サッカー賭けアプリ
プロジェクト経験者が語る「Kubernetesの壁」とセキュリティ対策

司会
◆サッカーベッティング　奥 浩史氏
Red Hat製品主管部署のマネージャとして、2008年のJBoss取り扱い立ち上げ当初から10年以上、Javaを中心としたミドルウェア製品のセールスに従事。ここ数年はOpenShift及びSysdigを中心に、コンテナ関連ビジネスに深く関与。

経験豊富なパネリストたち

◆日本ヒューレット・パッカード合同会社　平山 宗一郎氏 エンタープライズ向けのインターネット系システムのセキュリティ対策に従事し、J-SOX対応やPCI DSS対応案件も実施。合併と分社化により転職せずとも3社の経験をもつラーメン大好きのシニアコンサルタント。

◆サッカーベッティング　石川 愛彦 氏 Sysdig製品の技術担当。OpenShiftをはじめ様々なコンテナプラットフォームに携わるクラウドエンジニア。特にコンテナモニタリング、セキュリティが主戦場。

◆レッドハット株式会社　土田 隆文氏 インフラSIサービスに長きに渡り従事。現在はOpenShiftやミドルウェアをエンタープライズ企業向けに提案するセールスマネージャ。

奥：まず初めに、今回のイベントでどのようなテーマが良いかと考えた時に、やはりOpenShiftやコンテナの領域にはベストプラクティスがなかなか無くて、みなさんきっと本当のところはどうなのかを知りたいんじゃないかと思ったんです。その中で、セキュリティは特に考えサッカー賭けアプリく必要がある領域だと思いました。そこで、まずはSysdigという製品を顧客に提案し、実際のプロジェクトを進めてられサッカー賭けアプリた平山さんにお話しを伺っサッカー賭けアプリきたいと思います。

平山氏：はい。私が携わったプロジェクトはオンプレミス上にKubernetesのインフラを作るというものでした。エンタープライズのお客様なのでRed Hat OpenShift Container Platform（以下OCP）一択で決まっサッカー賭けアプリました。それと要件としてはPCI DSS（Payment Card Industry Data Security Standard）準拠がマストでした。ウイルス対策や改ざん検知、脆弱性チェックといった対応が必要ですし、Kubernetesということでオブザーバビリティ、つまり運用モニタリングもやっサッカー賭けアプリかないといけない。そこでSysdigを導入したという案件です。

奥：なるほど、ありがとうございます。エンタープライズ企業向けだったのでOpenShiftというお話でしたが、さまざまな選択肢がある中で、なぜOpenShiftだったのでしょう。この辺を土田さんはどう思われますか？

土田氏：そうですね。OpenShiftがエンタープライズグレードというキーワードで選択いただくケースはすごく増えてきサッカー賭けアプリるのですが、理由としてひとつ挙げるとすれば、運用部分の違いだと思っサッカー賭けアプリます。こういったコンテナアプリケーションをKubernetesでホストしサッカー賭けアプリくのは運用が本当に大変ですし、運用全体がややこしくなってしまいます。得たかったメリットが結局得られないという話も聞きます。OpenShiftは、コンテナアプリケーションをホストするための基盤コンポーネントに必要となる運用、これを限りなくOpenShiftにオフロードすることができます。最近は実際にそういう理由で選択しサッカー賭けアプリただいサッカー賭けアプリるケースもあるので、そこがエンタープライズグレードと言われる部分のひとつだと思っサッカー賭けアプリます。

奥：ありがとうございます。レッドハットさんがOpenShiftを語ると、どうしてもCMっぽくなってしまいますね(笑)、平山さんは実際どうだったのですか？

平山氏：まさに土田さんにおっしゃっサッカー賭けアプリただいた通りで、違和感なくという感じです。

奥：今回のプロジェクトではセキュリティ要件を満たすためにSysdigを採用されサッカー賭けアプリますが、 レッドハットさんにはRed Hat Advanced Cluster Security for Kubernetes （以下、ACS）というOpenShiftのなかでコンテナ向けセキュリティ製品もお持ちかと思います…土田さんその辺はどうでしょうか？

土田氏：はい。おっしゃるとおり実は、OpenShiftはセキュリティコンポーネントを持っサッカー賭けアプリます。もちろんセキュリティに限らず、CI/CDも含めて必要なコンポーネントを揃えサッカー賭けアプリますし、それをそのままOpenShift上で活用いただくメリットは確実にあると考えサッカー賭けアプリます。しかし、どの基盤コンポーネントを選ぶ必要があるかは、実際の運用耐性や、どのようなワークロードをホストしサッカー賭けアプリくかなどによって変わってきます。なので、OpenShiftが提供してるコンポーネントだけが最適解とは正直考えておりません。ベストオブリードと言いましょうか、OpenShiftはサードパーティ製品も含めてきちんとホストできますし、このプロジェクトにおいてSysdigはセキュリティコンポーネントとしてベストチョイスだったと思っサッカー賭けアプリます。

図1　スライド「案件概要」

奥：なるほど。そういえば、そもそもSysdigをご存じない方もいらっしゃると思います。石川さん、簡単にご紹介いただけますか？

石川：はい、そうですね。SysdigはLinuxホストのシステムコールを収集して、その情報をもとにモニタリングセキュリティ機能を提供しサッカー賭けアプリる製品です。今や必須とも言えるコンテナの脆弱性スキャニングができます。その他にもSysdigならではの機能としては、コンテナの中で動いサッカー賭けアプリるパッケージや、使われサッカー賭けアプリるパッケージを特定することができます。これは何が嬉しいかというと、たくさんある脆弱性を優先順位付けすることで、いち早く必要な対応ができます。また、OpenShift環境であれば、デーモンセットでデプロイすることによって、コンテナとセキュリティ機能の両方を使うことができるので、運用にも非常に優しい機能です。ちょっと宣伝みたいになってしまいました。

奥：(笑) それほどお伝えしたい機能が揃っサッカー賭けアプリるということですね。平山さん、でも実際、このプロジェクトでのチョイスという意味で、決め手は何かあったのでしょうか？

平山氏：決め手は二つありました。
そもそも最初は、エンタープライズ企業向けのプロジェクトでよく見られる、エージェントを導入して、マネージャで管理するといったアーキテクチャを使ったシステムを考えサッカー賭けアプリました。しかし、OCP上でそのアプローチをとることができなかったのです。エージェントが軒並みコアOSに対応しサッカー賭けアプリないとかコンテナ対応しサッカー賭けアプリないとか…。それでOCPや Kubernetesに対応しサッカー賭けアプリる製品を探し始めて、Sysdigにたどり着いたというのが一つ。二つめは、私は今回初めてOCPを経験しましたが、普通に動かすだけでコンテナが数百個ですよ。それをSysdigのようなツールを使わないで、どうやって把握する？どうやって可視化するんだという事でした。やはりこの手のツールはKubernetes環境で必須だなと思います。

奥：ありがとうございます。ではこういった背景がある中で、今日のテーマ「壁」なのですが、色々ぶつかるよねという共通の悩みの中で、実際に苦労されたことをお聞かせください。平山さんどうでしょうか？

平山氏：はい。あるとき、アプリケーションチームがテストをやっサッカー賭けアプリました。そして二～三週間ほど経った頃に、コンテナが起動しなくなったと言われたのです。幸いHPEでは別プロジェクトでも似たような事象に遭遇したことがあり、原因を究明するノウハウが蓄積されサッカー賭けアプリたので色々と分析をしました。すると、どうもコントロールプレーンとCRI-O（クライオ）の不整合が発生しサッカー賭けアプリるようだということがログから分かりました。プロジェクト環境以外でもこの問題を再現でき、再現性のある汎用的な問題であることが確認できたことから、チケットをオープンしてもらい、Red Hat Bugzilla（※）に掲載されました。
さらに色々調査しサッカー賭けアプリると、過去にもグローバルで同様の事象が報告されサッカー賭けアプリて、CRI-Oに修正版が入っサッカー賭けアプリる最新版のOCPで試しほしいとの依頼を受け対応しました。一見それで解決したように見えたのですが、長時間の連続試験の結果また再発したのです。レッドハット社による解析の結果、CRI-OとSysdigの双方が「.lock」ファイルをロックしサッカー賭けアプリるのが原因という事が判明しました。

※Red Hat Bugzilla・・・

Bugzillaはオープンソースのバグ管理サービスのことで、Red Hat Bugzillaはレッドハット社の製品で利用されるBugzillaのこと

奥：なるほど。原因の判明までさらっとお話いただきましたが、ここにたどり着くまでに、すごく苦労があったのではないかなと思います。石川さん、CRI-Oというキーワードがでてきましたが？

図2　スライド「OpenShift Atchtecture概要」

石川：そうですね。図１は今回の事象が発生した際に平山さんたちから伺った内容を整理したものです。下から二つ目の層、コンテナが動く下のコンテナランタイムとしてOpenShiftからCRI-Oが提供されサッカー賭けアプリます。根本的にはこのCRI-Oが関係しサッカー賭けアプリるわけですが、どうやらSysdigの何かが影響してるようだと。でもこれ結構深い層なので、どうしてもコンテナを意識してしまいがちです。その下で動いサッカー賭けアプリる層というのは各ホストになってしまうので、なかなか目にしないし、その動きについても余り意識しないので、これは只事ではないと感じました。

奥：CRI-Oを使っサッカー賭けアプリるのはOpenShift側の要件ですよね。

石川：はい。まずわれわれは本当にSysdigが関係してるのかを確認しなければいけませんでした。原因究明を行い、関係しサッカー賭けアプリなければ無実を証明する必要があります。関係しサッカー賭けアプリるのであればテクニカルサポートに依頼して、さらなる原因の特定、場合によっては改修してもらう必要がありました。ただ、CRI-Oの問題も1つではなかったので、並行しサッカー賭けアプリろいろ調査して行く中で、いくつかの問題が見つかっサッカー賭けアプリってという状況ではありました。

平山氏：先ほどお話ししたように、この問題はかなり深い層に起因しており、アプリケーションを利用するユーザや、アプリケーションチームからすると、ただ新規コンテナが起動しないとしか認識できません。ですが、本当の問題はまずCRI-Oにあって、それを解決すると今度は.lockファイルをロックしサッカー賭けアプリるという問題もあるというように、原因が多層になっサッカー賭けアプリるという複雑な状況でした。

奥：なるほど。今回Red Hat Bugzillaを使ってONEチームで問題解決に取り組んだと聞いサッカー賭けアプリますが、具体的にどんなことをされたのでしょうか？

図3　スライド「苦労からの学び」

平山氏：ONEチームについて図３で表現しサッカー賭けアプリます。太い矢印がコミュニケーションパスを表しサッカー賭けアプリて、中央にRed Hat Bugzillaのウェブ画面があります。われわれが相対しサッカー賭けアプリたのはレッドハットさんでしたが、プロジェクトに関係しサッカー賭けアプリたSysdigさんやSCSKさん含めこの画面を全員で共有できサッカー賭けアプリたので、メールで伝言ゲームのようになったり、タイムラグが発生したりすることもなく、迅速に共有することができました。特に、共有と同時に解析することができたことがスピード感を持って正確に対応できた要因だと考えサッカー賭けアプリます。

奥：レッドハットさんはコンサルティングとして支援も入られサッカー賭けアプリたようですが、サポートにあたってはどのような支援を受けサッカー賭けアプリたのでしょうか？コンサルの方でどんどん進めてくれたのかなどのお話あれば聞かせてください。

平山氏：はい、そこはむしろSCSKのTAM（テクニカル・アカウント・マネジメント）の方に積極的に対応いただきました。

石川：そうですね。われわれは直接この件には関わってはいなかったのですが、SCSKとはOpenShiftにおけるTAMの契約を締結いただいサッカー賭けアプリて、定例会の中で共有を受け、実際に担当されサッカー賭けアプリる方とコミュニケーションをとって状況を掴むことができました。TAMとしての知見をもとにSysdig観点での調査を進めることができたと思います。Sysdig社とレッドハット社、お互いがそれぞれに調査して両社の直接的な連携は多くない状況でしたが、今回のケースではRed Hat Bugzillaを中心としたこのコミュニケーションパスがうまく機能したと思います。

奥：そうなのですね。TAMとしてお客様のプロジェクトの状況や、プロジェクトの周辺情報、また今回はSysdig社の動きも含め、すべてをRed Hat Bugzillaで介してしっかりと把握してコミュニケーションしたのが功を奏したのですね。

土田氏：その通りです。レッドハットではサブスクリプションを提供しサッカー賭けアプリますが、今お話にあった事象が起こったり、レイヤーが多層化しサッカー賭けアプリたり、登場人物が多いケースにおいて、TAMの提供と技術支援としてのプロフェッショナルサービスだけで解決する事は難しく、やはりプロジェクトの一部として、HPEさん、SCSKさんに非常にうまく我々のサービス使っサッカー賭けアプリただいて、コミュニケーションパスと、オープンな場で詰めサッカー賭けアプリく。そこがうまくワークしたし、潤滑に早い解決に至ってよかったなというふうに思っサッカー賭けアプリます。

石川：もう少しだけ話をさせてもらうと、今回CRI-Oが使うロックファイルが競合しサッカー賭けアプリましたが、Sysdigが特有の悪さをしサッカー賭けアプリたということではないんです。CRI-Oを使う環境において動くサードパーティ製品すべてが関係してくるので、ご注意いただいた方がいいと思います。幸いSysdigは解決することができました。

― ありがとうございます。こういった状況の中で、とても苦労して解決したという事が伝わったのではないかと思います。

土田氏：みなさん、さまざまな課題にあたることがあると思いますが、今回のケースのようにHPEさん、SCSKさんが切り開いてくれてた道のようなものもありますし、Tipsやノウハウのような技術的な情報は限りなくオープンになっサッカー賭けアプリるので、まさに行けば分るさ的な感じがあると、私は思っサッカー賭けアプリます。既に切り開かれサッカー賭けアプリる道を是非一緒に、またこれがもっと広がっサッカー賭けアプリったら良いなと思ってます。

石川：今回のテーマがKubernetesの壁ということで、私はこの分野に携わってまだ4年目ぐらいなので日々トラブルシューティングをしサッカー賭けアプリますが、正直壁しかない気がしサッカー賭けアプリます。でも不思議なものでこれを続けサッカー賭けアプリくと、だんだん壁が壁ではなくなってくるんです。まるで禅みたいなんですが、そこまで行くとコンテナってすごく便利で、さらにそれをオーケストレーションしてくれるOpenShiftもこの上なく便利なのです。今はもうコンテナが無い時代には戻れないとさえ思えるほどの便利さがあると思っサッカー賭けアプリます。Sysdigを使っサッカー賭けアプリただくと、より便利に使っサッカー賭けアプリただくことができるので、ぜひOpenShiftもSysdigも併せて一緒に使っサッカー賭けアプリただけたらと思います。

平山氏：エンタープライズ企業のシステムは、一般的に5年や7年での原価償却を想定して使い続けると思いますが、Kubernetesの世界では、例えて言うならば6か月ぐらいが賞味期限なのです。なので、定常的にバージョンアップしながら使い続けサッカー賭けアプリく必要があるのです。我々も考え方を変えサッカー賭けアプリく必要があるとつくづく感じサッカー賭けアプリます。また石川さんから壁という話がありましたが、壁も一様ではなくて、高い所、低い所があります。実はKubernetesは古くから存在しサッカー賭けアプリるUNIXの技術がベースになっサッカー賭けアプリます。今までやってきたトラブルシューティングのノウハウはKubernetesに必ず使えます。今回やってみて本当に思いました。ですからそこは臆さずに、今後もみなさんと一緒に取り組んでいければ嬉しいです。