Skip to main content

利用したHashiCorpの製品

IIJカスタマーストーリー

HashiCorp Vault Enterpriseで全社横断のシークレット管理を標準化

高度な技術力と“運用の会社”としての文化を持つインターネットイニシアティブ(IIJ)社は、複雑化する社内基盤におけるシークレット管理の標準化に取り組みました。オンプレミスでの運用やDR構成、既存ツールとの親和性といった厳しい要件を満たしたHashiCorp Vault Enterpriseを採用し、全社的なセキュリティと自動化の基盤として整備を進めています。

  • 国内初のインターネット接続事業者として創業
  • バックボーンネットワーク稼働率 99.999%
  • 大手・中堅企業、官公庁を中心とした顧客約16,000社
  • シークレット管理の標準化
  • 部署を横断したアクセス制御を容易に
  • エンジニアの自発的な情報発信で普及

IIJ

株式会社インターネットイニシアティブ(本社:東京都千代田区、代表取締役 会長執行役員 Co-CEO 鈴木 幸一、代表取締役 社長執行役員 Co-CEO & COO 谷脇 康彦)は、日本初の国内インターネット接続事業者として創業。高い技術力と自社データセンターを基盤に、ネットワークサービス、クラウド、セキュリティ、システムインテグレーションなど幅広い領域で事業を展開し、社会のデジタルインフラを支えている。

「日本初」を創りつづけるパイオニアの矜持と巨大プラットフォーム

インターネットイニシアティブ(以下、IIJ)は、社名が示す通り、インターネットの技術革新をリードしています。「日本初」となるサービスには商用インターネット接続サービス、IPv6商用実験サービス、フルMVNOサービスなどがあり、幾度となくネットワークの新時代を切り拓いてきました。IIJはインターネット技術に関する豊富な知見、日本最大規模のインターネットバックボーンや最新技術を駆使したデータセンターといった大規模設備と運用力、ITサービス開発力、そして技術革新や社会貢献に向けて果敢に挑戦する社風といった強みがあります。現在では社会のデジタルインフラを支え、データ駆動社会の実現に向けて幅広く取り組んでいます。

IIJの社内インフラには、閉域ネットワーク、ベアメタルサーバー、仮想サーバー、Kubernetesなど多種多様な環境が混在しています。そのなかでも「IKE(IIJ Kubernetes Engine)」は巨大なKubernetesクラスターで、マルチテナント方式により複数のプロジェクトや部署で共有されています。このIKEの運用を担当しているのがネットワーク本部SRE推進部です。Kubernetes クラスターに加え、ロードバランサー、オブジェクトストレージ、モニタリングシステム、コンテナレジストリなど、IKEとその周辺システムを整備し、かつIKEを利用する同社の開発者たちが安全かつ効率的にサービスを開発・提供できるように支えています。

ユースケース1:個別最適化された管理から統合・標準化へ

IIJは職人気質なエンジニアの技術力に支えられ、高度なサービスや高い稼働率を実現しています。一方、サービスや技術スタックが多岐にわたるがゆえに、シークレット管理は個別最適化が進み、管理手法が断片化しやすい状況でした。これは各現場で生産性を妨げ、リスクをともなうものです。IIJ ネットワークサービス事業本部 ネットワーク本部 SRE推進部 シニアエンジニア 鈴木高彦氏は「内部統制やセキュリティガバナンスの観点からも、決して望ましい状態ではありませんでした」と話します。

そこでSRE推進部では、部門やプロジェクトを問わず統一的に利用できるシークレット管理システムの導入を検討しました。現場のエンジニアから強く求められていたのは、オンプレミス環境で運用できること。鈴木氏は「シークレットは機密情報の最たるものです。それをクラウドに置くことに強い抵抗感がありました」と語ります。加えてDR(災害復旧)構成がとれること、社員の異動や退職にスムーズに対応できるようにMicrosoft Entra ID(旧Azure AD)と連携できること、さらにTerraformやAnsible、GitHubなど既存のツールと容易に連携できることを要件としたとき、これらをすべて満たせるものはHashiCorp Vault Enterprise(以下、Vault Enterprise)だけでした。

今回、IIJが導入したVault Enterprise では、地理的に分散した 2 つのデータセンター間でレプリケーションを行うDRレプリケーション構成を採用しています。各サイトには3台構成のVaultクラスターを配置し、障害発生時にも継続して利用できる冗長性を確保しました。また、全社的な基盤として運用するため、ユーザーが複数の部署やテナント(Namespace)にまたがって所属できるよう、Root Namespaceに従業員のEntityとEntra IDを連携する外部グループを配置しています。テナント側には、Root Namespaceのグループをメンバーとする内部グループを設けることで、部署横断のアクセス管理を実現しています。

ユースケース2:「トップダウン」ではなく「知的好奇心」や「審美眼」で広める

Vault Enterpriseの導入後も、稼働中のプロジェクトへの適用のタイミングは各現場に判断を任せました。鈴木氏は「トップダウンで号令をかけるのではなく、現場のエンジニアそれぞれが本当に有用だと評価すれば、自ずと活用が始まります。そのため、利用ガイドやサンプルコードなどのドキュメント整備に力を入れました」と語ります。自社のエンジニアたちの気質をよく理解した上での普及戦略をとり、鈴木氏自身も「Vault は設計が非常にロジカルで、利用すれば納得できるプロダクトです。エンジニアが理解しやすく、説明しやすい。よくできていると感じました」と評価しています。

ドキュメントの整備以外にも、HashiCorpのエンジニアを招いた勉強会の開催、相談窓口の設置、権限管理のシンプル化など、情報提供をはじめとして“興味を持ってくれた人のやる気を削がない”工夫を重ねました。すると、利用をはじめたエンジニアが社内ブログやクチコミを通じて良さや効果を発信しはじめ、じわじわと確実に社内で普及していきました。

HashiCorp Vault Enterpriseを採用して得られた成果:

  • シークレット管理の統一と標準化
  • DR構成によって災害時でも継続利用できる堅牢な基盤を確保
  • 部署を横断したアクセス制御を容易に
  • エンジニアの生産性向上
  • 社内で自発的に普及するサイクルを実現

Vault Enterprise の導入により、IIJ 社内のシークレット管理は統一的な基盤へと大きく成長しました。今後SRE推進部では、この基盤をより多くのサービスや開発チームが安全かつ効率的に利用できる環境づくりを進めていく考えです。

その取り組みとして、IIJ ネットワークサービス事業本部 ネットワーク本部 SRE推進部長 田口景介氏はさらなる「運用の高度化」を見据えています。現在はキーバリューストア(KVS)としての利用が主ですが、今後は動的なシークレット発行、GitHub ActionsをはじめとしたCI/CD基盤との統合強化、アプリケーションに暗号化機能を提供するTransit Secrets Engineの活用など、Vaultのポテンシャルをさらに引き出していく方針です。特に、手作業が多くミスが許されない証明書管理において、PKIエンジンとVault Agentを組み合わせた自動ローテーションを推進することで、運用負荷の劇的な低減を目指しています。

「IIJは本質的に“運用の会社”です」と田口氏は強調します。地味ながらも過酷になりがちな運用業務を、Vaultを起点とした徹底的な自動化によっていかに“楽”にするか。その飽くなき追求が、同社のインフラ品質を支え、エンジニアがより創造的な仕事に集中できる運用環境に近づけます。

ソリューション

IIJでは、部門やプロジェクトを横断して利用できる統一的なシークレット管理基盤として、HashiCorp Vault Enterpriseを採用しました。オンプレミスでの運用、DR構成の実現、Entra IDとの連携、既存ツールとの高い親和性といった要件を満たし、全社的に安全で一貫したシークレット管理を行うための中核システムとして位置づけています。

担当者

  • 鈴木 高彦 氏 ネットワークサービス事業本部 ネットワーク本部 SRE推進部 シニアエンジニア 株式会社インターネットイニシアティブ

  • 田口 景介 氏 ネットワークサービス事業本部 ネットワーク本部 SRE推進部長 株式会社インターネットイニシアティブ

Ready to get started?

Talk to our technical sales team to answer your questions.
Contact Sales