ラック(西本逸郎社長)は、ハシコープジャパン(デビッド・マクジャネット社長)とパートナーシップを結び、ハシコープの認証情報管理ソリューション「Vault(ヴォルト)」の販売および導入支援を開始した。パブリッククラウドを利用したシステムから、パスワード等の認証情報が誤って漏えいする事故が発生しているが、Vaultを活用することで、マルチクラウド環境でも安全なシステム構築・運用が可能になる。

 ハシコープの奥るみセールスディレクターは、「認証情報がソースコードに“ベタ書き”されている、ログファイルに出力されているなど、適切に管理されていない企業が多い」と指摘。このような状態のまま、パブリッククラウドやソースコード共有ツールの活用が進んだことで、意図せず認証情報が流出し、情報漏えいやシステムの不正利用につながるケースが多発しているという。
 
(左から)ラック SIS事業統括部の鈴木真人氏、倉持浩明常務CTO、
米ハシコープ ブレンドン・ワイツAPJチャネルディレクター、
ハシコープジャパン 奥るみセールスディレクター

 Vaultは、パスワードやAPIトークン、電子証明書といった認証情報を、ユーザーに代わって一元管理するソフトウェア。ユーザーとクラウドの間に入り、有効期限付きのID・パスワードを自動生成する仕組み。万一、認証情報が漏えいした場合も、有効期限が切れていれば不正アクセスの恐れがないほか、必要な場合はIDを直ちに無効化できる。認証情報の管理は、AWSの「Key Management Service」やAzureの「Key Vault」など主要パブリッククラウドの機能としても提供されているが、Vaultはマルチクラウドに対応しているのが特徴。また、証明書のライフサイクル管理機能も搭載しており、有効期限切れによるトラブルや、更新作業の属人化を防げる。

 ラックでCTOを務める倉持浩明常務は、デジタルトランスフォーメーション(DX)の機運によって、企業によるアプリケーションの開発・更新サイクルが加速するとともに、マルチクラウドの活用が進んでいることから「IPアドレスベースのセキュリティ対策は限界にきている」と指摘。ITインフラの境界でアクセス権を管理する従来の考え方から、認証情報を動的に制御する「IDベースのセキュリティ」へのシフトが必要なほか、開発・運用プロセスの中に最初からセキュリティ対策を組み込む「DevSecOps」の考え方が求められると強調した。

 ハシコープはクラウド環境用の各種DevOps支援ツールを開発しており、これまで日本市場ではクラウドインテグレーターを中心としたパートナー経由で提供していたが、DXに向けてハイブリッド/マルチクラウド化を進める金融・流通などの業種でも同社製品のニーズが高まると判断。基幹システム開発とセキュリティで経験豊富なラックと組むことで、大手企業への導入を加速したい考え。(日高 彰)