[事例ニュース]

2023年9月12日(火)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　NTTドコモは、個人ユーザー向けに提供しているSaaS「データ保存 BOX」と「d フォト」のシステム基盤を刷新した。400台の仮想サーバー環境をコンテナ/サーバーレス環境に切り替え、2023年2月より稼働を始めている。システムアーキテクチャの変更に伴い、両SaaSを再構築している。

コンテナ環境への移行でシステム維持コストを削減

　従来の稼働基盤は、Amazon Web Services（AWS）の仮想サーバー「Amazon EC2」とオブジェクトストレージ「Amazon S3」で構成していた。大規模なシステムで、仮想サーバー数は400台に及んでいた。OS/ミドルウェアのバージョンアップやメンテナンスなど運用管理にかかる負荷とコストが課題だったという。

　今回、仮想サーバーで担っていた機能を、コンテナ/サーバーレス環境に切り替えた。具体的には、コンテナ環境「AWS Fargate」とサーバーレス環境「AWS Lambda」を用いてシステムのアーキテクチャを刷新した。メリットとして、システム維持コストの削減に加えて、新規サービスを短期間かつ安価に立ち上げられるようになった。

複数のセキュリティ機能を単一の管理コンソールで運用

　コンテナ/サーバーレス環境への移行に伴い、従来のセキュリティ対策製品がコンテナ/サーバーレス環境では動作しなくなったことで、合わせて刷新している。パロアルトネットワークスの「Prisma Cloud」（図1）を導入し、同製品のCWPP（クラウドワークロード保護）機能を利用している。

図1：「Prisma Cloud」の構成図（出典：パロアルトネットワークス）
拡大画像表示

　CWPP機能により、ソフトウェアの脆弱性を突いた攻撃やマルウェア感染などへの対策を講じている。同機能はエージェントレスにも対応するが、より安全に運用するために、コンテナに組み込むエージェントを用いてOS/ソフトウェアを保護している。

　CWPPは、脆弱性攻撃やマルウェアを検出してブロックする。また、システム環境をスキャンし、利用中のソフトウェアに脆弱性が含まれるかをデータベースと照合・検出する仕組みも備える。また、本番環境のみならず、デプロイ前の開発段階でも脆弱性を検出する。

　Prisma Cloudの利点としてNTTドコモは、単一製品で複数の機能を網羅していることを挙げる。「単体の製品を複数組み合わせる方法もあったが、その場合は、導入時の学習コストが増えるほか、複数の管理コンソールを使うことで運用コストがかさんでしまう」（同社）。

　今回導入したCWPPは、同社が利用したい機能群を網羅しながらも1つの管理コンソールで運用できる。今後、追加でCSPM（クラウドセキュリティ状態管理）などを導入する際にも、共通の管理コンソールで利用可能である。