本格化する...
TRANSCRIPT
運用管理の課題解決をSaaSモデルで ●アマゾンウェブサービスジャパン エコシステム ソリューション部 部長
松本 大樹 氏
●野村総合研究所(NRI) クラウドサービス本部 クラウド運用ソリューション事業部
宮越 弘樹氏
モバイルアプリ開発に最適なAWS ●NRIネットコム Web ネット事業本部 Web インテグレーション事業部
佐々木 拓郎 氏
AWSへのWAF導入の悩みを解決 ●NRIセキュアテクノロジーズ MSS 事業三部
吉江 瞬 氏
エンタープライズ向けAWS活用事例・ソリューション紹介セミナー~基幹系からSNSマーケティングまでもAWSで~
contents
本格化するエンタープライズシステムのAWS移行運用管理の課題を解決する NRI のソリューション
アフターレポート
2
運用管理の課題解決をSaaSモデルで
「クラウド は 今 や(企 業 I T の)ニューノーマ ル」――。これ は、アマゾン
ウェブ サービス ジャパンのエコシステム ソリューション部 部長 松本大
樹氏が、今回のセミナーで掲げたフレーズ だ。セミナーの最初のスピー
カーとして登 壇した 松 本 氏 は、この 一 文を裏 付 けるものとして、多くの
国内企業が「Amazon Web Services(AWS)」上で基幹業務システムや
戦 略システム の 構 築・運 用 に乗り出している事 実を明 示。エンタープラ
イズシステム のプラットフォームとして、AWS がいかに堅調な成長を遂
げているかをアピールした。
同氏によれば、「SAP on AWS」(=AWS 上で稼働する SAPアプリケー
ション)を導 入した日本 企 業 は すで に 1 0 0 社を超えているほ か、ソニ ー
銀行などの金融機関をはじめ、丸紅、ローソン、ファーストリテイリング
など、さまざまな業界の有力企業が AWS をエンタープライズシステムの
プラットフォームとして利用し始めているという。
こうしたかたちでエンタープライズシステムの AWS 移行が進むなか、AWS 上でのシステムの構築・運用
を巡り、いくつかの課題も浮上してきている。そうした課題の抜本的な解決に向けた具体的なソリューション
を示し、より広範な企業にクラウドのメリット、ないしは革新のパワーを享受してもらうこと――。それが本セ
ミナーの主題となっている。
このテー マ のもと、松 本 氏 に 続き、野 村 総 合 研 究 所(N R I)のクラウドサ ービス本 部クラウド運 用ソリュー
ション事業部 宮越弘樹氏が演壇に上り、自社のソリューションを披露した。
言うまでもなく、NRI は、日本最大手のシンクタンクであると同時に、国内有数のシステムインテグレーター
(SIer)でもある。エンタープライズシステム のクラウド化にも早くから取り組み、グローバル企業や金融機関
を中心に、AWS を活用したエンタープライズシステム の構築案件を数多く手掛けてきた。その実績から、同
社は「APN(AWS Partner Network)プレミアコンサルティングパートナー」の認定も受けている。また最近
は、AWS を活用した新しいサービス やソリューション の開発に力を入れており、「AWS × “ インテグレーショ
ン ”」「AWS × “ セキュリティ”」「AWS × “ モバイル ”」「AWS × “ ビッグデータ ”」の各カテゴリーに分類された各
種ソリューションを提供している。
そんな NRI の AWSソリューション の中でも際立った特徴を持っているのが、2014 年 8 月にリリースされた
アマゾン ウェブ サービス ジャパンと野村総合研究所は 2015年 8月、Amazon Web Services(AWS)上でのエンタープライズシステム構築・運用を検討する企業に向けて、具体的な活用事例とソリューションを紹介するセミナーを開催した。セミナーでは、AWSにおけるエンタープライズシステムの運用管理/セキュリティ上の課題を解決するNRIグループのソリューションが披露され、注目を集めた。
アマゾン ウェブ サービス ジャパンエコシステム ソリューション部部長松本 大樹氏
3
本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行
「mPLAT( http ://mplat .nr i .co . jp/ )」だ。これは、NRI の運用管理ツール「Senju Fami ly」をベース にした
SaaS 型運用基盤クラウドサービスである。
「mPLAT は、オンプレミス の環境とクラウド環境が混在するエンタープライズシステム の運用を統合化し、
自動化するものです。『ベース』と呼ばれる基本構成だけで Senju Fami ly のほぼすべての機能を利用するこ
とができます」と、宮越氏は説明する。
同 氏 によれ ば、エンタープライズシステムを AW S で 運 用 するには、
「AW S だ けでできること」と「ユーザー側で 対 応 が 必 要 なこと」があると
いう(図1)。
「例えば、AWS 側は EC2 ステータスチェックなど、ハイパーバイザー
側 からの 監 視 は で きま す が 、プ ロ セ スダ ウン 検 知 や アプリログ など
O S 側 からの 監 視 は、ユ ー ザ ー 側で 対 応しな けれ ば なりません。また、
AWS のイベント通知はメール に限られますから、メール以外の通知機
能 の 導 入もユーザー側で 行う必 要 があります。ところが、こうしたユー
ザー側の対応をすべて自前でやろうとすると、設計・構築・維持コスト
が 上 がり、導 入スピードも遅くなります。これで はクラウド の 恩 恵 が 得
られません」(宮越氏)
その解決策として NRI が提供するのが、mPLAT なのだという。「従来
ならば独自に運用機能を設計・構築しなければなりませんが、mPLAT
で は メ ニュー から選 ん で 使うだ け に なりま す 。シス テ ム 運 用 基 盤 の
野村総合研究所(NRI) クラウドサービス本部クラウド運用ソリューション事業部宮越 弘樹氏
図1:AWS上でのエンタープライズシステムの運用管理でユーザーが対応すべきこと
カテゴリ AWSだけで出来ること ユーザー側で対応が必要なこと mPLATで対応可能なこと
監視ハイパーバイザー側からの監視
(EC2のステータスチェックなど)OS側からの監視が必要
(プロセスダウン検知、アプリログ監視)OSレイヤ監視、ミドルウェア監視、サービスレベル監視が可能
ジョブクラウドリソースの自動制御
(Lambdaなど)OS内でジョブ実行する仕組みが必要
(ジョブスケジューラの導入)OSレイヤでのジョブスケジューリング可能基幹システムで利用されてきた実績あり
イベント通知メール通知
(フィルタ機能、抑止機能なし)メール通知以外の通知機能導入
(作業時の通知抑止、バースト抑止など)作業時の一時抑止、バースト時の自動抑止、不要メッセージ抑止が可能
キャパシティ管理CloudWatchのデータを2週間保持可能
2週間以上保持が必要な場合、定期的にダウロード or 別の仕組みの導入 専用DBに最長3ヶ月間保存可能
ログ管理CloudWatchlogsでのログ収集&ログ監視(OS内ログも可能)
長期的なログの保存(監査証跡など)CloudWatchLogsを使えないログの監視
多種多様な文字コードで監視可能正規表現と組合せ柔軟に監視可能
障害時運用EC2インスタンス単位で自動での再起動、停止/起動が可能
プロセス単位での復旧の仕組みが必要AZ障害時に備えて切替の仕組みが必要
AWSリソースの自動復旧機能OSレイヤでの自動復旧機能が利用可能
アクセス統制Mによるアクセスコントロールが可能
(承認の仕組みなし)OS内へのアクセス管理の仕組みが必要かつ、承認機能との組合せが必要
ワークフローと組合せて本番アクセス管理が可能
課金管理Total月額の確認、予想利用額の確認、Billingアラート
コスト削減を利用料請求を行うための、個人別やシステム別などに集計
専用ダッシュボードに、Tagをもとに自動集計した結果を表示
4
バージョンアップ、パッチ適用といった維持管理は mPLAT 側ですべて対応します。しかも、月額 25 万円から
というリーズナブル な料金で利用することが可能なので、運用のコスト最適化にも役立ちます」(宮越氏)
従来、エンタープライズシステム の場合、高い運用品質を保つためにコストと時間を掛けて運用基盤を構
築する必要があった。AWSと mPLAT はそうした課題を一挙に解決するソリューションとして注目されている
という。
「ある製造業のお客様では、AWS 導入のおかげでプラットフォーム自体のコストは大幅に削減できたので
すが、リソース の 管 理 担 当 者 が 不 明 確で、セキュリティルール も守られておらず、サービス停 止 のし忘 れ に
よって無 駄 なコストも発 生 するという課 題を抱えていました。そこで m P L AT を導 入し、サービス要 求プロセ
ス のセルフサービス化・自動化を図ったところ、人手によるオペレーションミス が排除されたほか、ガバナン
スを効かせたクラウドの利用が実現されたのです」(宮越氏)
こうした mPLAT のサービス内容、実績が高く評価され、NRI は国内で初めて「AWS マネージドサービスプ
ログラム」の認定を取得したという。
モバイルアプリ開発に最適なAWS
スマートフォンやタブレットのビジネス利用が進展するに伴い、エン
タープライズシステム のフロントエンドとしてモバイルアプリの提供に
乗り出す企業が増えている。
「た だし、モ バイルアプリ開 発 に は 課 題 が 多 い ので す」と語るの は、
N R Iグ ループ で W e b ビジネスを展 開 する N R I ネットコム の W e b ネット
事 業 本 部 W e b インテグレーション事 業 部 佐々木 拓 郎 氏 だ。宮 越 氏 に
続きセミナー の 演 壇 に 立った 佐々木 氏 は、モ バイルアプリ開 発を巡る
課題について次のように説明する。
「私は、数多くのモバイルアプリの開発・運用に携わってきましたが、
その 経 験 から、モ バイルアプリ開 発 に は 大きく二 つ の 課 題 があると考
えています。一 つ は、サ ー バ の 運 用・スケーラビリティで す。例えば、
アプリの 更 新 などをプッシュ通 知したときにユ ー ザ ー が 即 時 にレスポ
ンスしてアクセスが急増し、サーバ に負荷が集中するという課題があり
ます。もう一つは、モバイル端末の OS や機種の多様化によって開発・テスト工数が増大することです。とりわ
け、エンタープライズ向けのモバイルアプリは、古い OS を簡単に切り捨てることができず、開発・運用コスト
が肥大化しやすいのです」
こうしたモバイルアプリの課題に対し、NRI ネットコム が解決策として取り入れたのが、AWS のモバイル向
けサービスだ。
「AW S で は、I D 管 理とデータ同 期を行う『A m a z o n C o g n i t o』やイベントドリブンで の 実 行 が 可 能 なコン
NRIネットコムWebネット事業本部Webインテグレーション事業部佐々木 拓郎氏
5
本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行
ピュートサ ービス『A m a z o n L a m b d a』、スケーラブ ル なアプリケーションバックエンド が 構 築できる『A P I
Gateway』など、数多くのモバイル向けサービスが用意されていますし、サービス拡充も随時行われています。
しかも、すべてがフルマネージドサービスなので、構築・運用の手間も最小限に抑えられるのです」(佐々木氏)
また、従来のモバイルアプリでは、「クライアント+ Web/アプリケーション・サーバ+ DB」の 3 層構造の
アーキテクチャが一般的に採用されてきた。それを、「クライアント+ AWS サービス」の 2 層構造のアーキテ
クチャにすれ ば、バックエンド の 開 発・運 用コストを最 小 化でき、スケーラビリティの 心 配も不 要 になると、
佐々木氏は説く(図2)。
「要するに、AWS のモバイル向けサービスを利用することで、ビジネスロジックの開発にリソースを集中で
きるようになるというわけです」(佐々木氏)
NRI ネットコムでは現在、AWS のモバイル向けサービスを活用し、組織としてモバイルアプリ開発のさらな
るスピードアップと高品質化に取り組んでいるという。
「我々はすでに、ソース管理とビルドを一体化して自動的に実行したり、ビルド後のアプリ配布を自動化し
たりなど、開発プロセスを標準化・効率化・自動化する仕組みを築いています。また、アプリチームとデザイ
ンチームの緊密な連携をベースに、開発スタイルをウォーターフォール型からアジャイル型へとシフトさせる
ことで、ユーザーインタフェースとユーザーエクスペリエンスの向上も果たしているのです」(佐々木氏)
さらに同 社で は、ソース共 有とレビューによって開 発 者 のスキル 向 上を図っているほ か、開 発 から属 人 性
を排除すべく、チーム内ローテーションも徹底させているようだ。こうした取り組みが功を奏し、NRI ネットコ
3-Tier アーキテクチャ 2-Tier アーキテクチャ
モバイル
モバイル
リクエストレスポンス
リソースの利用
トークン付与
権限要求
認証
AWS
AWS
ec2 S2
DynamoDB
AWSのリソース
Cognito
IAM Role
RDS
Identity Providers(Facebook,Google,Amazon,etc)
認証時の権限
未認証時の権限(ゲスト権限)
図2:3層構造のアーキテクチャから2層構造のアーキテクチャへ
6
ムでは顧客の要件や規模に合わせてコストパフォーマンス の高いモバイルアプリを提供できるようになった
という。
その適用事例は多岐にわたり、例えば、大手生保など多くの企業に導入しているモバイル会議アプリや大
手 E C サイトの 会員ポイント管 理アプリ、通 信 会 社 の 電 話 帳アプリなど、多くの 実 績を積 み 上 げている。エン
タープライズシステム のモバイル化を推進する企業にとって、NRI ネットコム は良きパートナーとなるに違い
ない。
AWSへのWAF導入の悩みを解決
AW S などのクラウド・プラットフォームを活 用してエンタープライズ
システム を構 築 する際 に、大きな 課 題として必 ず 浮 上してくるの が セ
キュリティ対 策 だ 。セミナー 最 後 のス ピ ーカ ーとして登 壇した N R I セ
キュアテクノロジーズ の M S S 事 業 三 部 吉 江 瞬 氏 は、A W S に お けるセ
キュリティの考え方について以下のように説明する。
「共 有 責 任 モデ ルという考え方 があり、A W S の セキュリティは A W S
が責任を持って対策されていますが、仮想レイヤより上の層のセキュリ
ティは、ユーザーが 責 任を持って確 保しな けれ ば なりません。つまり、
仮想レイヤ上の OS やアプリケーション(サービス)などに関しては、防
御とコスト、そして利便性の側面から、最適なセキュリティ対策を検討
する必要があるのです」
そう語る吉 江 氏 が 特 に注 意を促 すの は、W e b アプリケーション へ の
攻撃だ。
「SQL インジェクション やクロスサイトスクリプティング など、Webアプリケーション の脆弱性を狙った攻撃
は、従来のファイアウォール や IDS/IPS では防ぎきれません。Webアプリケーション の保護を目的に開発さ
れた WAF(Web Applicat ion Firewal l)の導入が不可欠と言えるでしょう」
とはいえ、WAF 機能を備えたセキュリティアプライアンスを導入すれば、それでセキュリティが盤石になる
わけではない。
「WAF をしっかりと運用していくのは容易ではなく、WAF を導入した企業の多くが、それを活用しきれてい
ないのが実状です。一方でサイバー攻撃の手法は日々進化しています。ですから、WAF を導入してもその運
用が適切でなければ、攻撃手法の進化に追随できず、WAF の防御効果も半減してしまうのです」(吉江氏)
また、WAF が攻撃を検知してアラートを発しても、それに対する適切な判断と対処ができる体制がなけれ
ば、意味を成さない。同様に、WAF の誤検知/過検知によるサービス の停止を恐れるあまり、遮断設定の最
適化に二の足を踏んでいるようでは、セキュリティ・リスクは高まる一方となる。
こうした W A F の 課 題を解 決 す べく、N R I セキュアテクノロジーズ が A W S 向 けに 開 発した の が「W A F 管 理
NRIセキュアテクノロジーズMSS事業三部吉江 瞬氏
7
本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行
サービス for AWS」だ(図3)。
この サービス の 基 本 は、AW S 上 に WA F を構 築し、N R I セキュアテクノロジーズ の S O C(セキュリティオペ
レ ーションセンター)から管 理・監 視 するというもの だ 。初 期 の W A F 構 築 から運 用 監 視 に 至るサ ー ビス が
包 括 的 に提 供される。また、この サービスで 利 用されるセキュリティアプライアンス には、米 I m p e r v a 社 の
「SecureSphere」が採用され、AWS 版では SecureSphere のイメージ が AMI(Amazon Machine Image)
形式で提供される。さらに、NRI セキュアテクノロジーズ は、米 Imperva の国内唯一の MSS(マネージド・セ
キュリティ・サービス)パートナーでもあり、大手EC サイトやコーポレートサイトに対する導入・運用ですでに
多くの実績を上げている。
そうした W A F 管 理 サ ー ビス f o r A W S の 最 大 の 特 徴 は 、監 視 体 制 にある。W A F の 運 用 に 精 通した「 N R I
SecureTechnologies Computer Security Incident Response Team」のアナリストが 24 時間365 日体制
でユーザーのシステムを監視する。それを通じて、例えば、危険度の高いゼロデイ脆弱性が発見された場合
には、N R I セキュアテクノロジーズ が 独自にシグネチャを作 成して、当 該システム に適 用 する。これ によって
ユーザーは、脆弱性攻撃に対する備えを早期に整えることが可能になる。
以上に示したとおり、NRIではグループ全体でエンタープライズシステムを対象にした AWSソリューション
を提 供している。クラウド上 にエンタープライズシステムを構 築しようと検 討しているの なら、一 度 は N R I に
相談してみることをお勧めしたい。
AWS
WebServer
WebServer
Internet
WebServer
WebServer
WAF
WAFによる通信検査/遮断
お客様運用担当
セキュリティアナリスト
ログ収集/分析お客様Webサイト
WAFによる攻撃の検知・遮断!
最新シグネチャ適用
リアルタイムアラート
問い合わせ対応
図3:「WAF管理サービス for AWS」の概要
野村総合研究所クラウド運用ソリューション事業部045-336-6490mplat@nri .co. jphttp://mplat .nr i .co. jp/
NRI ネットコムWeb ネット事業本部03-6274-1200(東京), 06-4797-2800(大阪)info@nri-net .comhttp://www.nri-net .com/
NRI セキュアテクノロジーズMSS 事業本部[email protected]. jphttp://www.nri-secure.co. jp