「すべてブラウザから」
クラウドサービスの便利さを表現するためによく使われる表現だ。AWS などの PaaS によって Web ブラウザから手軽に、IT インフラの設定や変更ができるようになった。しかしその便利さに管理やガバナンスがまだ追いついていない。
2017 年には米大手メディア、ウォールストリートジャーナルの購読者名簿 220 万件が、想定していないユーザから閲覧可能な状態になっていたことが判明。AWS 上に購読者名簿を保有、非公開領域に置かれていなかったことが原因だ。
セキュリティにおいては情報共有が重要だ。特定業界ごとに設立された ISAC や、各社の CSIRT が集まった日本 CSIRT 協議会など、さまざまな情報共有の試みがなされている。
こうしたなか、PaaS の運用に関する面白い情報共有の取り組みとして注目されているのが NTTドコモだ。同社が提供する「ドコモ・クラウドパッケージ」について、株式会社NTTドコモ イノベーション統括部 クラウドソリューション担当 担当課長 住谷哲夫氏、同 中村拓哉氏、同 守屋裕樹氏に話を聞いた。
●ドコモがクラウドを使いこなすノウハウを結集
ドコモが、いちユーザーとして培ってきた、クラウドの導入・構築・運用管理に関するノウハウをワンパッケージ化したという「ドコモ・クラウドパッケージ」とはどんなサービスなのか。
最初に驚いたのは初年度 19 万円というそのサービス料金だ。1,000万円、2,000万円といったある程度の予算規模でクラウド関連案件の受託やコンサルティングを行うような従来型のビジネスモデルではないことがまずわかる。
AWS や Azure、GCP などのクラウドサービスを企業で活用する際の、ガイドラインやデザインパターン等々のドキュメント群こそがドコモ・クラウドパッケージの本体である。
2009 年からNTTドコモは、AWS の業務利用を開始した。2012 年には AWS 上に構築した音声検索サービス「しゃべってコンシェル」を開始している。
「しゃべってコンシェル」サービス開始まで、さまざまな試行錯誤の末、AWS 活用のポイントやルールなど、いくつかのガイドラインを同社は作成した。そして、社内やさまざまなユーザーコミュニティで、そのガイドラインとそれに基づく情報共有をはじめたのがドコモ・クラウドパッケージのはじまりだったという。
「是非自社で使いたい。NTTドコモさんが作った、そのガイドラインを売ってもらえないか」
ガイドラインの存在を噂で知ったり、講演で聞いた人物から、そんな声がかかるようになるまであまり時間はかからなかった。
2015 年、ドコモ・クラウドパッケージとして正式に提供を開始、幸い発売直後からすぐにユーザーがついた。やがて AWS だけでなく、Azure や GCP などマルチクラウド対応も進めた。
面白いのは、決してサービスラインナップ拡充の目的が最初にあって、Azure や GCP 等のマルチクラウド対応したのではないという点だ。そもそも NTTドコモ社内で AWS以外のPaaS利用の要望が多く、対応せざるを得なかった、対応したらガイドラインは作らざるをえず、せっかく作ったのならこれもサービスに加えよう、という順番だ。
ガイドラインの数はどんどん増えていった。現在は総数約 10 件弱を数える。日々進化しつづけるクラウドサービスに対応し、10 件弱のドキュメントは、それぞれ最低でも、年に2回はメジャーアップデートを行う。
●本家のベストプラクティスを日本の実運用環境にあわせて解説
そんなドコモ・クラウドパッケージだが、そもそも AWS 自身がベストプラクティス集である「Well-Architected Framework」を公開しており、その日本語版も存在している。
しかし「Well-Architected Framework」は、ありとあらゆるユースケースが網羅的にすべて記載されており、文字情報中心で、文体もとっつきにくい抽象的表現。自社の現在の課題にあったケースを、ユーザーがさっと探し出すようなことはかなり難しい。
ドコモ・クラウドパッケージは、AWS の「Well-Architected Framework」や、NICT のクラウド利用のガイドライン等、さまざまな関連するリソースを NTTドコモの技術者が読み込みながら実運用を行う過程で培った、さまざまなノウハウや気付きをパワーポイントを中心したファイル形式で提供される。概念図や表が多く使われ、直感的・視覚的に理解しやすい体裁だ。
提供開始するとほどなく、AWS のイベント等で、当の AWS がドコモ・クラウドパッケージを紹介するなど公式にも認められた。多種多様な国家や地域、産業や事業者に向けて抽象化して作成している「 Well-Architected Framework 」に対し、ドコモ・クラウドパッケージは通信事業者、エンタープライズ企業の観点・ユースケースで、具体的により分かりやすくガイド化した 1 つの回答になっている。
●本来公開したくない失敗事例も
ドコモ・クラウドパッケージで特徴的なのは、運用の中での失敗事例も含めて、必要と思われる要素をすべてドコモ・クラウドパッケージに盛り込んだことだ。
冒頭に挙げた海外メディアの情報漏えいのような致命的な事故はもちろん一度たりとも発生していないが、運用の中で経験した失敗についても公開し、今後二度と発生しないように対応策を記載している。そうした情報こそセキュリティの情報共有においては要となる。それがサービスの信頼や共感につながっていく。
●ドコモ・クラウドパッケージをコアとした情報共有体制
ドコモ・クラウドパッケージは初年度 19 万円、翌年以降は毎年 10 万円という料金体系。ドキュメント集なのに買い切りになっていない理由は、先に述べた通り、日々進化しつづけるクラウドサービスへの対応とアップデートだ。毎年最低でも 2 回、多いと 4 回は更新される 10 件弱のドキュメント群の利用権を年間 10 万円で使い続ける、いわばビジネスデータベースのようなサービスだ。
サービス提供を開始すると、ドコモ・クラウドパッケージのユーザー企業たちによる、自社のクラウド活用方法の、各種勉強会やセミナーでの自然発生的情報共有がはじまった。これは、NTTドコモも必ずしも予想していなかったことだという。そうやってなされた利用者によるフィードバックは、ふたたびドコモ・クラウドパッケージに反映されていく。将来、ドコモ・クラウドパッケージは、単なるデータベースやドキュメント集ではなく、情報共有基盤・コミュニティを形成していく可能性もあるかもしれない。
ドコモ・クラウドパッケージはこれまで累計 400 社が契約、現在のユーザーは約 300 社。ビッグビジネスではないが、サービス開始直後からコンスタントにユーザーが存在し増え続けている。
●導入先の産業と部門、情報通信産業を中心に幅広い産業が利用
クラウドパッケージは、クラウドサービスのユーザーなら、どんな業界でも絶対に守らなければいけないベースライン集だ。ユーザー企業で最も多い業種は情報通信だが、その範囲は金融・保険・IT・コンサル・製造・インフラ・公共など幅広い。
導入部門で多いのは「情報システム部門」「セキュリティ部門」のふたつ。すでにクラウドを試験的に活用開始しているものの、ガイドラインができていないためスピード感のある全社展開ができない、あるいは現業・開発部門などで展開しつつあるクラウド利用に早急に統制をかけたい、といった動機が多い。
●ドコモ・クラウドパッケージ3大活用事例
ドコモ・クラウドパッケージには大きく分けて3つの活用例があるという。
1つは「社内ガイドライン」だ。情シス子会社がグループ企業のガイドライン作成の叩き台に利用したり、金融系企業が FISC 要件に対応するためのベースラインとしたり、クラウド利用のガイドライン作成時のベースとして活用されるという。ドコモ・クラウドパッケージを叩き台として、業界団体や業種特有の規制項目などを、そこに追加していく。すでにIT利用のガイドラインが存在する場合は、これまでのオンプレミス中心の場合と、クラウドの場合で、どこに差分があるかをあぶり出すために利用できる。
2つめの活用例は、社内他部門や経営層などに向けた「説明資料」だという。クラウドを使いたいけれども、まだ使えていない企業が、ドコモ・クラウドパッケージをもとに「ドコモはこんな風にうまいこと活用している」と、社内で説得するために用いるという。
3つめが新入社員などの「社員教育・研修資料」だ。ドコモ・クラウドパッケージを自社基準に合わせて改訂し、単なる社内ガイドライン以上の強制力を持つルールとして研修時などに配付するという。なお、ドコモ・クラウドパッケージはユーザー企業による改変が自由。各国語に翻訳して海外拠点に配付するといった利用も可能だ。
--
「ドコモ・クラウドパッケージは私たちの技術水準やクラウド運用能力をベンチマークし続ける目的もあります」
これは、取材がすべて終了したあと、帰り際に、ささやかれた言葉だ。
あけすけに言えばドコモ・クラウドパッケージは、所詮はいちユーザー企業の運用ノウハウに過ぎない。いかにドコモというブランドがあっても、その内容と水準が他社をはるかに凌駕していなければ、わざわざお金を払って買う企業など現れるべくもない。そういうことだ。現在のところその水準は名だたるエンタープライズ企業 300 社によって認められているが、努力し続けなければノウハウは陳腐化する。
「 NTTドコモはクラウド利活用において国内トップレベルの技術者集団であり続ける」そんなエンジニアとしての志とプライドを感じる言葉だった。
担当課長 住谷 哲夫 氏、同 中村 拓哉 氏、同 守屋 裕樹 氏
なおNTTドコモは、セキュリティを軸にドコモ・クラウドパッケージの特長と活用法を紹介する、特別編集資料「クラウド導入企業が抱えるセキュリティ不安と解決策」を現在公開している。要登録だが無料でダウンロードできる。
特別編集資料「クラウド導入企業が抱えるセキュリティ不安と解決策」
目次
1.クラウド導入では、セキュリティが一番不安!?
(1)クラウド導入で運用者が抱える3つの不安
(2)3つのセキュリティリスク
2.セキュリティの ”もしも” に備える事前準備
(1)事前準備が必要な理由とは
(2)インシデント発生の”もしも” に備える事前準備とは
(3)導入~運用まで、フェーズに合ったセキュリティ対策
3.もしも…インシデントが起こってしまったら?
(1)インシデントが起こってしまったら
(2)8つのインシデント別初期対応
(3)インシデントの事後対応
4.クラウドのセキュリティ管理に不安があるなら『ドコモ・クラウド・パッケージ』で解決
>> 特別編集資料「クラウド導入企業が抱えるセキュリティ不安と解決策」無料ダウンロード
