KubeCon Europe 2024、ID管理のVenafiのVPにインタビューを実施。マシンID管理とは？

KubeCon＋CloudNativeCon Europe 2024から、マシンID管理を提供するVenafiのVPのインタビューをお届けする。

KubeCon規模のカンファレンスでは、メジャーなベンダーだけではなく新しいオープンソースプロジェクトの開発をリードするベンチャーやスタートアップ、まだ日本市場に登場していないITベンダーなども多く参加する。スタートアップなどにとっては、出展するよりもセッションのスピーカーとして登壇するほうが順番としては早いのかもしれない。オープンソースソフトウェアであることが前提のKubeConで露出するには、企業ブースにスポンサーとしてコストを支払って参加するか、またはセッションのプレゼンターとして登壇する方法が考えられる。もっとも後者の場合、競争が激しいCall for Presentationを勝ち抜いて、オープンソースプロジェクトの新しい事例や新機能などをコミュニティのメンバーとして解説を行うわけで、なかなかハードルは高いものとなる。

今回インタビューを行ったVenafiは、マシンID管理のソリューションを提供する企業であり、多数のプレス向けに送ったインタビューのリクエストのひとつに筆者が反応した結果として行われたものだ。これも方法論としては悪くないだろう。ブース前を通り過ぎる参加者の注意を惹きつけて数分でも自社の訴求ポイントを訴える方法もあるが、インタビューという形式で自社製品やサービスの解説を行うことで露出を増やすことを狙っているわけだ。KubeConの会期前に数多く受け取るPR担当からのメッセージの中から「マシンID管理とは何か？ Venafiとはどんな企業か？」という疑問を解決するためにインタビューを行った。応えてくれたのはVenafiのシニアディレクター、Sitaram Iyer氏だ。

Venafiのシニアディレクター、Sitaram Iyer氏

自己紹介をお願いします。

Venafiでクラウドネイティブなシステム全般のソリューションを統括しています。Venafiは過去15年ほどエンタープライズ向けにアイデンティティ管理のソリューションを提供してきましたが、2020年に我々がJetstackの買収を発表したことで、クラウドネイティブなシステムにおけるVenafiの投資を加速しています。JetstackはKubernetesの証明書管理のコンポーネントであるcert-managerの開発を行っているイギリスのベンチャーですが、この買収によってクラウドネイティブなシステムに対してより安全なID管理を推進することができると考えています。

Venafiの提唱する「マシンID管理」について具体的に教えてください。

マシンID管理の「マシン」はコンピューターのさまざまなリソースを指します。サーバー、コンテナ、ファイアウォール、ミドルウェア、すべてのリソースをマシンとして定義することで、包括的にID管理が可能になるとVenafiは考えています。レガシーなシステムであればデータベースやファイアウォール、ミドルウェアなどにおけるIDはある程度長い期間存続することが想定されますが、クラウドネイティブなシステムにおいてはその100倍もしくは1000倍の数のワークロードが起動されては短時間のうちに終了するという状況になります。またエッジの環境でもシステムが入れ替わったり、更新されたりすることで多くのワークロードがダイナミックに変化していくのが当たり前になっています。そういう状況で即座に証明書を発行したり、証明書の真正性をチェックしたりする必要が出てきているわけです。

ID管理ではHashiCorpのVaultが多数利用されていますが、Vaultとは競合するソリューションですか？

Vaultはパブリッククラウドも含めて多くのリソースに対するID管理のソリューションを提供していますが、我々のソリューションのコアはオープンソースのcert-managerを使っています。クラウドネイティブなシステムの中心はKubernetesだと思いますが、Kubernetesのアドオンの認証管理システムとしてcert-managerが使われています。cert-managerはVenafiの商用版プロダクトであるVenafi Control Planeに組み込まれていますので、基本的には同じ機能を提供します。cert-managerはVaultやLet's Encryptなどで生成された証明書を管理するために使われますので、競合というよりも補完するツールという位置付けになると思います。

Venafiが考えるクラウドネイティブなシステムにおける問題点とは何ですか？

IT部門には開発と運用という2種類のエンジニアがいますよね。しかし最近はそれに加えてセキュリティに特化した部門が作られています。しかしアプリケーションを開発してそれを本番環境に実装するのは開発と運用チームです。でもセキュリティチームは「これをやれ、それはするな」という言い方でどちらのチームの仕事も妨害しがちですよね（笑）そして開発チームのデベロッパーは素早く多くのアプリケーションを開発するためにさまざまなツールやプラットフォームを使って開発していますが、その中でも証明書管理は常に頭が痛い問題なのです。開発環境でVaultを使ってID管理をしたとしても、それが企業の中のガバナンスやコンプライアンスのルールに従っているかを気にしなければいけません。Venafiは包括的にさまざまなプラットフォームやツールにおけるマシンID管理を行うことで、開発チームも運用チームもセキュリティチームの三者が満足できるソリューションを提供しようとしています。

Venafiのビジネスモデルの課金システムはどういう単位で行われるんですか？

VenafiのコアのプロダクトはVenafi Control Planeですが、その中でTLSやSSHへの証明書、コードにシグネチャーを付加するための機能などとユーザーインターフェースが包括的に連係しています。ユーザーが何を使いたいのかによってどの機能が必要になるのかが変わるので課金は都度、変化することになります。その機能がカバーする領域ごとに対象となるマシンの数をベースに課金されることになります。

オープンソースとの関わりについて教えてください。

オープンソースという意味ではJetstackを買収したことでcert-managerの開発を推進することができていると思います。クラウドネイティブなシステムではオープンソースをベースにプラットフォームとして完成されつつあると思いますが、さまざまな変化やニーズに対応するためには継続して開発を行うことが重要だと思いますね。証明書の発行の部分ではVenafi Fireflyという製品がありますが、今回のKubeConでSPIFFEへの対応を発表しました。

●参考：New SPIFFE Support for Venafi Firefly Secures Workloads Across Cloud Native Environments

●SPIFFEについての参考記事：注目のSPIFFE、その概要とKubernetesへの導入方法

日本市場への戦略は？

Venafiは北米以外にヨーロッパでもビジネスを行っています。アジア、オセアニアではオーストラリアがメインの市場になります。オーストラリアでは主要な金融機関で利用されていますが、日本市場への参入はまだ実現していません。検討はしていますが、日本市場の難しさも理解しているつもりです。日本ではパートナー経由でビジネスを行っていても、実際に日本に来てオフィスを構えて対応するという姿勢を見せないと顧客に信用されないというのは今でも変わらないですか？（笑）

そうだと思います（笑）最後にVenafiにとってのチャレンジは？

先ほども説明しましたが、開発チーム、運用チーム、そしてセキュリティチームというそれぞれの異なるゴールを持っているエンジニアが存在している現状で、セキュリティチームがやりたいことを実現しながら、それを開発チームのエンジニアがこれまでのやり方を変えることなく実現すること、ですね。運用チーム、最近はプラットフォームエンジニアリングという名称で呼ばれていますが、やはり開発を行うエンジニアとは発想も言語も違うわけです。それに加えてセキュリティを追加しなければいけないのは難しい問題です。セキュアなクラウドネイティブなシステムになるべくスムーズに移行させることは、多くの企業にとってのチャレンジだと思います。

Venafiブースでポーズを取るIyer氏

アメリカやオーストラリアではユーザーを拡げているVenafiだが、日本市場の難しさも理解しているVPのリーダーシップで、レガシーなシステムからクラウドネイティブに移行したいユーザーの注意を惹きつけることができるのか、注目していきたい。