IBM Software Site Reliability Engineering(SRE)組織は、IBM Cloud、AWS、Microsoft Azure、Google Cloud Platformなどの複数のクラウド・プラットフォームにまたがるIBMのSoftware as a Service(SaaS)およびマネージド・サービス・プラットフォームの信頼性とセキュリティーを担当しています。Software SREチームは、世界中のさまざまな業界の数百もの企業に、多様なSaaSソリューションを提供しています。
プラットフォームの広さと複雑さのため、多くの一般的な脆弱性とエクスポージャー(CVE)が潜在的に関連しており、緩和する必要があるかもしれません。さらに、アップタイムを守るために、何千ものアプリケーション証明書を適切に維持しなければなりません。
IBM SaaSソリューションのパフォーマンスとセキュリティーをサポートするために、どのCVEを緩和する必要があるか、またどの証明書を更新または交換する必要があるかを正確に判断することは、Software SREチームの仕事です。最近まで、これは多くの手動での作業を意味していました。「一晩で1,000~2,000件のCVEが山積みになっていました」とIBM SaaSプラットフォームのサイト信頼性エンジニアであるMarc Velascoは言います。「情報の干し草の山のようなものです。私たちの課題は、本当にパッチを当てる必要のあるCVEという針をどうやって見つけるかということです」
これまで、Software SRE チームは、業界の他の多くのSREチームと同じようにCVEの課題に取り組んでいました。Palo Alto Prisma Cloudの一部である強固なソフトウェアを使用して、関連する可能性のあるCVEを報告していました。そして、それぞれプラットフォームの特定の領域を担当する別々のチームが、CVEを手動で分析して、その領域の優先順位とアクションを決定していました。また、各チームは、組織の自動証明書管理システムでカバーされていない証明書を手動で検索し、削減する必要もありました。
この作業にはかなりの時間を費やしました。リソースが有限であるため、各チームは常に効率的である方法を模索していました。「SREの数は限られています。どうすればすべての情報を実行可能なものに変え、優先順位をつけることができるでしょうか」とVelascoは言います。
そこで、IBM Concertの登場です。
ソフトウェアSREチームはConcertツールを使用して、CVE分析と証明書インベントリーの作成を自動化します。
CVE分析を行うために、チームはスキャン・データをTwistlockからConcertに投入し、脆弱性に対処するための具体的かつ実行可能な提案を含む概要をCVEごとに生成します。また、各CVEがIBM SaaSプラットフォームのすべての領域にどのように関連しているかを示す対話式マップも生成します。
「Concertは相互参照を行い、コンテキスト情報を提供します。CVEはこれ、それに関連するリスクはこれ、軽減策はこれ、適用可能性はこれ、といった具合です。これは本当に役に立ちます」とVelascoは言います。「これまでは、さまざまなチームがそれぞれ独立して同じ作業を行っていましたが、Concertにより連携し、情報を集約できるようになりました」。
Velascoは、チームがIBM watsonxプラットフォームを搭載したConcertチャット機能を使用して、CVEによってもたらされる実際のリスクについての理解を深めているとも述べています。このより深い知識により、優先順位付けを加速し、最も重要な項目に迅速に対処できるようになります。「IBMのSREチームは、これまで答えられなかった質問をすることができます。組織全体、IBMソフトウェア全体、さまざまなチーム、テクノロジー、アプリケーションにわたるリスクの状況はどのようなものでしょうか。Concertを使用すると、特定のアプリケーションについて、具体的にどのコンポーネントまたはパッケージが実際にリスクをもたらしているか、またその程度はどの程度かを確認できます。ランタイムを含むソフトウェア開発ライフサイクルと本番環境全体にわたる潜在的な影響を見られるのです」。
証明書については、チームは現在Concertを使用して、既存の証明書を管理対象証明書のリストと照合しています。このソリューションは、管理対象外の項目を自動的に検証し、期限切れの証明書や管理対象外の証明書についてチームに警告します。
最後に、ソフトウェアSREチームは、JIRA、ServiceNow、Gitなどのツールと統合されたConcertのワークフロー管理機能も使用しています。この機能により、チケットの割り当てと管理が効率化され、緩和策が必要な場合に迅速に対応できるようになります。
Concertを使用する前は、ソフトウェアSREチームは通常の1週間で、CVEのトリアージ、分析、および修復に約90人時を費やしていました。Concertを使い始めて最初の6週間で、チームは週平均80人時かかっていた手作業を削減し、CVE軽減プロセスを以前よりも90%以上速く完了しました*。
証明書のインベントリー管理には、1カ月あたり約4.5時間かかっていましたが、Concertを使い始めて最初の1カ月で、これらのプロセスを約5分で完了しました。これは実に、98%の時間短縮*です。
多くの時間を節約することで、チームはIBM SaaSソリューションのサポートにより多くの時間を割くことができます。「最大のメリットは拡張性です」とVelascoは言います。「リソースを拡大し、より多くのリスクに迅速に対処することができます。つまり、SREは自動化やコーディングに集中し、ホスティングサービスの信頼性を向上させることができるのです」
*既存のマネージド・サービスまたはSaaSサービス、既存のCVEスキャン・ツール、プロセス、証明書管理ツールを使用してパブリッククラウド上に展開しているチームから収集されたデータ。各チームは、さまざまなクラウド・プロバイダーとスキャン・ツールおよびプロセスからのデータを報告していました。データは、推定、証明書の平均分析量、平均週次CVE量および分析ワークロードに基づくものでした。
IBM Software SRE組織は、IBM ソフトウェア製品向けに可用性と拡張性の高い実稼働SaaSを提供することに重点を置いたグローバル・チームです。Software SREチームは、ツール、プロセス、自動化、ランブック、プラクティスを標準化することで、インシデントのプロビジョニング、展開、監視、保守、および管理を行っています。Software SRE チームは、IBM Software開発チームと密接に連携して変更を設計・実装し、ソフトウェア・ライフサイクル全体を通じてレジリエントなサービスを提供しています。
© Copyright IBM Corporation 2024.IBM、IBMのロゴ、IBM watsonx、およびConcertは、米国およびその他の国または地域におけるIBM社の商標または登録商標です。本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国または地域であっても、特定の製品を利用できない場合があります。
Microsoft、Windows、Windows NT、Windows のロゴは、米国、その他の国、またはその双方におけるMicrosoft Corporationの登録商標です。
引用または説明されているすべての事例は、一部のクライアントがIBMの製品を使用し、達成した結果の例として提示されています。他の運用環境における実際のパフォーマンス、コスト、節約、またはその他の成果は異なる場合があります。