テイルズオブテイルズ シーズン2ピンボール

株式会社 日立製作所 様

OpenShiftのマネージドサービスと
Sysdigを組み合わせた
ソリューションを展開
マイクロサービスのセキュリティを
CI/CDトータルで強化し
顧(gu)客のDXを推進

 顧(gu)客(ke)接点の高(gao)度化

NIST 「SP800-190」を網羅的にカバー、
効果的にぜい弱性が点検可能なSysdigに
複数部門が注目、
検証を通じてその有効性を実感

事例のポイント

お客様の課題

  • OpenShiftのマネージドサービスの提供に際し、コンテナ環境のセキュリティ確保も必要になる
  • 顧客がコンテナアプリケーションを開発・運用するにあたり、セキュリティ確保・ぜい弱性診断・対応に余計な手間がかかるのを避けたい
  • コンテナアプリケーションの開発・運用におけるセキュリティ面を一元管理できるツールを用いたソリューション提供によりサービスの付加価値としたい

課題解決の成果

  • NIST*のガイドライン「SP800-190」を網羅しており、ぜい弱性への効果的な対応が実現
  • コンテナ環境における有効なセキュリティツールとして社内ドキュメントに掲載

*米(mi)国国立標準技術(shu)研(yan)究所


導入ソリューション

  • Sysdig Secure DevOps Platform

株式会社 日立製作所
サービスプラットフォーム事業本部
マネージドサービス事業部
クラウドマネージドサービス本部
デリバリ&プラットフォーム第2部 

磯 良明

株式会社 日立製作所
デジタルシステム&サービス統括本部
セキュリティリスクマネージメント本部
HIRTセンタ

岡田 健一

「Sysdigはコンテナアプリケーションのモニタリングだけでなく、NIST SP800-190を網羅的にカバーしており、今(jin)後(hou)コンテナ環境で顧客(ke)がサービスを開(kai)発していく上でセキュリティ面から有(you)用なツールであることがわかりました」

サービスプラットフォーム事(shi)(shi)業本(ben)部(bu)(bu) マネージドサービス事(shi)(shi)業部(bu)(bu) クラウドマネージドサービス本(ben)部(bu)(bu) デリバリ&プラットフォーム第2部(bu)(bu)

磯 良明

背景・課題

コンテナ環境における
情報セキュリティを確保すべく
一元管理が可能なツールの導入を検討

 高(gao)度なITにより顧客のイノベーションを加速させるべく、IT分野で多様な事業を展(zhan)開している日(ri)立(li)製作所(suo)(以下、日(ri)立(li))。同社は企業のDX推(tui)進にも注(zhu)力しており、さまざなまソリューションやサービスを提(ti)供しているが、その一環として2021年秋、コンテナの活用により開発(fa)効率と運用効率の向上(shang)を実(shi)現(xian)する「Red Hat OpenShift Container Platform(以下、OpenShift)」のマネージドサービスの提(ti)供を開始した。

 KubernetesをコアとしたパッケージソリューションであるOpenShiftは、コンテナ技術を活用(yong)した業(ye)務システムの開(kai)発・実行(xing)基盤(pan)を提供(gong)し、DXの推進(jin)に欠かせないアプリケーションの開(kai)発を加(jia)速(su)することが可(ke)能になる。そのマネージドサービスの提供(gong)を始(shi)めた背景(jing)について、同(tong)社で金融・公共・社会分(fen)野向けのSIサービスを担当しているサービスプラットフォーム事(shi)業(ye)本部(bu)(bu) マネージドサービス事(shi)業(ye)部(bu)(bu) クラウドマネージドサービス本部(bu)(bu) デリバリ&プラットフォーム第(di)2部(bu)(bu)の磯良明氏は「Kubernetesのようなコンテナオーケストレーションの運用(yong)・保守は、一般(ban)のシステム部(bu)(bu)門にとっては煩雑であり、技術的に敷居の高(gao)い部(bu)(bu)分(fen)もあります。そこで、お客様(yang)がアプリケーション開(kai)発の部(bu)(bu)分(fen)に集中していただけるよう、マネージドサービスを提供(gong)することになりました」と説明する。

 同社がこれまで基幹系システムの提供において高い評価を得てきたこともあり、顧客はコンテナ環境においても高いレベルでのサービス提供を期待する。そこで同社はサービス水準の向上を期し、コンテナ環境における情報セキュリティの確保可能なツールの導入ソリューションを検討することになった。
「さまざまなサービスがコンテナオーケストレーション上(shang)で動(dong)くようになったとき、アプリケーションを開(kai)発している各チームがそれぞれぜい弱性の診断を行ったり、対(dui)応したりしていては余計な手間がかかってしまいます。そこで、セキュリティ面を一元管(guan)理できるツールを提供できれば大きな付加(jia)価値になるのではないかと考(kao)えたのです」(磯氏) 

解決策と効果

コンテナ環境のセキュリティを担保し、
NISTのガイドラインにも対応した
Sysdigを採用

 かねてより磯氏のチームは、来たるべきマイクロサービス時代に備えて、Kubernetesの検証環境を構築するとともに、コンテナ環境におけるセキュリティツールについて情報を収集していた。そうした中、2019年5月にSCSKから米Sysdig社のKubernetes向けセキュリティ/モニタリングツールである「Sysdig」の取り扱いを始めるという案内が届いたのである。
「優れたツールのようでしたので、評価版(ban)を導入(ru)してみようかと考(kao)えていたのですが、実はすでに社内(nei)の他チームがモニター機能を中(zhong)心に検証を行っており、社内(nei)レポートが出ていることを知(zhi)りました」(磯氏)

 そこで磯氏は2020年(nian)2月(yue)、SCSKが主催したセミナーに参加(jia)した上で、Sysdigのテスト採用を決断。コンテナのモニタリングに加(jia)え、アプリケーションの開発から運用に至るまでのセキュリティ対策(ce)をサービスの一つとして提(ti)供することを目的に、2020年(nian)夏から2021年(nian)3月(yue)ごろまで検証を行(xing)った。

 ちょうどそのころ、デジタルシステム&サービス統括本部 セキュリティリスクマネージメント本部 HIRTセンタの岡田健一氏もSysdigに注目していた。岡田氏は、日立グループのCSIRTであるHIRTセンタにおいて、製品のセキュアな開発に必要となるぜい弱性診断に関連した技術動向やツールなどについて情報収集を行い、社内に向けて情報発信を行っている。
「今後は社内でもコンテナ技術をベースにしたシステム開発が増えていくことを考(kao)えると、コンテナ環(huan)境におけるぜい弱性診(zhen)断についてのノウハウを蓄積することが必要だと考(kao)え、情報を集めていたのです」(岡田氏)

 岡田氏が情報収集を進めていく中、NIST(米国国立標準技術研究所)の「アプリケーションコンテナセキュリティガイド SP800-190」(以下、SP800- 190)に、コンテナ環境を対象としたセキュリティ対策のノウハウが詰まっていることがわかった。そこで、このガイドに示されているセキュリティリスクに対し、効果的に対応するために必要なツールを調べていく中、有望なツールとしてSysdigにたどり着いた。
「SysdigはSP800-190対応もうたっており、今後コンテナベースの製品やサービスを開発していく上でかなり頼りになるツールでありそうなことがわかりました」(岡田氏)

 そこで岡田氏は、実(shi)際に使ってみて評(ping)(ping)価したいとSCSKに相(xiang)談したところ、すでに磯氏のチームが検(jian)証を行(xing)っているということを聞き、2021年(nian)10月(yue)から12月(yue)にかけて連(lian)携して評(ping)(ping)価を実(shi)施した。

 SP800-190では、大きく5つの切り口からリスクを示している。「コンテナイメージのリスク」「コンテナレジストリのリスク」「オーケストレータのリスク」「コンテナランタイムのリスク」「ホストOSのリスク」である。これらはさらに細分化され、延べ23項目に整理されているが、今回の検証を通じてSysdigが各項目へ網羅的に対応していることが確認できたため、効果的にぜい弱性を点検できるツールと判断された。そこで岡田氏は、社内用のセキュア開発に関するドキュメントの一つ「ぜい弱性点検ガイド」に、コンテナ環境における有効なセキュリティツールの一つとして掲載することにした。
「もちろん、ツールを導入しさえすればセキュアな開発を担保できるというものではありませんので、引き続(xu)きノウハウを蓄積していきたいと考(kao)えています」(岡田氏) 

左から日立製作所 磯 良明 氏(shi)、岡田 健一(yi) 氏(shi)

今後の展望

コンテナ環境における
情報セキュリティについて
社内外に情報を配信していきたい

 今後、DX推進のためのシステム基盤としてコンテナ環境が普及し、APIサービスを含めた多くのサービスが利用されていくことになれば、そのぜい弱性を一元的に管理できるSysdigの必要性も高まっていくと考えられる。
「OpenShiftのマネージドサービスを組み合わせたご提供はもちろん、SIサービスとしてもSysdigをご提供できれば、顧客のDX推進はセキュリティ対策とともにいっそう加速すると思います。当社もSysdigの必要性をお客様へ積極的にアピールしていくつもりですので、豊富な知見を持つSCSKにはぜひご協力いただきたいと考えています」(磯氏)
 「HIRTセンタとしても、社内の開発(fa)部(bu)門に向けて、コンテナ環境におけるセキュアな開発(fa)について積(ji)極的に情(qing)(qing)報を発(fa)信していくつもりです。SCSKにはSysdigも含めて最(zui)新の情(qing)(qing)報を提供(gong)いただけるとありがたいですね」(岡(gang)田氏)

  同(tong)社とSCSKは今後(hou)も密に連携し、顧客のDX推(tui)進(jin)におけるセキュリティ課題の解決を支えていくだろう。

SCSK担当者からの声

DX推進のキーワードの一つとなっているコンテナ技術を活(huo)用した体制をしく開発や運(yun)用の現(xian)場では、コンテナの特(te)性を生かした上でセキュリティも確(que)保するといったニーズが急速(su)に増加しています。例えばコンテナの特(te)性としてアプリケーションの高速(su)デリバリがありますが、アプリケーション開発の速(su)度(du)を損なわずにセキュリティの確(que)保が可能なソリューションは実(shi)は非常に限られています。Sysdigはこの要件に対応し、アプリケーションの開発から運(yun)用までのセキュリティを一気通貫で提供します。SCSKでは、今(jin)後も日(ri)立製作(zuo)所様とともにSysdigを活(huo)用したコンテナ環境でのセキュアな開発や運(yun)用の実(shi)現(xian)に貢(gong)献してまいります。

プラットフォーム事業グループ
ITエンジニアリング事業本部
ミドルウェアソリューション部

川(chuan)杉 喜彦(yan)  


お客様プロフィール

株式会社 日立製作所

所在地:東京都千代田区丸の内1-6-6 日本生命丸の内ビル
U R L:

日本を代表する総合(he)電(dian)機(ji)企業(ye)。1910年の創業(ye)以来(lai)、「優れた自主技術・製品の開発(fa)(fa)を通じて社(she)会(hui)に貢献する」という企業(ye)理念のもと、重(zhong)電(dian)・産業(ye)用(yong)電(dian)気機(ji)器(qi)(qi)/プラント・エンジニアリング/コンピュータ・通信機(ji)器(qi)(qi)・OA機(ji)器(qi)(qi)/医療機(ji)器(qi)(qi)など、さまざまな事(shi)業(ye)を提供することで顧(gu)客と社(she)会(hui)の発(fa)(fa)展に寄与してきた。近年はインフラ系重(zhong)視の戦略にシフトするとともに、海外事(shi)業(ye)を拡(kuo)大。さらに、最新のOT×IT×プロダクトを組み合(he)わせて社(she)会(hui)課題(ti)を解決する「社(she)会(hui)イノベーション事(shi)業(ye)」を通じ、データとテクノロジーで持続(xu)可能な社(she)会(hui)の実現と人々の幸(xing)せの両(liang)立に挑戦している。

2022年6月