IBM Software SRE(サイト信頼性エンジニアリング)組織はIBM Concert Protectを使用してリスクをより効率的に軽減
IBM® Software Site Reliability Engineering(SRE)組織は、IBM Cloud、AWS、Microsoft Azure、Google Cloud Platformなどの複数のクラウド・プラットフォームにまたがるIBMのSoftware as a Service(SaaS)およびマネージド・サービス・プラットフォームの信頼性とセキュリティーを担当しています。Software SREチームは、世界中のさまざまな業界の数百もの企業に、多様なSaaSソリューションを提供しています。
プラットフォームの広範さと複雑さから、多くの共通脆弱性識別子(CVE)が関連する可能性があり、対処が必要になる場合があります。さらに、アップタイムを守るために、何千ものアプリケーション証明書を適切に維持する必要があります。
IBM SaaSソリューションのパフォーマンスとセキュリティーを支えるために、どのCVEに対処する必要があるか、またどの証明書を更新または交換する必要があるかを正確に判断することは、Software SREチームの仕事です。最近まで、これには多くの手作業が必要でした。「一晩で1,000~2,000件のCVEが山積みになっていました」と、IBM SaaSプラットフォームのサイト信頼性エンジニアであるMarc Velascoは述べています。「干し草の山に落ちた針を探すようなものです。私たちの課題は、情報の山の中から、本当にパッチを当てる必要のあるCVEという針をどう見つけるかです」
以前、Software SREチームは、業界の他の多くのSREチームと同じようにCVEの課題に取り組んでいました。Palo Alto Prisma Cloudの一部であるTwistlockソフトウェアを使用して、関連する可能性のあるCVEを報告していました。そして、プラットフォームの特定の領域をそれぞれ担当する別々のチームがCVEを手動で分析し、各領域の優先順位とアクションを決定していました。また、各チームは、組織の自動証明書管理システムでカバーされていない証明書を手動で検索し、対処する必要もありました。
この作業にはかなりの時間がかかっていました。リソースには限りがあるため、同チームは常に効率を高める方法を模索していました。「この作業に投入できるSREの数には限りがあります。では、どうすればそのすべての情報を、実行可能で優先順位付けされたものに変えられるのでしょうか」とVelascoは述べています。
そこで登場したのが、IBM® Concert Protectです。
Software SREチームはConcert Protectを使用して、CVE分析と証明書インベントリーの作成を自動化します。
CVEについては、チームがスキャン・データをTwistlockからConcert Protectに取り込みます。Concert Protectは、各CVEの概要を生成し、脆弱性に対処するための具体的かつ実行可能な提案も提示します。また、各CVEがIBM SaaSプラットフォームのすべての領域にどのように関連しているかを示す対話式マップも生成します。
「Concertは相互参照を行い、コンテキスト情報を提供します。CVEはこれ、それに関連するリスクはこれ、軽減策はこれ、適用可能性はこれ、といった具合です。これは本当に役に立ちます」とVelascoは言います。「これまでは、さまざまなチームがそれぞれ独立して同じ作業を行っていましたが、Concertにより連携し、情報を集約できるようになりました」。
Velasco氏は、CVEがもたらす実際のリスクについての理解を深めるために、チームがIBM watsonxポートフォリオのAI製品を活用したConcert Protectのチャット機能を使用していると付け加えています。このより深い知識により、優先順位付けを加速し、最も重要な項目により迅速に対処できるようになります。「IBMのSREチームは、これまで答えることができなかった質問をすることができます。組織全体、IBM Software全体、そして多様なチーム、テクノロジー、アプリケーションにわたる当社のリスク・ポスチャーはどのようなものか。Concert Protectを使用すると、特定のアプリケーションについて、具体的にどのコンポーネントやパッケージが実際にリスクをもたらしているのか、またその程度がどの程度なのかを確認できます。ランタイムを含む、ソフトウェア開発ライフサイクル全体と本番環境への潜在的な影響を確認できます」
証明書については、チームは現在Concert Protectを使用して、既存の証明書を管理対象証明書のリストと照合しています。このソリューションは、管理対象外の項目を自動的に検証し、期限切れの証明書や管理対象外の証明書についてチームに警告します。
最後に、Software SREチームは、JIRA、ServiceNow、Gitなどのツールと統合されたConcert Protectのワークフロー管理機能も使用しています。この機能により、チケットの割り当てと管理が効率化され、緩和策が必要な場合に迅速に対応できるようになります。
Concert Protectを使用する前、Software SREチームは通常の1週間で、CVEのトリアージ、分析、修復に約90人時間を費やしていたと推定しています。Concert Protectを使い始めてから最初の6週間で、チームは週平均80人時間の手作業を削減し、CVE対処プロセスを以前より90%以上速く完了しました*。
証明書のインベントリー管理には、1カ月あたり約4.5時間かかることがあります。Concert Protectを使い始めて最初の1カ月で、これらのプロセスを約5分で完了しました。これは実に、98%の時間短縮*です。
多くの時間を節約することで、チームはIBM SaaSソリューションのサポートにより多くの時間を割くことができます。「最大のメリットは拡張性です」とVelascoは言います。「リソースを拡大し、より多くのリスクに迅速に対処することができます。つまり、SREは自動化やコーディングに集中し、ホスティングサービスの信頼性を向上させることができるのです」
*既存のマネージド・サービスまたはSaaSサービス、既存のCVEスキャン・ツール、プロセス、証明書管理ツールを使用してパブリッククラウド上に展開しているチームから収集されたデータ。各チームは、さまざまなクラウド・プロバイダーとスキャン・ツールおよびプロセスからのデータを報告していました。データは、推定、証明書の平均分析量、平均週次CVE量および分析ワークロードに基づくものでした。
IBMSoftware SREチームは、IBMソフトウェア製品向けに可用性と拡張性の高い実稼働SaaSを提供することに重点を置いたグローバル・チームです。ツール、プロセス、オートメーション、ランブック、プラクティスを標準化することで、インシデントのプロビジョニング、展開、監視、保守、および管理を行っています。Software SRE チームは、IBM Software開発チームと密接に連携して変更を設計・実装し、ソフトウェア・ライフサイクル全体を通じてレジリエントなサービスを提供しています。
© Copyright IBM Corporation 2024. IBM、IBMのロゴ、IBM watsonx、Concert、およびIBM Concert Protectは、米国およびその他の国または地域におけるIBM社の商標または登録商標です。本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国または地域であっても、特定の製品を利用できない場合があります。
Microsoft、Windows、Windows NT、Windows のロゴは、米国、その他の国、またはその双方におけるMicrosoft Corporationの登録商標です。
引用または説明されているすべての事例は、一部のクライアントがIBMの製品を使用し、達成した結果の例として提示されています。他の運用環境における実際のパフォーマンス、コスト、節約、またはその他の成果は異なる場合があります。