World Fuel Servicesは自社のITインフラをAWSやAzureに移行した際、クラウドリソース間の通信を分析することで管理の効率化を試みた。そのために同社が活用したツール「Sonrai Dig」の効果は。
米国の大手エネルギー企業World Fuel Servicesは、オンプレミスデータセンターに構築した大規模なITインフラを、クラウドサービス群「Amazon Web Services」(AWS)と「Microsoft Azure」に移行した。その作業の中で、インスタンス(仮想サーバ)などのクラウドリソースの管理が煩雑になるという問題に遭遇した。
そこでWorld Fuel Servicesが導入したのが、クラウドセキュリティベンダーSonrai Securityのセキュリティツール「Sonrai Dig」だ。Sonrai Digは、クラウドサービス内のエンドユーザーやアプリケーション、マシンにIDを付け、ID間のやりとりを自動追跡する。
Sonrai Digは追跡時に「グラフ分析」を利用する。グラフ分析の基盤となるのはグラフデータベースだ。一般的なデータベースであるリレーショナルデータベースは、データを表形式で保持する。グラフデータベースはレコード(データベースで扱う1件分のデータ群)同士の関係をデータベース化したものだ。
グラフ分析は、一目では分からないレコード間の関係を明らかにする助けになる。例えば、あるクラウドサービスのアカウントは、特定のデータストアに直接アクセスする権限はないが、そのデータストアにアクセス可能な別のシステムを介して間接的にアクセスできる、といったことを明らかにする。
Sonrai Securityはグラフ分析を利用して、開発者やセキュリティ担当者が見逃す恐れのある間接アクセスも含め、どのアカウントがどのクラウドリソースやデータにアクセスできるのかを特定する機能を提供する。Sonrai Digはセキュリティポリシーの違反を検出して、ネットワーク内の脆弱(ぜいじゃく)な接続をブロックすることでポリシーを強制適用できる。システムの構成ミスを開発者に警告してアドバイスを提示したり、botで問題を自動修正したりすることも可能だ。
World Fuel ServicesはAWSとMicrosoft Azureの標準セキュリティ自動化ツールも検討した。Sonrai Digは両クラウドサービスを一元的に管理できる上、自動化のセットアップに必要スクリプトを用意する作業が少なくて済むことから、World Fuel ServicesはSonrai Digの導入を決めた。
「過度な一元化は望んでいない。過度になると開発者の取り組みを鈍化させる恐れがある」と、World Fuel Servicesでランドテクノロジー、クラウド、インフラ部門のシニアバイスプレジデントを務めるリチャード・デリッサー氏は述べる。一方でデリッサー氏は、AWSの「Amazon Simple Storage Service」(Amazon S3)のバケット(データ保存領域)が誤ってインターネットに公開されない確信を得るまでは、アプリケーションを自由にクラウドサービスに配備(デプロイ)できるようにはしたくなかった。
「クラウドサービスに依存しないポリシーを定義可能になった」とデリッサー氏はSonrai Digの導入効果を語る。「誰かが設定ミスなどで意図せず脆弱性を生んだとしても、自動的に阻止できる」(同氏)
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏当選でイーロン・マスク氏に追い風 過去最高の投稿数達成でXは生き延びるか?
2024年の米大統領選の当日、Xの利用者数が過去最高を記録した。Threadsに流れていたユー...
トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...
インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...