubernetesをベースにした
プラットフォームに
Sysdig Secureを導入
セキュリティの可視化により
システムの安(an)定と利用者の安(an)心を実現(xian)

 顧客接点の高(gao)度化

専門家以外でも使える
操作性に優れたGUIと
プリセット済みの豊富なルールが魅力

事例のポイント

お客様の課題

  • Kubernetesを用いたサービス共通プラットフォームのセキュリティを強化したい
  • FalcoやOSS版Sysdigではルールづくりなどの手間がかかる上、高度で専門的な知識も必要
  • 専門知識のない事業部の担当者にもツールから得られるセキュリティ情報を役立ててほしい

課題解決の成果

  • セキュリティが可視化されたことで安定したシステムが実現し、利用者の安心感にもつながる
  • あらかじめ豊富なルールが用意されているため、手間をかけずに導入できた
  • 操作性に優れたGUIにより、専門知識のない事業部の担当者でもセキュリティ情報の活用が可能に

導入ソリューション

  • Sysdig Secure

株式会社インターネットイニシアティブ
ネットワーク本部
SRE推進部(bu)長

田口 景介

株式会社インターネットイニシアティブ
ネットワーク本部 SRE推進部
シニアエンジニア

牧野 泰光

「IIJ Kubernetes Engine(IKE)にSysdig Secureを導入したことで、テナント側とクラスタ側との間で責任(ren)分界点を明確(que)化した上で、インシデントに対処(chu)することが可能(neng)になりました」

ネットワーク本(ben)部(bu)(bu) SRE推進(jin)部(bu)(bu)長

田口 景介

背景・課題

Kubernetesをベースにした
プラットフォームの利用に際して
セキュリティの強化が課題に

 日(ri)本におけるインターネットの黎明(ming)期より、サービスプロバイダとしてさまざまなサービスを提(ti)供してきたインターネットイニシアティブ(以下 IIJ)。同社は設立(li)以来の基本方針である「高い品質(zhi)と信頼性」を、クラウド上のインフラにおいても実現するため、2018年からSRE(Site Reliability Engineering)推進部が中心となって、サービス共通プラットフォームの構築(zhu)に取り組んでいる。

 その取(qu)り組みの中で生(sheng)まれたIKE(IIJ Kubernetes Engine)という名前(qian)のこのプラットフォームは、いま話(hua)題のコンテナ管理技術(shu)であるKubernetesを用(yong)いており、社内システムの運用(yong)環(huan)境や各事業(ye)部門が提供するサービスの共通基盤(pan)となることが期待(dai)されている。プロジェクトをリードするSRE推(tui)進(jin)部長 田口景介氏(shi)はKubernetesを採用(yong)した理由について「今日では多くの企(qi)業(ye)がクラウドを活用(yong)していますが、パブリッククラウドごとにインターフェースが異なるため、クラウド事業(ye)者の変更や使い分けが困難です。その点、サーバー側においてOSのような役割を果たすKubernetesは、ベアメタルサーバー上やさまざまなパブリッククラウド上で、まったく同じパッケージが動かせるのが大きな魅力です」と語る。つまり、KubernetesをIKEのベースにすることで、インフラの種類を問わず同一パッケージによるアプリケーションのデプロイや、環(huan)境に依存しない同一オペレーションによる運用(yong)が可能になり、リリース速(su)度(du)やスケーラビリティ、サービス品質が向上するとともに、システムリソースのコスト削減が期待(dai)できるというわけだ。

 しかし、IKEの構(gou)築(zhu)時にはひとつ大きな課(ke)題があった。セキュリティである。IIJでは、Kubernetesを利(li)用するために各種ドライバやトラフィックマネージャ、さらにはアプリケーションやアカウントを管理するためのポータル/モニタリングツールなどを自社で開(kai)発(fa)したり、OSSのコンポーネントを組(zu)み込んだりしていた。それにより、本番運用に向けてセキュリティを強化する必要があったが、利(li)用できるコンポーネントがなかったのである。そこでSRE推進室(shi)は、2021年(nian)春ごろからセキュリティ対策(ce)の導(dao)入に向けて本格的な検討(tao)を開(kai)始した。

解決策と効果

採用の決め手は
操作性に優れたGUIと豊富なルール
SCSKの高度で専門的な製品知識と
日本語サポートも評価

 Kubernetesのセキュリティコンポーネントとしては、Falcoがよく知られている。しかし、Falcoを活用する際にはルールづくりなどの手間がかかるだけでなく、高度で専門的な製品知識も求められる。
「SRE推進(jin)部のメンバーは皆Kubernetesの専門家ですが、セキュリティに必ずしも精(jing)通している、というわけではありませんし、メンバーの数に限りがある中(zhong)で、Falcoだけに貴重な人的(de)リソースを割くわけにもいきません」(田口氏) 

 そこでSRE推進部が注目したのが統合型エンタプライズセキュリティ「Sysdig Secure」だった。Sysdig社がFalcoやOSS版Sysdigの開発元であることに加え、SCSKが2019年11月から商用版の国内総販売代理店となったことから、日本語による手厚いサポートが期待できる点に注目したのである。
「かねてよりSCSKはブログなどを通じてSysdig Secureの情報を積極的に発信しており、製品に対する十分(fen)な知識を持っていると考(kao)えました」(田口氏)

 2021年4月、SRE推(tui)進(jin)部はSysdig Secureの採(cai)用(yong)(yong)を決断、6月から利用(yong)(yong)をスタートした。実際の導(dao)入(ru)・構築にあたったSRE推(tui)進(jin)部 シニアエンジニアの牧野泰光氏は、採(cai)用(yong)(yong)のポイントについて「ひとつはFalcoやOSS版Sysdigと異なり、操作性に優れたGUIを備えており、専門(men)家以外の担当者でも使いやすいこと。もうひとつが、脆(cui)弱性や不正アクセスなどを検出するためのルールが豊富にプリセットされており、ゼロからルールを作る必(bi)要がなかったことです」と振り返り、田口(kou)氏も「Kubernetesのメリットを最大(da)限に生かし、付加(jia)価値(zhi)を高めるには、いわゆるマルチテナントが望ましいと考えていて、IKEもその前提で構築しています。ここにSysdig Secureを導(dao)入(ru)したことで、テナント側とクラスタ側との間で責任分界点を明(ming)確(que)化した上で、インシデントに対処(chu)することが可能になりました」とその意義を強調する。

 また、2021年12月、Javaベースのロギングユーティリティ「Apache Log4J」に深刻な脆弱性が発見されるということがあったが、このとき大きな手応えを感じたと導入の効果について話す。
「脆弱性が公表されたのが金曜日だったため、週末に攻撃を受けてしまった事業者(zhe)が多かったようですが、当(dang)社(she)はSysdig Secureのルールを追加することで迅速に対(dui)処(chu)できました。結果的に不正なアクセスはなかったのですが、インシデントが発生していないことを確認できたのは安心感につながりました」(田口氏(shi)) 

 さらに、SCSKの提供(gong)するサポートは期待以上(shang)のもので、導入(ru)前に実施されたハンズオンや勉(mian)強会(hui)に加え、導入(ru)後も最新(xin)の情報が逐次提供(gong)されている。メンバーの知識習得やスキル向上(shang)に大いに役立(li)っているということだ。

左からSCSK 姜(きょう)、SCSK 川杉、IIJ 田口 氏(shi)、IIJ 牧野 氏(shi)、SCSK 石川、SCSK 奥

今後の展望

機械学習による障害予測ほか、
さらなる活用を目指すSCSKには
Tipsや他社事例、技術情報などを期待

 今後、IIJがサービス共通(tong)プラットフォームとしてIKEの活用を進めていく中、Sysdig Secureによるセキュリティの可視化(hua)は、システムの安定性はもちろん、利用者の安心感にもつながることだろう。同(tong)社では、システムのデプロイ前(qian)にはクラスタのスキャンや、SaaSとの連携(xie)などの機能も活用していくことを検(jian)討(tao)している。

 そして、現時点では25ノードで稼働しているIKEだが、近日中に50ノードまで増やし、将来的には100ノード以上に拡大していく方針だ。
「IKEの利用が広がっていくことで、今後さらに多(duo)くのサーバーが置き換わっていくことでしょう。これに伴い事業部の担(dan)当者に使(shi)ってもらうケースも増(zeng)えると思いますので、SCSKには機能(neng)制(zhi)限(xian)などよりきめ細かい対応を期待しています」(牧(mu)野氏(shi))

SCSK担当者からの声

IIJ様(yang)のIKE(IIJ Kubernetes Engine)のようなクラウドネイティブなプラットフォームは、従(cong)来の境界型(xing)防御だけではセキュリティの確保が難しいため、ワークロードにフォーカスしたセキュリティ対(dui)策(ce)が非常に重要(yao)です。Sysdig Secureはワークロードを監視し、マルウェア攻撃などによる怪しい振る舞(wu)いを可視化(hua)します。稼(jia)働(dong)中のアプリケーション環境がセキュアであることを証明するためにはワークロードセキュリティ対(dui)策(ce)が必須です。SCSKでは今(jin)後もIIJ様(yang)とともにSysdigを利用したセキュリティ対(dui)策(ce)の取り組みを推進(jin)し、アプリケーションにとって安心安全な環境の実(shi)現(xian)に貢献してまいります。

プラットフォーム事業グループ
ITエンジニアリング事業本部
ミドルウェアソリューション部

 川杉(shan) 喜彦


お客様プロフィール

株式会社インターネットイニシアティブ

所在地:東京都千代田区富士見2-10-2 飯田橋グラン・ブルーム
U R L:

1992年(nian)、国内初のインターネット接(jie)続(xu)(xu)事業者として設立(li)される。以(yi)来(lai)、日本におけるインターネット企業のパイオニアとして、技術面(mian)を中心にイニシアティブをとり続(xu)(xu)けてきた。現在(zai)は、インターネット接(jie)続(xu)(xu)事業で培(pei)った高い技術力をベースに、クラウドをはじめとするアウトソーシングサービスやWANサービス、システムインテグレーションなどのトータルソリューションプロバイダとして事業領域を拡(kuo)大し、ネットワークに関する顧客(ke)のあらゆる要望へワンストップで応える企業グループとして成長を続(xu)(xu)けている。

 2022年(nian)4月