米国の大手エネルギー企業World Fuel Servicesは、オンプレミスデータセンターに構築した大規模なITインフラを、クラウドサービス群「Amazon Web Services」(AWS)と「Microsoft Azure」に移行した。その作業の中で、インスタンス(仮想サーバ)などのクラウドリソースの管理が煩雑になるという問題に遭遇した。
そこでWorld Fuel Servicesが導入したのが、クラウドセキュリティベンダーSonrai Securityのセキュリティツール「Sonrai Dig」だ。Sonrai Digは、クラウドサービス内のエンドユーザーやアプリケーション、マシンにIDを付け、ID間のやりとりを自動追跡する。
Sonrai Digは追跡時に「グラフ分析」を利用する。グラフ分析の基盤となるのはグラフデータベースだ。一般的なデータベースであるリレーショナルデータベースは、データを表形式で保持する。グラフデータベースはレコード(データベースで扱う1件分のデータ群)同士の関係をデータベース化したものだ。
グラフ分析は、一目では分からないレコード間の関係を明らかにする助けになる。例えば、あるクラウドサービスのアカウントは、特定のデータストアに直接アクセスする権限はないが、そのデータストアにアクセス可能な別のシステムを介して間接的にアクセスできる、といったことを明らかにする。
Sonrai Securityはグラフ分析を利用して、開発者やセキュリティ担当者が見逃す恐れのある間接アクセスも含め、どのアカウントがどのクラウドリソースやデータにアクセスできるのかを特定する機能を提供する。Sonrai Digはセキュリティポリシーの違反を検出して、ネットワーク内の脆弱(ぜいじゃく)な接続をブロックすることでポリシーを強制適用できる。システムの構成ミスを開発者に警告してアドバイスを提示したり、botで問題を自動修正したりすることも可能だ。
World Fuel ServicesはAWSとMicrosoft Azureの標準セキュリティ自動化ツールも検討した。Sonrai Digは両クラウドサービスを一元的に管理できる上、自動化のセットアップに必要スクリプトを用意する作業が少なくて済むことから、World Fuel ServicesはSonrai Digの導入を決めた。
「過度な一元化は望んでいない。過度になると開発者の取り組みを鈍化させる恐れがある」と、World Fuel Servicesでランドテクノロジー、クラウド、インフラ部門のシニアバイスプレジデントを務めるリチャード・デリッサー氏は述べる。一方でデリッサー氏は、AWSの「Amazon Simple Storage Service」(Amazon S3)のバケット(データ保存領域)が誤ってインターネットに公開されない確信を得るまでは、アプリケーションを自由にクラウドサービスに配備(デプロイ)できるようにはしたくなかった。
「クラウドサービスに依存しないポリシーを定義可能になった」とデリッサー氏はSonrai Digの導入効果を語る。「誰かが設定ミスなどで意図せず脆弱性を生んだとしても、自動的に阻止できる」(同氏)
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
残念なブランド体験で8割の顧客は「もう買わない」――Sitecore調査
消費者にとって不都合な事象が発生した際にも、ブランドを好きでいられるのは10人に1人。
ナイキとアディダスに学ぶ ファンを増やす企業文化とは?
スポーツにおけるトップブランドの座を巡ってし烈な競争を繰り広げてきたナイキとアディ...
DXにおける「コンサルティング力」とは?
DXが加速する中でコンサルティング人材へのニーズが高まっています。DXにおける「コンサ...
ITmediaはアイティメディア株式会社の登録商標です。
