Aqua 導入事例：NRIセキュアテクノロジーズ株式会社 様

※写真左より、奥秋氏、大島氏

導入ハイライト

• 主力ID管理・認証サービスのコンテナセキュリティ基盤としてAquaを採用
• コンテナ環境におけるセキュリティの担保と迅速なサービスデリバリに貢献
• セキュリティ専門企業に求められる安全性が担保されたサービス基盤を実現

ID管理・認証サービス「 Uni-ID Libra」におけるセキュリティ強化が課題に

NRIセキュアが提供する幅広いサービスの中で、「ID管理・認証」のカテゴリに含まれるUni-ID Libraは、BtoC向け統合ID管理ツール（CIAM）市場に関する最新調査*1で、マーケットシェアNo.1を獲得*2するなど業界で広く認知されており、同社の主力サービスの１つとなっている。同社 IDソリューション事業部 部長の大島修氏は、Uni-ID Libraについて「コンシューマサービス向けのID基盤ソリューションであり、企業が顧客向けのサービスを構築した際、ユーザーの認証や会員IDの管理を行う用途で使用します」と話す。Uni-ID Libraでは、SSO（シングルサインオン）・ソーシャルログイン機能などの提供で、利用者の利便性を高めると共に、パスワード以外の認証要素を組み合わせた多要素認証機能、FIDO(WebAuthn)によるパスワードレス認証などの強固な認証手段を提供。より使いやすく安全なID管理を実現している。

NRIセキュアテクノロジーズ
株式会社
IDソリューション事業部
部長 大島 修 氏

*1 : https://www.nri-secure.co.jp/news/2022/0705
NRIセキュア・ニュースリリース： NRIセキュア、「Uni-ID Libra」がCIAM市場でシェアNo.1を獲得
BtoCサービス向けID管理・認証ソリューション – 2022年7月5日

*2 : https://www.nri-secure.co.jp/news/2022/0909
NRIセキュア・ニュースリリース： NRIセキュア、「Uni-ID Libra」がシェアNo.1を獲得
富士キメラ総研調査「BtoC向け統合ID管理ツール（CIAM）市場」 – 2022年9月9日

また、複数のサービス/チャネルにまたがってサービスを利用している顧客を共通IDで識別することにより、顧客ごとに最適化されたおもてなしへの活用などユーザー体験向上の実現に寄与するとしている。情報セキュリティ専門企業である NRI セキュアが提供しているという点も、導入企業にとっては大きな安心感に繋がっている。

ID基盤は様々なサービスの入り口となる重要な機能であり、外部からの攻撃対象として狙われやすい。セキュリティ専門企業としていかに安全性を担保していくかという点が課題となっていた。

コンテナセキュリティの担保に向け、提供機能・国内サポートの充実・導入実績に優れたAqua Platformを選択

同社のIDソリューション事業部では、コンテナ技術について、その運用効率の高さやデプロイサイクルの迅速化などが非常に有効であると判断して採用を行った。Uni-ID Libraのサービスもコンテナ環境をベースに構築されている。大島氏は、「コンテナ技術の採用を決定したタイミングで、コンテナセキュリティについても検討を開始しました」と話す。

コンテナセキュリティに関する製品・ソリューションの選定にあたっては「DevOpsのサイクルがさらに高速化する中、製品リリースの迅速化とセキュリティの担保という両面を満たすことができる対象を探しました。開発プロセスの中にセキュリティチェックの工程をきちんと組み込むことが重要と考えました」（大島氏）と話す。

こうして2019年11月、同事業部内で導入製品やソリューションを検討する担当者と共に、今回の要件に合致したコンテナセキュリティ製品・ソリューション候補の選定を開始。クリエーションライン株式会社（以下、クリエーションライン）が導入支援、技術サポートを行っているAqua CWPP（Cloud Workload Protection Platform、以下Aqua Platform）を含めた複数のソリューションについて比較検討を進めた。そして検討開始から約9ヶ月が経過した2020年8月、提供機能に加え、日本国内でのサポート面の充実や実績などを評価し、Aqua Platformの採用を決定。2021年4月には、無事に実運用を開始した。

Shift-Leftの原則に従い、コンテナのイメージスキャンによって開発ライフサイクルの早期の段階でのセキュリティ対策を実施

セキュリティ基盤としてAqua Platformが導入されたUni-ID Libraでは、AWS上のGitLab環境を使って開発からデプロイ、そして本番に至るサイクルが稼動している。

開発からデプロイの流れについて、奥秋氏は「Uni-ID Libraでは製品開発用、デプロイ用にそれぞれGitLab環境を利用しておりますが、Aqua Platformのスキャンジョブはデプロイ用のGitLabに組み込まれています。製品開発チームが開発用のGitLabでソースコードを反映すると自動でテストが行われ、テストをパスするとデプロイ用のGitLabに流れます。デプロイのプロセスの最初でコンテナを作成しプッシュすると、Aqua Platformのスキャンジョブが流れイメージスキャンが行われます。スキャン結果を運用担当者が確認して承認することで、開発（DEV）環境への反映が行われるという流れになります」と話す。

NRIセキュアテクノロジーズ
株式会社
IDソリューション事業部
セキュリティエンジニア
奥秋 知也 氏

開発（DEV）用、検証（STG）用、そして本番（PRO）用の３つの工程それぞれでAqua Platformのイメージスキャンと運用担当者による承認プロセスを実施することで、脆弱性を含んだイメージが各環境に反映されないようにする。「Shift-Left」の考え方に沿ったこの対応により、コンテナに混入した脅威を早期の段階で検出して排除することができる。

導入効果：専門企業としての確実なセキュリティの担保と素早いデリバリサイクルの実現、そしてお客様に安心して利用いただけるサービスの確立に向けAqua Platformが大きく貢献

セキュリティ基盤のコアとしてAqua Platformを活用しているUni-ID Libraは、実運用を開始して約1年半が経過するが、既に幾つかの導入効果が明らかになっている。

奥秋氏は、Aqua Platformの導入効果について次のように話す。
「私達がサービスをお届けする際、脆弱性が無いことをきちんと確認した上で、安心して提供できるようになった点が、Aqua Platform導入による最大の効果だったと思っています。日々脆弱性は増えていきますが、それに柔軟かつ迅速に対応していくことが重要です」（奥秋氏）。

大島氏は「私達は情報セキュリティ専門企業という立場があるため、言うまでもなくセキュリティの担保は最重要課題です。現在のように常に脆弱性が増えていく状況下では、いかに早くそれを検知しパッチを適用するなどの対策がとれるかが重要になると考えています。このためセキュリティの担保と自動化を含む効率化を両立できる仕組みが不可欠となりますが、Aqua Platform導入によってまさにこれらが実現され、お客様へのデリバリのサイクルも迅速化されたことが非常に大きな導入効果なのではないでしょうか」と話す。

さらに、クリエーションラインの貢献という点では「AWSのアプリケーションの実行環境であるFargateに関わるサポート機能について、どうしてもドキュメントだけでは理解できなかった部分を、クリエーションラインの担当者に質問させて頂き、迅速に解決することができました。また、Aqua Platformに関する直近の機能追加やその活用に関して説明を受ける場を設けて頂いた件は、非常に有用であったと感じています」（大島氏）と強調。奥秋氏も「システムの運用に携わるメンバーとしても、クリエーションラインのサポートにおける迅速な回答や対応に大変助けられたと記憶しています」と話す。

今後の展望：サービス基盤としてのコンテナ技術のさらなる活用に合わせ、Aqua Platformの適用範囲を拡大

今回の取り組みにおいて、Aqua Platformによる様々な導入効果を享受したNRIセキュアでは、既に今後の展開に向け検討を開始している。

大島氏は「IDソリューション事業部では、今後多くのお客様に提供していくシステム環境として、コンテナ技術のさらなる活用を考えていますが、そのセキュリティの担保や運用の効率化に向け、Aqua Platformの適用範囲を拡大していきたいですね。Aqua製品自体も次々にアップデート版が出てきており、その適用対象や利用できる機能もますます増えていくものと期待しています。私達の事業の拡大に合わせ、このようなAqua Platform利用の新たな可能性についても随時検討していきたいです」と話して、今回のインタビューを締めくくった。

情報セキュリティの専門企業として高い評価を受けるNRIセキュアが、自らの主要サービスの１つであるUni-ID Libraのコンテナセキュリティ担保に向け採用し、大きな導入効果を享受したAqua Platform。今後、同社がさらなる活用拡大を想定するコンテナ環境をベースとした様々な取り組みにおいても、Aqua Platformは十分にそのメリットを発揮し、安心して利用できるサービスの実現に向け貢献し続けるだろう。

取材日：2022年10月7日