連載 :
  インタビュー

コンテナ環境のモニタリングやセキュリティ対策を一気通貫で提供、世界300社以上に採用が進むSysdigの真価

2020年10月28日(水)
高橋 正和

クラウドネイティブなアプリケーション基盤としてコンテナプラットフォームが普及し、エンタープライズアプリケーションにも広がり始めようとしている。その中で課題として現れてきたのが、従来と異なる基盤での障害対応やセキュリティ対策だ。

Sysdig社は、そうしたコンテナ環境向けのモニタリングとセキュリティの製品を開発し販売する会社の1つであり、SCSK株式会社(以下、SCSK)が2019年11月から日本での国内総販売店契約を結んでいる。

SCSKは、ミドルウェア製品JBossを中心にレッドハット株式会社(以下、レッドハット)のパートナーとして活動し、Red Hat Japan Partner Awardsを何度か受賞。さらに、分野をOpenShiftやAnsibleなどに広げており、そうしたエンタープライズシステムのモダナイゼーションの中でSysdig社製品を扱っている。

本稿では、Sysdig社製品がどのようなもので、どのような課題を解決するかなどについて、SCSKの姜 来誠氏(プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ミドルウェア第二部 第一課 課長代理)と、奥 浩史氏(プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ミドルウェア第二部 第一課 課長)、田中 孝氏(プラットフォームソリューション事業部門 事業推進グループ ミドルウェア技術部 第二課 課長)に話を聞いた。

また、株式会社NTTデータ(以下、NTTデータ)では、Sysdig社製品を金融分野のサービスに適用しており、さらにSCSKと共同でSysdig社製品のビジネスを推進すると2020年7月に発表した。そうした取り組みについて、NTTデータの宮澤 英之氏(技術革新統括本部システム技術本部生産技術部クラウド技術センタ 課長)にも、話を聞いた。

システムコールのモニターと
コンテナの振る舞い検知を中心に一気通貫

Sysdig社は「Sysdig Secure DevOps Platform」(以下、Sysdig Platform)を開発し販売している。一口に言えば、コンテナ環境に対応したモニタリング&セキュリティのプラットフォームであり、モニタリングの「Sysdig モニター」とセキュリティの「Sysdig セキュア」という2つの機能からなっている。

Sysdig モニターは、Sysdig社が中心になって開発するOSS「Sysdig」に監視ツール「Prometheus」などを組みあわせた製品。また、Sysdig セキュアは、Sysdig社が開発し現在CNCFのプロジェクトとなっている「Falco」にコンテナ脆弱性イメージスキャンの「Anchore」などを組み合わせた製品だ。

くわえて、OSSのSysdigやFalco、Prometheus、AnchoreにはGUIが備わっていないが、Sysdig Platformではこれらをインテグレートし、システムコール分析のためのOSSである「Sysdig Inspect」も一体化する形で、リッチなGUIを提供している。「OSSにサポートを付けて商用版にしている、というだけではありません」と姜氏は説明する。

SCSK株式会社 姜 来誠氏
(プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ミドルウェア第二部 第一課 課長代理)

Sysdig モニターの中心となるOSSのSysdigは、その名のとおりSysdig社の原点となるソフトウェアだ。もともと、ネットワークトラフィックアナライザーのWireshark創作者でもあるロリス・ディオニアニ(Loris Degioanni)氏が2013年にSysdigをリリースし、それと同時にSysdig社を設立した。

Sysdigは、同社の持つ特許技術に基づき、Linuxのシステムコールをモニターして可視化するためのツールだ。これをコンテナプラットフォームに用いることで、コンテナ内部の動作やKubernetesの健全性、コンテナネットワークのアクティビティ(コンテナ間通信)を完全に可視化できるという。「さらに、コンテナプラットフォーム上の動作を完全な形でログに記録できるため、サイバーセキュリティにおけるフルフォレンジックを実現できます」と姜氏は説明した。

もう一方のSysdig セキュアの中心となるFalcoは、コンテナのランタイムセキュリティのソフトウェアで、ルールベースで振る舞いを検知するものだ。脆弱性や不正アクセス異常などを検知し、コンテナの制御などのアクションにつなげることができる。

Sysdig Secure DevOps Platformの概要

Sysdig Platformの特徴として姜氏は2つを挙げた。1つめは、コンテナ環境に特化し、監視・モニタリング、セキュリティ、トラブルシューティング、フォレンジックを一気通貫で提供できることだ。

2つめは、オープンコア戦略。オープンソースで公開しているSysdigとFalcoをコアに、必要なツールや機能をインテグレートして提供していることだ。

姜氏は「SCSKは、クラウドネイティブなエコシステムの発展は、オープンソースコミュニティの豊富なリソースの助けがあってこそ成り立つものであると考えています。Sysdig社のオープンコア戦略は、まさにその価値観を体現しています」と強調する。

特徴:一気通関で提供

特徴:オープンコア戦略

顧客は世界で300社以上、
特に金融業で多く導入

Sysdig Platformが必要とされる背景について、姜氏は、これから企業で本格的なコンテナの普及が始まる時期にあることを挙げる。それにともない課題も見えてきた。マイクロサービスなどのアーキテクチャで本番環境のコンテナが多数にわたり、それが有機的に結びつくと、どこで何が動いているかブラックボックス化してくる。「それが何を意味するか、何か問題が起きたときの検知の仕組みはどうするか、それに続く解析やトラブルシューティングをどうするか、といったことが問題になります」(姜氏)。

コンテナによる複雑化による課題

さらに、コンテナ特有のセキュリティリスクも取りざたされている。アメリカ国立標準技術研究所(NIST)が2017年に発行したアプリケーションコンテナーセキュリティガイドでは、コンテナには、イメージ、レジストリ、オーケストレータ、コンテナ、ホストOSの5つのレイヤーそれぞれでセキュリティリスクがありうるとしている。

NISTによる5つのレイヤーでのセキュリティリスク

「Sysdig Platformはその処方箋として提供するソフトです」と姜氏。顧客は世界で300社以上、特に金融業で多く導入されているという。「各社がSysdig Platformを採用するポイントとして、モニタリングとセキュリティが一体になっている点があります。Sysdig Platformでは、監視の中からインシデントを検知し、そこからセキュリティ対応というのが不可分になっています。それぞれ専業ベンダーはいますが、同時にできるSysdig Platformを選んだとおっしゃっています」。

たとえば、Falcoが異常を検知したときに、Sysdigのログをもとに、どのようなシステムコールが実行されたか、I/Oでどのようなデータが読み書きされたかなどまで確認できるという。

もう1つ姜氏が付け加えるのが、開発者にとってのSysdig Platformの価値だ。「アプリケーションのコンテナを開発していると、品質が一定になるまでに時間がかかります。コンテナが立ちあがっては落ちてということを繰り返していなくなる、ということもよくあり、そのデバッグで難儀します」。そうした繰り返し落ちるコンテナをとらえて解析する機能も用意されていると姜氏は紹介した。

OpenShiftでの採用実績が増える

このようにエンタープライズのコンテナ環境の運用に向けたSysdig Platformは、Kubernetesをベースにエンタープライズでの利用に対応したコンテナプラットフォームであるOpenShiftでの採用実績を増やしている。

そのための施策の1つとしてSysdig社が「OpenShiftセキュリティガイド」を公開し、SCSKが日本語に翻訳して公開している。

田中氏は、「OpenShift自体もセキュアに運用する機能や制約を兼ね備えていますが、それだけではNISTのガイドライン準拠には足りません。そこで「OpenShiftセキュリティガイド」では、OpenShiftとSysdig Platformを使ったクラウドネイティブセキュリティの確保を解説しています」と説明する。

SCSK株式会社 田中 孝氏(プラットフォームソリューション事業部門 事業推進グループ ミドルウェア技術部 第二課 課長)

たとえば、Sysdig PlatformがOpenShiftををどうセキュアにするかについて、「OpenShiftセキュリティガイド」から田中氏は紹介した。

まずホストOSのセキュリティでは、Sysdig セキュアでホストOSを定期的にスキャンし、CISベンチマークへの適合をチェックする。次にアクセス制限のセキュリティでは、ロールベースのアクセス制御を導入し、各種メトリクスデータやシステムコールのキャプチャなどをユーザーやチームごとに分離する。

脆弱性管理では、リポジトリ内だけでなくデプロイされた稼働中のコンテナイメージも対象にスキャンする。コンプライアンスでは、OpenShiftにあるOpenSCAPを強化し、定期的にコンプライアンスを確認し、準拠状況をダッシュボードで確認できるようにする。

ランタイム検知はOpenShiftにはない部分で、Falcoルールを用いて疑わしい振る舞いを検出する。コンテナフォレンジックもOpenShiftにはない機能で、コンテナを終了した後もフォレンジックと事後分析を可能とする。

Sysdig PlatformがOpenShiftをどうセキュアにするか

Sysdig Platformを
決済プラットフォームに採用したNTTデータ

NTTデータは、Sysdig Platformをキャッシュレス総合決済プラットフォーム「CAFIS」のコード決済ゲートウェイの部分に適用したのを皮切りに、自社金融機関向けクラウドサービス「OpenCanvas」のコンテナ基盤提供サービスへの適用などに広げていく。同時に、Sysdig Platform販売パートナーに参加し、SCSKと共同で推進していくことも発表している。

CAFISのコード決済ゲートウェイでSysdig Platformを採用

NTTデータでは、Dockerが登場したころから、主にR&Dとして、どのような領域に適用できるか調査してきた。その転機となったのが、2017年に既存IT資産のモダナイズでRed Hatと協業を開始したことだ。そこから、OpenShiftを活用した既存インフラのモダナイズの手法を整備してきた。「それによって、レガシーシステムをコンテナ化してモダナイズするのが現実的に可能になってきました」と宮澤氏は語る。

株式会社NTTデータ 宮澤 英之氏(技術革新統括本部システム技術本部生産技術部クラウド技術センタ 課長)

「取り組んだこととしては、たとえば、OpenShiftを使う上でのベストプラクティスをまとめ、リファレンスアーキテクチャとして整備したことです。また、このシステムはコンテナに向くか向かないか、コンテナ化したときにどんな課題が出るかをアセスメントする手法も開発しました。そのほか、社内のクラウドで、コンテナへのマイグレーションやコンテナの開発に必要なツールを供給しました」と宮澤氏。「直近では、金融機関向けのASPサービスDENTRANSをコンテナ化し、自社クラウドサービスOpenCanvasのOpenShift基盤上で商用稼働しています」。

NTTデータでは、こうした金融機関向けのミッションクリティカルな領域で商用展開するには、運用やセキュリティの面で、OpenShiftでも足りないことがわかってきたという。それを補完するソフトウェアとしてSysdig Platformを知り、評価した結果、モニタリングやセキュリティで、必要になることを幅広くカバーしていることがわかったという。「OpenShiftとの親和性が高いことも高評価でした。また、ソフトウェアの組み合わせが増えるとインテグレートが大変になるのに対し、Sysdig Platformは1つのプラットフォームでトータルでカバーしているのも強みです」とNTTデータにとってのSysdig Platformのメリットを宮澤氏は語った。

そのほか、インストールして運用するための手順をSysdig社やSCSKで整備していることもあり、簡単にデプロイできたという。

導入しての評価としては、これまで障害が起きたときにKubernetesのエキスパートでないと解析できなかったのに対し、Sysdig Platformで障害を可視化して解析でき、問題箇所が特定できて課題解決に寄与していると宮澤氏は述べた。

アーリーアダプターではない
大規模なエンタープライズに向けて
OpenShift+Sysdig Platformを推進

Sysdig PlatformとOpenShiftの今後の展望についても話を聞いた。

奥氏は、「Sysdig Platformが対象にしているのは、主に大規模なエンタープライズの分野です。これまで商用でコンテナプラットフォームを使ってきたのは自分たちでKubernetesを扱えるアーリーアダプターが中心ですが、これからコンテナの裾野が広がると、OpenShiftに頼るお客様が増えると思っています。OpenShiftはハイブリット&マルチクラウド環境におけるKubernetesを軸とした標準的なソリューションとして価値を発揮します。Sysdig Platformはさまざまなクラウドベンダーが提供するKubernetesサービスにも対応しており、そのようなOpenShiftを使うお客様の本番環境における運用の負荷低減に寄与できると考えています」と答えた。

SCSK株式会社 奥 浩史氏(プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ミドルウェア第二部 第一課 課長)

また姜氏は、Sysdig Platformによって、Kubernetesスキルに依存せず障害復旧、トラブルシューティングをおこなえる仕組みと、安心できるセキュリティを提供するとして、「企業の本来のミッションは、トラブルシューティングではなく、サービス開発と、それを通じた収益です。そこに集中していただく環境を手に入れていただくというのが、Sysdig Platformの最大の価値だと思います」と語った。

レッドハットでISVビジネス開発を担っている三島 匡史氏も「昨今のコンテナ環境の特徴として、デプロイが簡単になったことで、コンテナが増え、更新スピードが上がりました。ただし、本番環境では自動化やセキュリティの維持が必要です。開発とデリバリを一貫して提供するSysdig Platformは、OpenShiftと同じような考えにあって、相性がいいと思います。深いところでのセキュアなコンテナ環境が実現できるでしょう」と語り、「金融業界に強いNTTデータがSysdig Platformを採用することで、金融業界における標準的なコンテナプラットフォームとして、OpenShiftの採用が加速されていくと思います」とまとめた。

フリーランスのライター&編集者。IT系の書籍編集、雑誌編集、Web媒体記者などを経てフリーに。現在、「クラウドWatch」などのWeb媒体や雑誌などに幅広く執筆している。なお、同姓同名の方も多いのでご注意。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています