Red Hat Summit
エモリー大学のセキュリティチームは、早急に対応する必要があるセキュリティ脆弱性を検知し、IT チームに警告しました。脆弱性などの問題が見つかると、500 台を超える Red Hat Enterprise Linux サーバーのパッチを手作業で修正するのに必要な時間はもちろんのこと、データ漏洩の可能性もあり、チームの通常業務やプロジェクト作業に大きな支障をきたすことになります。しかし、エモリー大学は Red Hat Ansible Automation Platform を使用して Playbook を作成し、すべてのホストの修復を自動化しました。結果として、本来なら全サーバーの修正に 2 週間かかるところ、たった 4 時間で完了させることができました。
メリット
- パッチアップデートを数週間ではなく数時間で完了
- 貴重なリソースをより価値の高いプロジェクトに集中させることが可能
- COVID-19 特有の課題に対するアジリティの強化
研究と教育を sudo の脆弱性から保護する
エモリー大学はアトランタ市内のキャンパスに 15,000 人の学生を擁する、米国で最も権威のある大学のひとつであり、世界各国の研究機関との研究提携や、ジョージア州最大のヘルスケアシステムの運営などを行なっています。
このように知名度の高いエモリー大学は、デジタルフットプリントを悪用して機密情報にアクセスしようとするサイバー攻撃者の恰好の標的となっています。脆弱性を利用して侵入されると、攻撃者がネットワーク内をひそかに移動して知的財産を奪い、気づかれないうちに逃げてしまうという懸念が生じます。また、教育機関はランサムウェアやその他のサイバー攻撃の標的にもなっています。1
同校の Office of Information Technology (OIT) は、学生、スタッフ、教員、研究者、その他の関係者のためにシステムを維持し、ネットワークとデータを不正なアクセスや潜在的なセキュリティ侵害から保護することを任務としています。そのため、2021 年 1 月に Red Hat チームが OIT に対し、オペレーティングシステムの sudo ユーティリティに影響を与える脆弱性がエモリー大学の Red Hat Enterprise Linux システムにあることを警告した際、同校は厳重な警戒態勢をとりました。
「脆弱性は当校のセキュリティチームによってランク付けされており、どのくらいの速さで修復しなければならないかがわかるようになっています」とエモリー大学 OIT のシステムエンジニアリング担当マネージャーの Steve Siegelman 氏は話します。 「我々のポリシーでは、より深刻なものは 30 日以内に修復する必要があり、それほど深刻ではないものは 60 日から 90 日で修復することになっています。今回の件では、パッチの適用に最優先で取り組む必要がありました。」
脆弱性の特定と対応策の策定
同氏とチームは、表側のアプリケーションやプログラムが確実に機能するようにバックエンドのシステムを機能させるという、いわば「見えない仕事をすること」に慣れていました。彼らは、エモリー大学のさまざまな IT チームの連携を支援するため、 Red Hat Ansible Automation Platform を単一の IT 自動化ソリューションとして使用しています。このプラットフォームでは、Red Hat Ansible Engine、Red Hat Ansible Tower、Red Hat Ansible Network Automation を Certified Content Collections、Automation Hub、Red Hat Insights for Red Hat Ansible Automation Platform などの新機能と共に 1 つのサブスクリプションで利用できます。これらの新機能は、より一貫性のある自動化エクスペリエンスをもたらし、エモリー大学のようなチームが大きな問題を解決するのに役立つよう設計されています。
sudo の脅威を発見した同校は、その危険な脆弱性にすぐに対応する必要がありました。
システムにアクセスできる人なら誰でも簡単に認証情報を昇格させ、管理者権限を取得できる可能性があったため、脆弱性が悪用された場合は、壊滅的なセキュリティ侵害に発展する可能性がありました。また、脆弱性の影響範囲は大学の複数の学部や事業部に及び、侵害に発展すると、被害は大学全体に拡大する可能性がありました。
「我々は中央の IT 部門として、多くの管理システムや機密性の高いコンピューティングを扱っているため、この問題を極めて深刻に受け止めました」と Siegelman 氏は振り返ります。
Ansible による自動化でセキュリティリスク改善を加速する
パッチアップデートを数週間ではなく数時間で完了
この潜在的な侵害に対するパッチを作成することは難しいことではありませんでしたが、大変だったのはそのパッチを適用することでした。
同校には Red Hat Enterprise Linux を搭載する 500 台を超えるサーバーがあるため、パッチを手動でインストールするのであれば、大学のインフラストラクチャを危険にさらす困難な道のりになると OIT は予想しました。そこで OIT は、解決策として Ansible Playbook を使用し、各サーバーにパッチを自動的に適用できるようにしました。結果として、本来なら全サーバーの修復に 2 週間かかるところ、たった 4 時間で完了させることができました。
「時間的に逼迫した状況にありました。しかし Ansible Automation Platform の優れたツールを使えば、このような大規模なプロジェクトでも簡単に処理できることを知りました」と Siegelman 氏は話しています。「Ansible Automation Platform のおかげです。自動化がなければ、この修正をタイムリーに行うことはできませんでした。」
貴重なリソースをより価値の高いプロジェクトに集中させることが可能
エモリー大学が Ansible Automation Platform を導入したのは、数年前にアプリや IT インフラストラクチャを自動化するツールを探していた時のことでした。「いろいろ検討しましたが Ansible Automation Platform が答えであることがすぐにわかりました」と Siegelman 氏。「トレーニングは徹底的に行われ、システムを標準化し、安定させ、できる限りの自動化を行うという我々の目標に見合うものでした」。
Ansible Automation Platform はまずエモリー大学の財務システムに使用され、次に学生用のシステムや人事システムに展開されました。「自動化は非常に重要な機能です。他の多くの組織と同様に、我々にもこれまでと同じ人数のスタッフでより多くのことをすることが求められています。反復的な作業を人間ではなく Ansible Automation Platform に任せることで、スタッフはより重要なプロジェクトに集中できるようになります」とSiegelman 氏は語ります。
Ansible により、IT スタッフはサービス移行と COVID-19 の課題への対応に集中できる
エモリー大学のインフラストラクチャの多くはオンプレミスですが、同校では数多くのプログラムやアプリケーションをクラウドに移行させています。Ansible Automation Platform を使って自動化できる作業を自動化すると、クラウド移行プロジェクトにより多くの実践的な作業を投入できます。
このシステムの柔軟性を示す例として、2020 年 3 月にエモリー大学では、ほぼすべての学校や組織と同様に、同校の建物を閉鎖し、学生やスタッフは在宅で作業を行うことを余儀なくされました。エモリー大学では、ロックダウン中にキャンパスにいる必要のある人を確認するため、トラッキング機能を備えたコントロールを必要としていました。
必要不可欠な従業員をトラッキングし、それが誰なのかを把握し、また健康管理やトレーニングの実施などを管理する新たなタスクを処理するために、迅速に導入できるデータベースサーバーが必要だと OIT は考えました。
選ばれた従業員はアンケートに答える必要があり、その内容がシステムに反映されると、キャンパス内に入るための許可書を受け取ることができます。この設定をサーバー上で手動で行うとしたら、数日はかかってしまう作業になります。「Ansible Automation Platform を使用した結果、ほんの数分で完了させることができました」と Siegelman 氏。「バックエンドの自動化が持つ力の大きさを思い知りました」。
自動化は文化的な変革を促し、IT イノベーションを促進する
エモリー大学では、今後も自動化を中心とした計画が進められ、とくにクラウドへの移行にあたって自動化は不可欠になります。「当校には新旧のビルドが混在するレガシーシステムがあり、AWS プラットフォームに関連して多大な労力を費やしています」と Siegelman 氏。「異なるシステムが混在する場合でも、Ansible Automation Platform でプロセスを標準化し、反復可能にすることができます。プラットフォームがクラウドでもオンプレミスでも、すべてが正常に機能します」。
OIT はサーバーへのパッチ適用やサーバーの設定を行うために Ansible の自動化を利用してきましたが、クラウドへの移行を進める中でさらに多くのことを行おうと考えています。エンタープライズ・リソース・プランニング (ERP) のアップグレードには、サーバーの構築や、セキュリティ、標準、ログインなどのエモリー大学が必要とするカスタマイズを行うために何時間もかかっていました。しかし Ansible Automation Platform を導入することで、OIT スタッフのタスクに対する考え方が変わりました。
「まず何を自動化できるかと考えるようにしています」と Siegelman 氏は言います。「Ansible Automation Platform を使って、Windows や Linux を使用する既存のサーバーに新しいセキュリティツールを追加していますが、このタスクは難なく実行されています。ちょっとしたプロビジョニングで、新たにデプロイするものすべてに自動的に追加することができます」。
エモリー大学では、PeopleSoft ERP インフラストラクチャをアップグレードする必要が生じた際にも、別の実装が行われました。OIT は Ansible Tower と Red Hat Satellite サーバーをセットアップした後に、サーバーの自動更新用パッチの月次パケットを編成し、作成しました。「Linux サーバーへのパッチの適用を 30 日ごとに実行できるとは誰も思っていませんでしたが、Red Hat Ansible Automation Platform を使えばそれが可能であり、それは我々にとって必要なことでした。」
エモリー大学について
エモリー大学は、要求水準の高い学業、優れた学部教育、ランクの高いプロフェッショナル・スクール、最先端の研究施設で知られています。同大学は、9 つの学術部門に加え、カーターセンター、ヤーキス国立霊長類研究センター、マイケル・C・カルロス博物館のほか、ジョージア州の最大かつ最も包括的なヘルスケアシステムであるエモリーヘルスケアを擁しています。
