お客様情報
株式会社カカクコム
■ 企業概要
株式会社カカクコムは、「Life with -生活とともに-」をミッションに掲げ、購買支援サイト「価格.com」やレストラン検索・予約サイト「食べログ」など、日々の暮らしが豊かになるようなインターネットサービスを生活に密着した幅広い分野で展開している。近年では、求人情報の一括検索サイト「求人ボックス」、不動産住宅情報サイト「スマイティ」といった新たなサービスも成長を続けている。
■ 設立:
1997年12月
■ 本社所在地:
東京都渋谷区恵比寿 3-5-7デジタルゲートビル
■ 資本金:
916百万円(2019年3月末現在)
■ 従業員数:
単体:752名連結:1,028名(2019年9月末現在)※取締役、派遣社員及びアルバイトを除く従業員ベース
取材当時の情報です
※写真左より、金本氏、坂上氏、橋本氏
- 導入ハイライト
-
- Kubernetes+Aquaで自動化されたセキュアなコンテナ利用環境を実現
- 人的ミスの排除、約6倍の運用効率向上、強固で一貫したセキュリティ対策
- 今回の良好な導入効果を受け、今後、各サービスへ横展開
利用者により身近で価値ある情報を提供する様々なインターネットサービスを通じて、人々の豊かな暮らしに貢献する株式会社カカクコム(以下、カカクコム)。
1997年の創業から20 年を超えるサービス実績を誇る同社では、現在、20以上の国内外グループがサービスを展開し、その事業領域はショッピングやグルメ、旅行、映画、不動産など多岐にわたる。
これらのサービスを支えるIT 運用のさらなる効率化を目指し、コンテナ技術の採用を決定した同社では、新たな仕組みを支えるセキュリティ基盤としてAquaを採用。将来的なコンテナの利用拡大が予想される各サービスでの万全なセキュリティ対策に向け、確実な一歩を踏み出した。
導入の背景:コンテナ技術でアプリ・ライフサイクル管理を効率化・迅速化
「近年、コンテナ化されたアプリケーションのデプロイ、スケーリング、そして管理を行うオーケストレーションツールであるKubernetes が業界標準となりつつありますが、その思想や仕組みに共感するところがあり、また、市場の流れもそちらに向かっていることから、社内ユーザーの要求に先行して、戦略的な導入を決定しました」-コンテナ技術導入に至る背景について、プラットフォーム技術本部 システムプラットフォーム部 部長の金本宏司氏はこう話す。
プラットフォーム技術本部
システムプラットフォーム部
部長 金本 宏司 氏
新技術採用に至る同本部のアプローチは、他社のIT部門でよく見られるような、問題が発生してからその解決に向けてソリューションを導入したり、現場から要求が上がった後に検討を開始するといった “後手に回った” 対応とは大きく異なる。最新の技術トレンドを把握し、将来的に現場から要求される可能性の高い技術を先行して評価し、有効であれば実運用に適用するというプロアクティブな対応によって、現場から要望が発生した時点で即座に提供できるようにしている。コンテナ技術の導入も、このようなプロアクティブな施策の1つであり、その狙いは、Kubernetesの採用により、開発から実際の運用に至るアプリケーションライフサイクル管理の負荷を軽減し迅速化を図るというものであった。
こうして2018年10月、コンテナ技術の採用を決定した同本部だが、詳細な検討を進める中、浮上してきたのが「コンテナ利用環境におけるセキュリティの確保」という課題だった。
プラットフォーム技術本部
システムプラットフォーム部
第1インフラサービスチーム
坂上 涼 氏
Aqua採用の経緯:リリース前だけでなく、ライフサイクル全体でのセキュリティ対策を実現
コンテナ環境におけるセキュリティ対応について、プラットフォーム技術本部 システムプラットフォーム部 第1インフラサービスチームの坂上涼氏は「セキュリティ対策として、当初はビルド時のイメージスキャンが必要と考えました。つまり、リリース前の事前チェックです。しかし、検討を進める中で明らかになったのは、ビルド時だけでなく、実際に稼動している環境でのチェックも不可欠であるということでした」と話す。
この点について、金本氏は「セキュリティリスクに関する情報収集を行う中で、イメージスキャンをすり抜けてしまうようなコンテナを使った脅威の存在を把握したため、対処が不可欠となったのです」と補足する。
コンテナ環境でビルド時のイメージスキャン機能を提供するセキュリティ製品は数多くある。しかしデプロイから運用の間でも継続してセキュリティを担保できる製品は皆無と思われた。そんな中、製品評価の過程で同社は、この要件に合致したAqua Cloud Native Security Platform(以下、Aqua)の存在を知る。Aquaは、コンテナおよびクラウドネイティブなアプリをフルライフサイクルで守るためのセキュリティソリューションだ。さらに、Kubernetesに関するコンサルティングやトレーニングで既に繋がりのあったクリエーションライン株式会社(以下、クリエーションライン)が、Aquaの導入・運用にあたっての開発支援、技術サポートを行っていることも明らかになった。
カカクコムは、Aquaの多種多様な機能、また管理ソリューションであるKubernetes上で稼働させるコンテナを安全な状態で利用できる点を評価。加えて、カカクコムとクリエーションラインはKubernetesに関するコンサルティングやトレーニングに関する取引実績があったことから、クリエーションラインからのAquaの導入を決定。2019年9月、提供サービスの1つである求人情報の一括検索サイト「求人ボックス」を対象にKubernetesとAquaを併用した実運用を開始した。
システム概要:開発・運用とセキュリティ対策が一体となった新システム
求人ボックスを支えるIT環境はオンプレミスで運用されている。また同社では、セキュリティに関して企業の至上命令とも言えるほど厳格な捉え方をしている。
運用効率とセキュリティの両面が強化されたKubernetesとAquaによる新システムは、アプリケーションの開発から運用、また一連のセキュリティ対応についても極力自動化が図られている。CI/CDに組み込まれたイメージスキャナや、運用時におけるランタイム保護など、開発・運用とセキュリティ対策が一体化した形態となっている。
プラットフォーム技術本部 システムプラットフォーム部 第1インフラサービスチームの橋本和樹氏は、Aquaによるセキュリティ対応の流れに触れ、「アプリケーション開発者がGitのアプリケーションリポジトリにコードをプッシュすると、これをフックにCI/CDが走りビルドが行われます。この段階でAquaのイメージスキャナにより脆弱性等の確認が行われ、問題がなければ、Aquaによるスキャン結果を含んだプルリクエストをKubernetesのマニフェストリポジトリに投げます。スキャンで問題が発見された場合には、セキュリティ、運用担当者にその旨が通知されます。プルリクエストを運用担当者が承認すると、Kubernetes側のクラスタにアプライ/デプロイが行われ、クラスタの状態が更新されることになります」と話す。
Aquaは、イメージスキャンなどCI/CDの保護に加え、実行時のアプリケーション保護、セキュリティ脅威の検出とブロック、可視化、コンプライアンス対応なども実現する。また、今回はオンプレミスでのKubernetesが前提となったが、Linux/Windowsのコンテナ、クラウド/オンプレミス、すべてのオーケストレーションツール、マルチテナントなど、あらゆるシステム環境をカバーすることができる。
プラットフォーム技術本部
システムプラットフォーム部
第1インフラサービスチーム
橋本 和樹 氏
導入効果:人的ミスの排除、約6倍の運用効率向上、そして強固で一貫したセキュリティ対応の実現
実運用の開始から、まだ約2ヶ月という状況だが、既にAquaの導入効果は明確に現れている。
「従来のVM運用では、構築後に潜在的な脆弱性がないことを確認するためにスキャンを行います 。
今回のコンテナ化によりCI/CDの中でビルドを自動化すると共に、そのイメージのスキャンもAquaで自動化できるようになりました。もしインシデントや脆弱性などの問題があればマージしないという対応も、一切人手を介さずに実現できます。確実なセキュリティ対応と効率化という意味で、これは非常に大きな導入効果だと感じています」(橋本氏)。
また、セキュリティ対応はビルド時点だけを対象にしているわけではない。仮にマルウェアによってファイルに実行権限が与えられ動かせる状態となった場合でも、Aquaがこれを検知しブロックする。「GitOpsの考え方に従う形で、イメージスキャナや運用時のAquaノードにおけるEnforcerなどが組み込まれています。これにより、リリース前の確実なスキャンだけでなく、さらにリリース後の悪用も防ぐことができます」と話す。
運用効率面でも効果が発揮された。坂上氏は「従来の手作業による対応や、担当者の平均的な習熟度などを前提にすると、これまで約1時間はかかっていたスキャンの作業が10分程度に短縮されました。運用効率が約6倍向上したことになります」と強調する。導入サービスが増加し、規模が拡大するにつれ、この導入効果はより大きなものとなっていくことが期待される。「正に開発・運用とセキュリティが一体化したDevSecOpsを実現することができたと実感しています」(坂上氏)。
金本氏は、Aqua社の担当者と実際に対話した内容を踏まえ、セキュリティに対する同社の姿勢と、それが反映されたAqua製品を評価して「Aqua社による脆弱性のポイント付けは非常に厳格であり、関連システムの情報も含めて考慮されており、その内容も日々更新されています。セキュリティ対策の精度や鮮度の信頼性は高いと考えています」と話す。
今後の展望:各サービスサイトの要求に応じてコンテナ環境とAquaの適用を拡大
Aquaによる様々な導入効果を享受しつつあるカカクコムだが、その視点は既に未来方向に向けられている。
今後の展開について、金本氏は「今後は各サービスでのニーズに応じて、随時KubernetesとAquaによるシステムを適用していく予定となっています」と話す。
一方で、Aqua製品自体もさらに進化を続けている。橋本氏は「今回のサービス導入後もその進化は続いており、たとえばスキャナに関しては、Dockerのイメージのレイヤ毎に脆弱性をスキャンすることが可能となり、また、オープンソースのスキャナの機能が取り込まれるなど、私達が求める新たな機能が随時追加されています」と進化する製品への期待に言及する。
最後に金本氏は、今後オンプレミス環境でKubernetesやAquaを採用する可能性のある方々に向け、次のようにコメントし、インタビューを締めくくった。
「オンプレミスでKubernetesを運用することは容易ではないと考えている方々が多いと聞きますが、今回、実際に取り組んでみた結果から言えば、決して難しくはないと思います。さらにAquaによるセキュリティ基盤と一体化した形での利用が可能であれば、運用効率だけでなくセキュリティの面でも安心できるプラットフォームを実現できると確信しています」
利便性の高いサービスを提供すると共に、厳格かつ確実なセキュリティ対策に注力するカカクコム。
同社が一歩を踏み出したコンテナ技術を活用したプラットフォームにおいて、既にAquaは必要不可欠な存在となっており、今後実施される各サービスへの展開においても、そのセキュリティ面を支えるコアソリューションというポジションを保持し続けるだろう。
