ユーザー企業から学ぶ、厳格なセキュリティ基準をクリアしつつ、クラウド活用で組織を加速させる方法NTTドコモでのクラウドの使い方、教えます

クラウドの活用が進む中、ベストプラクティスをどう実践するか、ノウハウをどう共有し統制やコスト管理を図っていくかが新たな課題にありつつある。そこで参考にできるのがクラウドを先進的に利用してきたユーザー企業の経験やノウハウだ。研究段階を含めると2009年からAWSを活用してきたNTTドコモ。同社の経験とノウハウを自社に取り入れるには、どうしたらいいのだろうか。

» 2019年03月18日 10時00分 公開
[PR/ITmedia]
PR

約450アカウントでAWSを徹底活用! CCoEチームの役割とは?

 2012年という比較的早い時期から、Webサービスシステムや社内向けデータ分析システムでAmazon Web Services(AWS)を本格活用してきたNTTドコモ。そのいきさつや成果は、米国で開催されるAWSのユーザーイベント「re:Invent」や、国内カンファレンス「AWS Summit Tokyo」、ユーザーカンファレンス「JAWS DAYS」など、さまざまな形で披露されてきた。

 現在、NTTドコモ社内ではWebサービス系を中心に約450のAWSアカウントを運用している。全社横断的に組織された「CCoE(Cloud Center of Excellence)チーム」がユーザー部門に対してコンサルティングや診断、ツールおよび情報の提供などを行っているのだ。ユーザー部門からの問い合わせやフィードバックをCCoEチームが集約し、情報セキュリティ部門や法務部門、企画部門などと連携しながら、Webサービスや社内システムのセキュリティ、リスク管理、コンプライアンスを確保していく体制だ。

NTTドコモ社内の体制

 AWSでは「責任共有モデル」によって、ベンダーであるAWSとユーザー側がそれぞれの責任を果たしながら、サービス利用を継続させていくモデルが基本である。AWSが基盤部分の運用管理に責任を持つのに対し、ユーザーはアプリケーションやデータに関しての責任を持つ必要がある。要するに「自分のことは自分で責任を持つ」という考え方だ。しかし、ベンダーにあらゆる管理を任せたい企業にとっては、この責任共有モデルがクラウド利用の足かせになりやすい。

 またAWSは、個人レベルでも簡単にアカウントを開設でき、リソースの調達も容易で、設計や設定の自由度も高い。そのため、AWSの利用が増えるのに伴って、知らないうちにアカウントが増えていたり、設計や設定で想定外のミスが起こったりしやすくなる。例えば、ユーザー側が公開設定や権限設定を間違えて情報が漏えいするといった事態が起こり得るのだ。

 そのため、AWSでもCCoEチームのような統括部隊を社内で組織することの重要性を説いており、実際にAWSをうまく利用していく上でも、NTTドコモのようなCCoEチームの存在が大きなカギになる。クラウドで実現しようとする価値は千差万別だ。ユーザーがアプリケーションやデータ、それらの設計、設定を自らの主導権の下で運営して初めてクラウドから価値を引き出せるといっていい。

社内セキュリティ基準は200項目以上

NTTドコモ イノベーション統括部クラウドソリューション担当 担当課長の住谷哲夫氏

 とはいえ、AWSを利用する全ての企業がNTTドコモのようなCCoEチームを組成できるわけではない。特に近年は、既存システムのリフト&シフトに向けてAWSを初めて利用する企業や、基幹システムを含めてAWSへの全面移行を試みる企業が増えている。

 AWSの東京リージョンが開設されたのは2012年。まだサービスが少なかった当時からAWSを活用してきたNTTドコモのような企業と、100を超えるサービスが提供されているAWSをこれから利用しようという新参企業では、蓄積してきた知見やノウハウの層の厚みは全く違う。

 CCoEチームを作ろうと思っても、作るためのノウハウやリソースがないというのが本音だろう。そうした企業が今学ぶべきは「NTTドコモがAWSユーザーの立場で、どのようにサービスの設計や設定を行ってきたか」「どのようにアプリケーションやデータを保護しているか」だろう。この点を知ることは、AWSを活用する上で大きなメリットになるはずだ。

 実際、NTTドコモにはそのような質問が多数寄せられてきた。冒頭でも触れたように、その知見やノウハウをカンファレンスやイベントの場で、さまざまな形で提供してきた。特に2014年の「AWS Summit Tokyo」での講演以降は、「ノウハウを資料として公開して他社でも利用できるようにしてほしい」という声が相次ぐことになった。

 そこで2015年2月から提供を開始したのが「クラウド開発ガイドライン」だ。NTTドコモの住谷哲夫氏(イノベーション統括部クラウドソリューション担当 担当課長)は、提供のいきさつを次のように話す。

 「2013年ごろから今のCCoEにつながる取り組みが自然発生的に生まれ、2014年に初めて社内向けにクラウド開発ガイドラインを提供しました。提供した目的は、それまでのAWS上でのシステム構築で培ったノウハウを活用して、より高いセキュリティレベルを満たすシステムの運用を設計するためです。例えば、AWSのルートアカウント、データと鍵へのアクセス、AWSリソースの操作などの権限を分離して、一部の管理者に権限が集中することを防いでいます」(住谷氏)

 NTTドコモは、キャリアとして高いセキュリティとコンプライアンスが求められる企業だ。サービス開発に当たり満たすべき社内セキュリティ基準は、200項目以上にも上る。クラウド開発ガイドラインは、それらを盛り込むことはもちろん、リスク管理や内部統制、リテラシー向上などの点から「ユーザーが考慮すべきクラウドにおける開発やセキュリティのドキュメント」として整備されていった。

クラウド活用のノウハウを「ドコモ・クラウドパッケージ」として外部提供

NTTドコモ イノベーション統括部クラウドソリューション担当の守屋裕樹氏

 2015年に外部提供が始まったクラウド開発ガイドラインはその後も拡充が続けられ、その他のガイドライン、テンプレート、デザインパターンとともにパッケージとしてまとめられた。それが「ドコモ・クラウドパッケージ」だ。NTTドコモの守屋裕樹氏(イノベーション統括部クラウドソリューション担当)は、こう説明する。

 「クラウド開発ガイドラインは、AWSなどのクラウドを使う場合の考え方やお作法、NTTドコモの開発フローにおける各フェーズで考慮、実施すべき指針を記載したものです。約200ページのボリュームで、構成やセキュリティに関する項目を重点的に網羅し、間違った使い方などを抑止できます。NTTドコモがユーザーの立場で実際に利用してきたツール、コンサルティング、診断などを他のユーザーでも活用できるようにパッケージ化したのがドコモ・クラウドパッケージです」(守屋氏)

 提供しているツール(ガイドライン、テンプレート、デザインパターン)は、現在8種類。クラウド開発ガイドラインの他に、以下の7種類が提供されている。

  • オンプレミスからクラウドへのシステム移行に焦点を当て、スムーズな移行を実現するポイントをまとめた「システム移行ガイドライン」
  • インシデント発生時にどのようにAWSサービスを利用して対応するかを実際のフローに沿って解説した「インシデント対応ガイドライン」
  • AWS上で共通基盤を構築する際のノウハウを記載し、NTTドコモ内の事例を解説した「共通基盤化ガイドライン」
  • AWS上でサーバレスシステムを構築する際のノウハウと、モデルとなる構成を基にセキュリティ対策の方法を解説した「サーバーレスガイドライン」
  • AWSやMicrosoft Azure(以下、Azure)を利用する際に必要となるセキュリティ要件を記載した「セキュリティデザインパターン」
  • AWS CloudFormationのテンプレートや、PHPやApache Tomcatを利用したWebサービステンプレートを提供する「セキュリティテンプレート」
  • IAM(Identity and Access Management)ベストプラクティス実装と、NTTドコモでの具体的な設定例をパターン化し記載した「IAMデザインパターン」

 AWSだけではなく、AzureやGoogle Cloud Platform(GCP)に対応したバージョンも一部提供する。また、必要に応じて随時新しいツールを作成しており、現在は「コスト最適化ガイドライン」を作成中だ。

ドコモ・クラウドパッケージで提供されているツール(ガイドライン/テンプレート/デザインパターン)の全体像

NTTドコモが陥った失敗やミスを記載したユーザー目線のガイドライン

 ガイドラインの最も大きな特長は、NTTドコモが実際に経験してきたことをユーザー目線でまとめていることだ。NTTドコモが陥った失敗やミスをあえて記載しながら、他のユーザーがそうしたミスをせずにスムーズにクラウドを利用できるよう工夫している。

 「例えば、IAMユーザーの中に誰も把握していないユーザーが現れて、『誰?』となることがよくあると思います。原因を探ってみると6カ月前までシステム運用をしていたパートナーだと気付く。あるいは、なぜかセキュリティグループでSSHポートが『0.0.0.0/0』で待受していたケースも。原因は検証用に一時的に開けたまま閉じるのを忘れていたのだと分かる。クラウドは便利で簡単な分、こうした失敗や人的ミスが起こりやすい。ユーザーがハマりやすいポイントはベンダーやSIerの立場では気付きづらいこともあると思います。だからこそユーザー目線でのガイドラインが必要なのです」(住谷氏)

 AWS側でもデザインパターンやレファレンスを提供しているが、当然のことながら自らユーザーの立場として経験したものではない。また、対象もAWSに限られ、AzureやGCPについての記述も基本的にはない。SIerやコンサルティングファームが提供するガイドラインなども同様で、ユーザー側の業務からの観点というよりも、ベンダーとしてシステムを実装する観点から記述されたものが多くなる。

 例えば、WebサイトをHTTPS化する際のSSL/TLSサーバ証明書を取得する方法として、AWSでは「AWS Certificate Manager(ACM)」というサービスがある。そしてACMのドメイン検証の手段として、「電子メール検証」と「DNS検証」が用意されている。しかし、ドメイン検証で電子メール検証を利用した場合、期待したユーザーに証明書関連のメールが届かなかったり、意図しないユーザーにメールが届いてしまったりするリスクがある。そこで、ガイドラインでは、そうした注意点やリスクに触れながら「ACMのドメイン検証は、電子メール検証よりも多くのメリットがあるため、DNS認証を利用しましょう」とアドバイスする。ベンダーやSIerのガイドラインでは、こうしたユーザー目線にたったアドバイスを徹底することは難しいだろう。

 「2015年に提供し始めてから、金融や医療といった高いセキュリティ基準が求められる業種を含めたさまざまな企業にご利用いただいています。AWSのカンファレンスなどでも『ドコモ・クラウドパッケージを使って取り組みを強化した』と発表していただく機会も増えました。RFP(提案依頼書)を作成する際にガイドラインを参考にするというケースもあります。また、ユーザー企業だけではなく、SIerさんがガイドラインを利用してユーザーへの提案資料を作成する際の参考にしているという声も頂いています」(守屋氏)

動画が取得できませんでした
ドコモ・クラウドパッケージ

自動アセスメントツール「ScanMonster」も提供

 ドコモ・クラウドパッケージのガイドライン自体は、ユーザーとしての導入、構築、運用管理、セキュリティに関するノウハウの提供だ。実際の構築では、クラウドベンダーやSIerと連携することが多く、ユーザーとベンダー、SIerとの間の認識の違いを埋める手段としても活用されている。

 一方、実際にシステムを運用したり、SIerが機能を実装し、自動化などを図っていったりする上では、ガイドラインだけではなく、それを機能として運用できるツールも必要だ。そこでNTTドコモは「ScanMonster」というツールを提供している

 ScanMonsterは、ポリシーの準拠性の確認やセキュリティのリスクを早期発見するための自動アセスメントツールだ。ドコモ・クラウドパッケージで展開している各種ガイドラインやデザインパターンに準拠した、約60のアセスメント項目を自動で査定し、結果を表示する。

ScanMonsterの特長

 アセスメント項目としては、「可用性」「ログ」「ネットワークアクセス」「IAM」「リソース」というカテゴリーがある。例えば、IAMでは、「一定期間アクセスがない特定の権限を持ったユーザー」「パスワードの有効期限の切れたユーザー」「多要素認証が設定されていないルートアカウント」などを自動で探し出し、チェックできる。チェックされた項目はダッシュボードに一覧表示され、アセスメントでNG判定が出た問題への対処についてはチュートリアルで方法を教えるという機能が備わっている。

 例えば、「スナップショットを作成して30日以上放置されている」ケースでは、チュートリアル「不要となっているスナップショットを整理」として、「AWSコンソールへのログインから画面の切り替え」「スナップショット一覧の確認」「プルダウンメニューからの削除方法」までの手順を追って実施できるように解説している。このチュートリアルを活用することで、問題に遭遇したときにその場で素早く対処できるようになる。

ScanMonsterのスクリーンショット

 ScanMonsterは各アカウントを「IAM Role」として設定するだけで利用でき、複数のアカウントをまたがったアセスメントも可能だ。これにより、少ない人数で大規模なクラウド環境の自動アセスメントができる(対応環境はAWSのみ)。

 「NTTドコモでは、これまでのモバイル通信企業から、『社会課題を解決していく付加価値協創企業』への転換を図っています。クラウドの利用が広がる中で、企業がクラウドに対してさまざまな課題を抱えるようになりました。ドコモ・クラウドパッケージやScanMonsterといったNTTドコモのノウハウを外部に提供することで、この課題を解決し、皆がうまくクラウドを使えるようになれば、協創による新しいものが生まれる環境もできやすくなると考えています」(住谷氏)

 クラウドで実現できる価値は千差万別だ。ユーザー企業自身が取り組みを進める上で、ドコモ・クラウドパッケージのようなノウハウとScanMonsterのようなツールをうまく活用したいところである。

ドコモ・クラウドパッケージ ドコモ・クラウドパッケージ
ScanMonster ScanMonster

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社NTTドコモ
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2019年3月31日