SPECIAL TALK:ラック×日本IBM

複雑化するセキュリティーリスクをHashiCorpで統制 シークレット管理とIaCでガバナンスを高度化複雑化するセキュリティーリスクをHashiCorpで統制 シークレット管理とIaCでガバナンスを高度化

DXやAI活用が進展する中、システム連携や情報アクセスの認証・認可にかかわる「シークレット」をどう管理するかが企業の課題になっている。機密情報の漏えいやセキュリティーインシデントを防ぐためには、どのような取り組みが求められるのか。複数のクラウドや自社サーバーを併用する環境では、構築方法やセキュリティー対策がバラバラになり、運用の複雑化や手作業による設定ミスが大きな課題となる。この状況に対し、インフラ運用を「1つの共通した仕組み」で自動化・標準化し、構築やセキュリティーをコードで統合管理することで人の手作業とミスを排除するIBMのソリューション「HashiCorp」を提案しているのが、セキュリティーベンダーのラックだ。同社と日本IBMのキーパーソンに、これからの時代のシークレット管理のポイントを聞いた。
聞き手:日経BP 総合研究所 フェロー
桔梗原 富夫

システム連携の増加で高まる
「シークレット」のリスク

――DXやAI活用が進む中、企業は複数のプロバイダーが提供するクラウドサービスを採用しています。システム環境が多様化する中で、セキュリティーの課題はどのように変化しているのでしょうか。

倉持 クラウド利用が広く一般化した一方で、オンプレミスのシステムもまだ多く残っています。このようなハイブリッド環境は、人手で運用管理するのが難しいため、インフラの構成をコードで定義して管理を自動化する「インフラストラクチャー・アズ・コード(IaC)」の考え方が重要になります。

 様々なシステムが自動で連携するようになると、それぞれのデータアクセスを適切に管理するための認証・認可の重要性が増します。システム間連携が増えれば増えるほど、認証・認可に関する情報、いわゆる「シークレット(APIキーやトークン、パスワードなど)」が様々な場所に散在する形になるからです。ただ、これを人手で管理するのも現実的ではありません。
株式会社ラック 取締役 上席執行役員 CTO 次世代サイバー技術開発本部長 兼 サイバー安全保障統括部長 倉持 浩明氏
株式会社ラック
取締役 上席執行役員 CTO
次世代サイバー技術開発本部長
兼 サイバー安全保障統括部長
倉持 浩明
――増え続けるシークレットを管理しきれない状況が生まれているのですね。

倉持 その通りです。昨今は攻撃者グループの組織化、分業化も進んでいます。その中には認証情報を盗むことに特化した集団も存在しており、シークレットを狙うサイバー攻撃も顕在化しています。ブラウザに保存されている資格情報やクッキー(セッショントークン)を詐取することに特化したマルウエアをInfostealer(インフォスティーラー:情報窃盗型マルウエア)と呼びます。詐取された認証情報を使い、攻撃者は正規のユーザーになりすましてネットワークやシステムに侵入してきます。手口は複雑化・高度化しており、シークレットを守り抜くことは簡単ではありません。

インフラの構成・設定変更や
シークレット管理を自動化する

――そのような状況に対し、HashiCorp社はどのようなソリューションを提供しているのですか。

小原 代表的なソリューションが、インフラの構成をコードで定義して管理を自動化する「Terraform(テラフォーム)」です。手動のクラウド運用では負荷が大きいだけでなく、セキュリティーにかかわる設定ミスも起きやすくなります。TerraformはIaCの実現によってこのような問題を解決します(図1)。
図1Terraformの利用イメージ 図1 Terraformの利用イメージ インフラ構成をコードで記述し、各クラウドへ反映することで、インフラ構成のレビューや管理、再現・複製を自動化・容易化する
 もう1つ、倉持さんが指摘されたシークレットの課題を解決するソリューションが「Vault(ヴォルト)」です。クラウドサービスの利用が増えると、社内ネットワークに閉じた従来の境界型防御や、社員に割り当てたID・パスワードの管理・保護だけでは不十分になります。人を介さず、アプリケーションや機器が互いに連携する世界では、それらに割り当てられたID(=マシン・アイデンティティ)の管理も含めて考えることが不可欠です。近い将来、1人の人間がかかわるマシン・アイデンティティは人の数の120倍になると言われています。
日本アイ・ビー・エム株式会社 テクノロジー事業本部 HashiCorp事業部 小原 光弥 氏
日本アイ・ビー・エム株式会社
テクノロジー事業本部
HashiCorp事業部
小原 光弥
――120倍ですか。それはさすがに管理しきれません。

小原 さらに今後は、企業システム内においてAIエージェントの活用が前提になる時代がやってきます。そうなると、社内システムの情報を一元的に管理、検出することが容易に可能になり、参照すべきではないシークレットを簡単に抽出することができてしまうほか、AI エージェント同士が連携するために必要な認証情報を各AIエージェントが保有することになります。本来「参照」だけに絞った権限を与えるべきなのに、管理が大変だからと「実行」もできる強い権限を与えてしまうといった危うい事態も起こってくるでしょう。誰のどの権限を代理で実行させるかを明確に管理する必要が出てきます。

 Vaultを使えば、このようなマシン・アイデンティティを含めたシークレットを一元管理できます。シークレットが生成されてから変更、監査、そして不要になった際の破棄に至るまでのライフサイクル管理も自動化します(図2)。加えて、同じくHashiCorpプロダクトである「Boundary(バウンダリー)」と併用すると、リモート開発や運用時のアクセス(例えばSSH接続)時に、開発者や運用者が接続に必要な情報(シークレット)を知ることなく、BoundaryがVaultと連携してリモート接続を実現するということが可能になります。これらを活用することで、開発者やクラウド運用者はセキュリティーの設定作業や監査対応から解放されて、本来の業務に専念できるようになるはずです。
図2Vault導入による効果 図2 Vault導入による効果 事前に定義したポリシーに基づきユーザーごとのアクセスキーを自動的に作成・付与することで、ミスの防止や運用管理負荷の削減が可能になる
倉持 当社の「サイバー救急センター」はセキュリティーインシデントに24時間365日体制で対応しています。サイバー救急センターが対応したケースでも、クラウド侵害インシデントの多くがクラウドの設定ミスに起因しています。組織が定めたルールは適切でも、人が設定した際にミスをしてしまうんですね。

 その点、Terraformを使えば人的ミスの可能性を排除できるほか、設定変更があらかじめ設定したポリシーに違反していないかを実行前に確認することができます。さらに、要求があったときだけに必要な認可を与え、有効期限が過ぎれば無効化する「動的シークレット」も実現可能です。いずれも人手では困難な高い安全性を実現する機能といえるでしょう。

IBMの一員になってさらに広がる
HashiCorpの可能性

――HashiCorp社は2024年にIBM傘下に加わりました。IBMとして、この買収はどのような狙いによるものだったのですか。

上野 IBMはここ数年、システム運用の自動化に向けた投資に力を注いできました。Red Hatの買収を筆頭に、オブザーバビリティー(可観測性)やクラウドやオンプレミスのリソース最適化を実現する最新のソリューションを揃えることで、お客様が柔軟な選択に基づいて最適なプラットフォームを作り上げられるハイブリッドクラウド戦略を推進してきたのです。その中で、「インフラプロビジョニングの自動化」という最後のミッシングピース(欠けていた部分)がTerraformでした。

 また、先ほど話に出たように、AIによってアプリケーションのコードが自動生成されたり、AIエージェントが爆発的に増える時代には、人とマシンのアイデンティティを網羅的に管理できるVaultのニーズもますます高まると考えています。加えて、「オープンソースと商用版を提供し、オンプレミスからマルチクラウドまで対応する」というHashiCorpの技術戦略は、IBMの戦略と非常に親和性が高いものでした。両社のシナジーが期待できると考えたのが、買収の最大の理由です。
日本アイ・ビー・エム株式会社 理事 テクノロジー事業本部 オートメーション・プラットフォーム事業部長 上野 亜紀子 氏
日本アイ・ビー・エム株式会社
理事
テクノロジー事業本部
オートメーション・プラットフォーム事業部長
上野 亜紀子
――シナジーによって、どのようなユーザーメリットが生まれているのでしょうか。

小原 私は元々HashiCorpの社員でしたが、IBMの一員になったことで選択肢が広がったと感じます。一例が、IBMがNIST(米国国立標準技術研究所)に提案している耐量子計算機暗号(PQC)への対応です。これにより、HashiCorp製品のPQC対応に向けたロードマップを描けるようになりました。

 また、メインフレームの「IBM Z」にも対応しました。オンプレミスの基幹システムからパブリッククラウドまで、網羅的に自動化とセキュリティーの機能を提供できるようになったのは、IBMに加わったからこそです。お客様には、これらの新たな価値を感じていただけるはずです。
日経BP 総合研究所 フェロー 桔梗原 富夫
日経BP 総合研究所
フェロー
桔梗原 富夫

ガバナンスの確立は現場ではなく
経営のミッション

――これまで人が行ってきた様々な作業を自動化することが、無用なリスクの削減、ひいては組織のセキュリティー強化につながります。

倉持 さらに言うなら、HashiCorpは「ガバナンスを強化する」製品だと考えています。例えば、Terraformでは「誰が・いつ承認したのか」というワークフローの管理や設定変更の履歴管理を容易に行えますが、これはガバナンス強化に資する機能です。また、シークレットのローテーション管理をVaultで自動化することも、「ガバナンスの自動化」と言っていいでしょう。

小原 倉持さんの見方は的を射ていると思います。IBM自身はHashiCorpを「標準化ツール」と位置付けていますが、標準化を推進することで自動化しやすくなり、運用の効率化と安全性が担保できます。その結果、ガバナンス強化につながります。

倉持 ここで重要なのは、ガバナンス強化は経営陣の責務ということです。TerraformやVaultに投資して、強固な“ガードレール”を確立し「あとはこの中で自由に走ってくれ」と、エンジニアにとってベストな環境を整えることは経営陣がリードしなければなりせん。ガードレールなしにAIエージェントなどを走らせれば、必ずどこかで崖から落ちて痛い目を見ることになるでしょう。私は経営層にこそ、HashiCorpの価値を理解していただきたいと考えています。

小原 実際、標準化や自動化を進めようとすると、従来の組織構造や労働規則が障壁になって、現場の力だけではどうにもならないことも多いですよね。だからこそ、標準化やガバナンス強化の取り組みは、経営層が旗振り役になる必要があると私も感じます。

上野 同感です。長年、現場で自動化の提案をしてきましたが、現場主導では標準化の視点が抜け落ちてしまうことが多いです。その結果、失敗に終わるケースを何度も見てきました。ガバナンス強化に向けて重要なのは、現場からのボトムアップの取り組みに加えて、経営課題としてトップダウンで標準化を進めることだと思います。AI活用やDXが企業経営の重要アジェンダになっている今こそ、お客様の経営層に、HashiCorpの哲学や価値を知っていただきたいと強く感じています。

ラックとIBMの
パートナーシップに基づき
顧客を支援する

――ラックとIBMは今後、どのようなコラボレーションを展開していく予定でしょうか。両社のパートナーシップによって生まれる価値や、お互いへの期待を教えてください。

小原 セキュリティー対策は製品を導入して終わりではなく、「どう運用するか」が重要です。利用するクラウドサービスの増加、サイバー攻撃の先鋭化といった状況の中で、ユーザー企業が自社だけでセキュリティー運用を考え、実行するのは困難になっています。日本でSOC(セキュリティー・オペレーション・センター)などを展開し、高度な運用の知見を持つラックと共に、製品と運用のノウハウをセットにしてお客様に提供していきたいと考えています。

倉持 ありがとうございます。HashiCorpが創業したのは2012年ですが、2014年ごろには日本国内でも一部の開発者から熱狂的な支持を得ていました。ラックはHashiCorpが日本国内展開を本格化した2019年から協業を開始し、それ以来、多くのお客様のプロジェクトを支援してきました。そして、当社はIBMのパートナーとして、何十年もの間メインフレームからクラウドまで協業してきた実績も有しています。WebSphereやメインフレーム環境といったIBMのテクノロジーと、クラウドネイティブなHashiCorp製品の両方を熟知しているからこそ、お客様の複雑な経営課題やガバナンスの要求に対し、最適な解決策を提案できると自負しています。

 セキュリティーは、これからの企業経営に欠かせないものです。今後も、1人でも多くの人にTerraformやVaultの価値を知ってもらうことで、日本企業のビジネスに貢献していければと思います。

上野 非常に多くの製品やその技術の活用・提案経験を持つ点は心強いです。お客様への提案を行う際に、個々の状況に合わせたベスト・オブ・ブリードの価値を提案できるパートナーとして、私たちも大きな期待を寄せています。

――標準化と自動化を通じて、日本企業が安全にDXとAX(AIトランスフォーメーション)を加速させる未来が見えてきました。本日はありがとうございました。
お問い合わせ
株式会社ラック URL:https://cp.lac.co.jp/lachp/hashicorp_contact