サーバー監視、セキュリティのトレンドなど最新の話題がいっぱい! 「第23回さくらの夕べin大阪」レポート

第23回さくらの夕べin大阪

2015年2月27日に、大阪で開催された「第23回 さくらの夕べin大阪」に参加してきました。
大阪では半年ぶりの開催で、100人近い方々が参加されました。
今回は、株式会社はてな(以下、はてな)のサーバー管理サービス「Mackerel(マカレル)」や、ウェブペイ株式会社の決済サービス「WebPay」についてご紹介します。

「Mackerelによる簡単サーバー管理入門」

はてなのCTO、田中慎司さんに「Mackerel」を紹介していただきました。Mackerelは、はてなが2014年9月にリリースしたクラウド型(SaaS)のサーバー管理ツールです。

はてなCTO 田中慎司

サーバーを複数管理している個人や会社にとって、サーバーの管理や運用などの手間は面倒だし煩わしいものです。できれば、サーバーの保守にはあまり手間をかけたくないでしょう。
そんなニーズにマッチするサービスがMackerelです。
Mackerelはクラウド型のサービスなので、インストールの手間がパッケージソフトに比べて少なく、比較的簡単に始めることが可能です。サーバー群を一括で監視できるので、運用や保守にかかる人件費を削減できます。

いままでにも「Zabbix」や「Nagios」といったオープンソース型のサーバー監視ツールはありました。しかしインストールや設定が複雑で、それなりに運用の知識が必要であり、導入に時間がかかったり、あまりインターフェースが洗練されていなかったりという課題がありました。
また、「サーバー監視をするためのサーバー」が必要という問題点もあります。
クラウド型サービスのMackerelは監視サーバーを自前で用意する必要がなく、ユーザーが所有する、監視したい対象の各サーバーにAgentをインストールすることで、サーバーを監視できます。

現在のところ、Mackerelが対応している監視対象のサーバーOSは以下のとおりです。
・CentOS 5/6
・Debian 6/7
・Windows(アルファ版)
・Mac
・ARM版

監視できるリソースは、CPUメモリ使用率ロードアベレージなどです。それに加えてJVMAWS RDSELBの状況も監視できます。サーバーの資源だけではなく、例えばWebサーバーのアクセスごとのステータスコード(404 not foundの数)などもカウントしてグラフ化できます。
サーバー異常時にアラートを送る宛先は、メール、Slack、HipChat、Webhook、Chatworkを指定できます。
監視対象のサーバーが複数になる場合、それぞれのリソースは積み重ねグラフとして表示できます。
ある日、監視対象のサーバー群の1つを廃止しても、そのサーバーのリソースグラフが全部消えてしまうことはなく、履歴として残るので、サーバー全体としてどれだけのリソースが減ったかの差分を視覚的に確認することができます(オートスケール対応)。

おもしろいと思ったのは、埋め込みグラフ機能です。
Mackerelの管理画面では、もちろん監視対象のすべてのリソースグラフを見ることができますが、特に注意して見たいグラフを別のページに埋込表示させることができます。
例えば特定のサーバーのリソースだけをチェックしたいとか、あまりサーバーのことがわからない上司にロードアベレージだけを見せるといったプレゼンをするときに便利ですね!

Mackerel 埋め込みグラフ機能

Mackerelは毎週のように新しい機能をリリースしており、どんどん進化していますので、今後のパワーアップが楽しみです。

Mackerelについては去年のさくらの夕べでも、はてなの田中さんに登壇していただいています。こちらも合わせてご覧ください。
はてなの田中CTOがMackerelを語る!第18回さくらの夕べ 開催レポート

「クレジットカードのためのセキュリティ標準入門」

次はウェブ決済、アプリ決済サービスの「WebPay」を運営するウェブペイ株式会社(以下、ウェブペイ)CEOの久保渓さんのお話です。

ウェブペイ株式会社 久保渓

WebPayの最近のニュースと言えば、2014年2月に「LINE Pay」がウェブペイを100%子会社化したことが話題になりました。

[参考]LINE、決済サービスを提供するウェブペイを買収

巨大なユーザー数を抱えるLINE PayにWebPayの技術が使われることで、今後、WebPayプラットフォームが大きく飛躍することが予想されます。

最近では、サービスが稼働しているシステムが外部から攻撃されたり、セキュリティの不備を突かれたりすることによる個人情報の漏えい事件が世間でたびたび発生しています。
特にクレジットカード番号は、守られるべき情報として厳重に管理されなければなりませんが、カード番号の漏えいも実際に起こり、賠償問題に発展しています。しかしネットショップやアプリなどのサービスを提供する立場としては、顧客の個人情報を厳密に管理することは工数もコストもかかる問題です。セキュリティを高めることだけに腐心していれば競争力のあるサービスが作れなくなり、経営の体力がどんどん失われていきます。
そこで、セキュアでコストパフォーマンスの良い決済サービス事業者とうまく連携して、自社では顧客のクレジットカード番号を保管しないソリューションが登場しています。
WebPayは2013年にサービスを開始して以来、高度なセキュリティの確保とサービス開発者にとって実装しやすいAPIを提供することで、人気上昇中の決済サービスです。

今回初めて耳にしたのですが、クレジットカードを扱う業者に対して、PCI DSSというセキュリティ基準があります。
PCI DSSは300以上ものチェック項目があり、例えば「データセンターに監視カメラを設置すること」「ネットワークは適切にセグメント化されること」「通信を暗号化すること」など、項目の一つひとつはかなり具体的です。

本来ならば、決済事業者だけでなく、ネットショップなどのクレジットカードを取り扱う会社もこのPCI DSSに準拠していることが望ましいのですが、現実的にはこの膨大な数の基準項目に一般の企業が対応するのは困難です。
それならば、逆に「決済にクレジットカードを使うWebサービスやアプリは、生のクレジットカード番号を扱わずに決済すればよい」という発想で、生のカード番号はサービス提供者では取り扱わず、WebPayがカード番号を管理するという仕組みを構築しています。
ネットショップなどサービス提供者は、カード番号の代わりにランダムな文字列を並べたトークンで決済をやり取りします。

WebPayのトークン決済

実際にカード番号漏えい事件が発生しているのは、ほとんどのケースがPCI DSSに準拠していない通信経路上やサーバーからの漏えいであり、その危険な部分をトークンに置き換えられるというのは安全な取引をする上で大きな意味を持ちます。

余談ですが、久保さんが語ってくれたクイズは興味深いものでした。
ユーザーのクレジットカードを表示する場合は、マスクするべきなのは上位12桁で、実番号は下4桁を表示するのがクレジットカードのレギュレーションだそうです。
もし、あなたが開発にかかわっているサービス内で、顧客のカード番号を隠して表示していても、それが下4桁以外であれば、カード情報が漏えいしてしまう可能性があるのでご注意ください!
逆に、あなたのサービスがレギュレーションに準拠して、カードの下4桁のみ表示していても、上位12桁を明らかにしている別のサービスを同じユーザーが使っていれば、組み合わせで16桁すべての番号が漏えいしてしまいます。

クレジットカードの一部を隠す表示方法1クレジットカードの一部を隠す表示方法1

WebPayについては、ウェブペイCTOの曾川さんが、さくらのナレッジに寄稿されているので、興味がある方はそちらもご覧ください。
2014/7/24 決済にまつわるセキュリティの話 第1回 クレジットカードセキュリティ入門
2014/11/11 決済にまつわるセキュリティの話 第2回 PCIDSS取得のためのクラウド選定

「さくらのクラウドのサービス紹介」

さくらインターネット研究所 所長の鷲北 賢さんに、さくらのクラウドのサービス概要を紹介していただきました。

さくらインターネット研究所 所長 鷲北

さくらのクラウドは、さくらのVPSをさらに進化させたサービスで、2011年から運用が開始されており、さくらのVPSと同様に開発者志向でシンプルなものになっています。
さくらのクラウドではVPSと違って、たくさんのサーバーを追加したり削除したりすることが容易にでき、サーバーのCPU数、メモリ、ストレージのサイズをあとから変更することもできます。
将来的にスケールアウトするかもしれないサービスならば、VPSよりも、さくらのクラウドを選んでおけばサーバーの性能をあとから強化できるので安心です。
クラウドのサーバーは北海道・石狩のデータセンターで運用されており、「インスタンス」という言葉よりもサーバーという概念を大切にしたいという考えだそうです。実際に物理的なサーバーを操作するイメージのサービスにしたかったからとのことです。
さくらのクラウドでは、スペックに応じていろいろな料金プランがありますが、一番安い1コアでメモリ1GBのプランが月額1,954円です。さくらインターネットが主催するイベントでは、よく2万円分のクーポンがもらえるので、10カ月くらいは無料で使うことができ、おすすめです。

サーバー自体のサービスのほかに、別のサービスとの連携ができるのも興味深いところです。
さくらのクラウドのサービス内だけでなく、石狩データセンターに存在する専用サーバーやリモートハウジングのサーバーとレイヤー2レベルの接続ができるので、セキュアなネットワーク環境を構築できます。
サーバーの起動や停止、プラン変更などの基本的な操作は、さくらのクラウドコントロールパネルから行うことができます。APIも提供されているので、コマンドラインからサーバーを起動・停止したり、プランを変更したり、コントロールパネルでできることと同様の操作が可能です。
Sandbox機能があるので、試しにサーバーを作ったり消したりすることができます。また自作のスタートアップスクリプトをサーバー作成時に動かすことで、自分に必要なアプリケーションがインストールされたサーバーを作ることもできます。
VPCルータ機能では、VPN接続などのセキュアな方法で遠隔地からさくらのクラウドのサーバーに接続することができます。

ネットワークの構成は以下の写真のようにグラフ表示でき、マウスのドラッグ&ドロップで線をつないだり付けかえたりできるのは便利ですね。直感的でわかりやすいサーバー管理ができそうです。

さくらのクラウド 直感的で分かりやすいネットワークグラフ

最近では、さくらのクラウドの1つのアカウントについて、複数のユーザーを登録して運用できる仕組みを導入したそうです。

さらに、2015年3月1日から、オブジェクトストレージのサービスをリリースしています
AmazonのS3互換サービスになっており、さくら内のサービスから利用する限りは転送量課金が無料となっています。

サーバーのデータバックアップによさそうですね。

さくらのオブジェクトストレージ

懇親会

1時間半で3名の方にお話しいただいたあとは隣りの部屋で懇親会が開催されました。
懇親会は1時間ちょっとの短い時間でしたが、多くの参加者で賑わい、参加者のライトニングトークもあり盛況でした。
参加者の方に感想を聞いたところ、「本日登壇された、その道の有名な方と直接お話ができ、名刺交換させていただけたのでうれしかった」という声をいただきました。
私自身も多くの方と名刺交換や交流ができて、とても有意義でした。

さくらの夕べin大阪 懇親会

「さくらの夕べ」は大阪だけでなく、東京やその他の地域でも開催されています。今後のイベント予定はさくらインターネット広報のtwitterアカウント@sakura_prをフォローしてチェックしましょう!