【Chatwork株式会社】
ビジネスチャットサービス事業を運営するChatwork コンテナセキュリティ強化を目的にPrisma Cloudを導入

メール・電話・会議に代わるビジネスチャットツール「Chatwork」を提供するChatwork株式 会社は、コンテナ環境に構築されたサービス基盤のセキュリティ強化を目的にパロアルトネット ワークスの「Prisma Cloud（旧名：Twistlock）」を導入した。コンテナの運用管理にKubernetes を利用するにあたってセキュリティ面に課題があることを認識していた同社では、アプリケーショ ンのパフォーマンスを低下させることなくセキュリティ状況を可視化できるソリューションとして Prisma Cloudに注目。コンテナ環境のセキュリティ強化や運用効率向上といった効果が得られ ているという。

Chatwork株式会社は2000年、現・代表取締 役CEO兼CTOの山本正喜氏が大学在学中に兄と 共に創業した企業だ。2011年にクラウドベース のビジネスチャットツール「Chatwork」を開発し、 サービスの提供を開始。2012年には社名を C h a t w o r k へ 変 更 す るととも に 、事 業 を Chatworkに一本化。顧客は全世界で24万 9,000社（2020年1月末日時点）を超えている。 現在はChatworkを中心に、チャットで手軽にバッ クオフィス業務を依頼できる「Chatwork アシス タント」、助成金申請をサポートする「Chatwork 助成金診断」、電話を代理で受けてチャットに流す 「Chatwork 電話代行」などのサービスも展開し ている。

そんな同社では、ビジネスチャットツールのア プリケーションが稼働するシステム基盤のコンテ ナ 化 を 進 め て い る。コンテ ナ 技 術 によって Chatworkの開発をスピードアップし、ソフトウェ アを効率的にデプロイすることが目的だ。新機能・ 新サービスのアプリケーションからコンテナを採 用し始め、徐々に適用範囲を拡大させている。

コンテナ技術を採用するにあたり、同社は一抹の不安を抱えていたという。それはコンテナのセキュリティ対策だった。

「当社では、Amazon Web Services（AWS） のVPCにKubernetesクラスタを構築している のですが、Pod（Kubernetesでコンテナを管理 する最小単位）から秘密情報を保管しているデー タベースへアクセス可能な状態になっていまし た。そこでPodのデプロイ可能なワーカーノード を固定し、AWSのSecurityGroupで制限をかけ ることで対応していました。しかしこの方法では ワーカーノードの利用効率が下がるという課題が ありました」（Chatwork 開発本部　SRE部 尾 﨑耕多氏

　　Chatworkでは上述した課題に加え、Kubernetesクラスタやコンテナ内部を可視化できてお らず、セキュリティインシデントの発生を見逃すお それがあることも危惧していたという。

　　「Kubernetesクラスタを更新したときにどのク ラスタでアプリケーションが動作しているのかすぐ にわからず、すべてのクラスタ、ネームスペースに 対してアプリケーションが動作しているかを確認 する必要がありました。また、コンテナの中身が可 視化できておらず、問題のあるコンテナが動作す る危険性もありました。CVE（Common Vulnerabilities and Exposures）の情報に基づいて優先 度を付け脆弱性の対応を行っているものの、大き な問題でなければ見逃すなどの問題もありました」 （Chatwork 開発本部 SRE部 坂本諒氏）

　　　こうしたKubernetesとコンテナの課題を解決 するために、Chatworkではオープンソースの Kubernetesモニタリングツール「Falco」を導入 し、コンテナログを収集していたという。しかし、ロ グは取得できても、セキュリティインシデントの監 視・通知・遮断などのアクションは取れていない。そ こでコンテナセキュリティソリューションを本格的 に探し始めたという。そうした中、同社の目に止 まったのがパロアルトネットワークスの「Prisma Cloud」だった。

　　「コンテナセキュリティを導入するにあたり、当社で はコンテナのパフォーマンスが低下することなく、当 社が採用する運用管理フローに乗せられるといった 要件を重視してソリューション選定を行いました。比 較検討の結果、それらの要件を満たしていたのが Prisma Cloudでした」（尾﨑氏）

　　ChatworkがPrisma Cloudの評価版を取り寄 せて検証を行ったのは、2019年8～9月のこと だった。

　　「Prisma Cloudはルール作成が煩雑なFalco と違い、機械学習ベースでルールを自動作成する 機能が用意されています。ファイアウォール機能 も実装されており、評価検証の結果、当社が抱え ていたコンテナセキュリティの課題を解決できる と判断しました。さらにコスト面の優位性も決め手 となり、Prisma Cloudを採用することに決めまし た」（坂本氏）

　Chatworkは11月に本採用を決定し、同社の 運用管理フローに合わせてチャートを書き換える などの導入作業を開始。販売代理店のマクニカソ リューションズの協力も得ながら、段階的に導入 を進め、途中で評価版ライセンスから正式版ライ センスへと切り替えた。

　　Prisma Cloudの導入後は、コンテナセキュリ ティの課題が一気に解決したという。

　　「Prisma Cloudを導入した結果、当社が実現し たかったKubernetesクラスタやコンテナ内部を 可視化してセキュリティを強化するという目的を達 成することができました。Kubernetesワーカー ノードの運用効率も期待通りに向上し、非効率な ノードを見つけてAWSの利用料を削減するという 効果も得られています」（坂本氏）

　　　「KubernetesのRBAC（Role-Based Access Control：ロールベースアクセス制御）を 含めたセキュリティ構成を見直せるようになり、ポ リシーに反するコンテナを自動的に閉じるなど SRE（Site Reliability Engineering）運用の 拡大にもつながっています。セキュリティ対策を コンテナ作成者まかせにすることもなくなりまし た。当初は、社内にセキュリティ専任チームがない ためにうまく運用できるかという不安もありまし たが、それも杞憂に終わりました」（尾﨑氏）

　　　Prisma Cloudの運用を開始したChatworkで は現在、同社の運用管理フローに乗せる形で各種 ルールの作成に引き続き取り組んでいるという。

　　　「Kubernetesクラスタを構築するときにルー ルのエクスポート/インポート処理を自動化する仕 組みなどを利用していきたいと考えています。 Prisma Cloudに実装されているすべての機能を 把握できているわけではないため、利便性の高い 機能を順次取り入れて利用していく予定にしてい ます」（坂本氏）

　　将来に向けたPrisma Cloudへの期待も高い。 　「Prisma Cloudは、コンテナセキュリティを実 現するためのデファクトスタンダードになり得る製 品だと思います。Kubernetes関連のセキュリ ティは急成長している領域であるので、今後も Prisma Cloudを使ったセキュリティのベストプ ラクティス、設定しておくべきルールなど、積極的 な情報発信にも期待しています」（尾﨑氏）

　　クラウドネイティブアプリケーションを構築する ためにコンテナ技術を採用する事例が増える中、 コンテナセキュリティの課題をいかにして解決して いくかという部分に注目が集まっている。 Chatworkの取り組みは、特に国内では一歩先を ゆくものであり、Prisma Cloudをいち早く採用し た日本のアーリーアダプター事例として参考にな るものだと言えるだろう。