大手エネルギー会社がAWS、Azure管理の一元化に「Sonrai Dig」を選んだ理由：大規模なクラウド移行の成功談【中編】

World Fuel Servicesは自社のITインフラをAWSやAzureに移行した際、クラウドリソース間の通信を分析することで管理の効率化を試みた。そのために同社が活用したツール「Sonrai Dig」の効果は。

[Beth Pariseau，TechTarget]

　米国の大手エネルギー企業World Fuel Servicesは、オンプレミスデータセンターに構築した大規模なITインフラを、クラウドサービス群「Amazon Web Services」（AWS）と「Microsoft Azure」に移行した。その作業の中で、インスタンス（仮想サーバ）などのクラウドリソースの管理が煩雑になるという問題に遭遇した。

　そこでWorld Fuel Servicesが導入したのが、クラウドセキュリティベンダーSonrai Securityのセキュリティツール「Sonrai Dig」だ。Sonrai Digは、クラウドサービス内のエンドユーザーやアプリケーション、マシンにIDを付け、ID間のやりとりを自動追跡する。

併せて読みたいお薦め記事

クラウド移行のヒント

• COBOLやPL/Iのメインフレームアプリケーションをクラウドサービスで動かすには
• 「メインフレーム」のアプリケーションをクラウドサービスで動かす3つの選択肢
• 京都大学が基幹系をオンプレミスから「AWS」へ移行した理由

なぜSonrai Digを選んだのか

　Sonrai Digは追跡時に「グラフ分析」を利用する。グラフ分析の基盤となるのはグラフデータベースだ。一般的なデータベースであるリレーショナルデータベースは、データを表形式で保持する。グラフデータベースはレコード（データベースで扱う1件分のデータ群）同士の関係をデータベース化したものだ。

　グラフ分析は、一目では分からないレコード間の関係を明らかにする助けになる。例えば、あるクラウドサービスのアカウントは、特定のデータストアに直接アクセスする権限はないが、そのデータストアにアクセス可能な別のシステムを介して間接的にアクセスできる、といったことを明らかにする。

　Sonrai Securityはグラフ分析を利用して、開発者やセキュリティ担当者が見逃す恐れのある間接アクセスも含め、どのアカウントがどのクラウドリソースやデータにアクセスできるのかを特定する機能を提供する。Sonrai Digはセキュリティポリシーの違反を検出して、ネットワーク内の脆弱（ぜいじゃく）な接続をブロックすることでポリシーを強制適用できる。システムの構成ミスを開発者に警告してアドバイスを提示したり、botで問題を自動修正したりすることも可能だ。

　World Fuel ServicesはAWSとMicrosoft Azureの標準セキュリティ自動化ツールも検討した。Sonrai Digは両クラウドサービスを一元的に管理できる上、自動化のセットアップに必要スクリプトを用意する作業が少なくて済むことから、World Fuel ServicesはSonrai Digの導入を決めた。

　「過度な一元化は望んでいない。過度になると開発者の取り組みを鈍化させる恐れがある」と、World Fuel Servicesでランドテクノロジー、クラウド、インフラ部門のシニアバイスプレジデントを務めるリチャード・デリッサー氏は述べる。一方でデリッサー氏は、AWSの「Amazon Simple Storage Service」（Amazon S3）のバケット（データ保存領域）が誤ってインターネットに公開されない確信を得るまでは、アプリケーションを自由にクラウドサービスに配備（デプロイ）できるようにはしたくなかった。

　「クラウドサービスに依存しないポリシーを定義可能になった」とデリッサー氏はSonrai Digの導入効果を語る。「誰かが設定ミスなどで意図せず脆弱性を生んだとしても、自動的に阻止できる」（同氏）

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。