イベント

未来に続く話をしよう――、ヤフーの技術カンファレンスを徹底レポート

スーパーコンピュータ「kukai」とセキュリティへの取り組みを紹介

 ヤフー株式会社(Yahoo! JAPAN)の技術カンファレンス「Yahoo! JAPAN Tech Conference 2019」が、1月26日に東京ミッドタウンホールで開催された。テーマは「未来に続く話をしよう」。

 基調講演では、CTO(最高技術責任者)の藤門千明氏とCISO(最高情報セキュリティ責任者)の仲原英之氏の2人が登壇。藤門氏がAI特化スーパーコンピュータ「kukai」を中心に未来のサービスに向けた取り組みを、仲原氏がセキュア通信を中心にセキュリティへの取り組みを語った。

Yahoo! JAPAN Tech Conference 2019

AI特化スパコン「kukai」を実サービスで使う

 藤門氏は、まずYahoo! JAPANの現在を語った。Yahoo! JAPANはいま23年目。月間ログインID数は約4600万人で、2012年と比較しても約2000万人が増えている。100以上のサービスがあり、そのための検索テクノロジーやアドテク、UI/UXなどの技術やデザインを自社開発しているという。

Yahoo! JAPAN藤門千明氏(CTO)

 そのうえで「未来に続く話」だ。これらのテクノロジーに共通しているものは、データとAIだと藤門氏は言う。「『必ずデータの時代が来る』と10年以上前から考え、取り組んできた」(藤門氏)。

 データとAIのためにはコンピューティングパワーがどうしても必要だったと氏は語る。そのためにYahoo! JAPANが開発したのが、AI特化のスーパーコンピュータ「kukai」だ。

 kukaiは2015年に開発を開始し、2017年にリリースした。特徴として、液浸で冷却することによる省エネ性能があり、GREEN500で世界2位となっている。

 kukai開発には2つのチャレンジがあった。1つ目は、液浸のためにデータセンターに液体を持ち込み、壁に穴を空けて外のラジエーターまでパイプを通すこと。もう1つは、それまで経験のなかったスーパーコンピュータのチューニングだ。これらを克服して、14.04GFlops/ワットの電力あたり性能を実現した。

データとAIのためにコンピューティングパワーが必要
AI特化のスーパーコンピュータ「kukai」
液浸による冷却
冷却液をデータセンター外のラジエーターまで通す

 このkukaiが実際にYahoo! JAPANのサービスでどのように使われているか、藤門氏は2つの例を紹介した。

 1つ目はヤフオク!での偽物出品の排除だ。kukaiにより、排除の精度が3.1倍になっただけでなく、機械学習時間が110時間から1.5時間に大幅に短縮され、すばやい対応ができるようになった。

 もう1つは、Yahoo!知恵袋で、ユーザーが不快に思うようなものをランキング上に出ないようにするアルゴリズムだ。過去の6億の質問を機械学習する時間が9か月から約1日に大幅に短縮された。

 藤門氏は最後に「未来を作らないなら簡単だが、未来を作るのは楽しいと思って活動している」と語った。

ヤフオク!の偽物検出にkukaiを導入
Yahoo!知恵袋の不快な内容の検出にkukaiを導入

2018年に全サービスをTLS1.2移行

 仲原氏は、最近のセキュリティに関する取り組みとして、常時HTTPS化とTLS1.2移行というセキュア通信への取り組みについて語った。

Yahoo! JAPAN仲原英之氏(CISO)

 HTTPSにすると通信データ量が3~5倍程度に増えるため、サーバーなどのコストが上がる。そのため、以前は技術者は必要なところ以外はHTTPS化しない傾向があった。しかし、最近では個人情報保護の考えが強まるとともに、iOSアプリでHTTPSが必須になり、Google検索でもHTTPSページを優先するようになるなど、強制力が働いてきた。

 これを受けてYahoo! JAPANでも、2016年までに一部サービスを、2017年までに全サービスをHTTPS化した。

セキュア通信が必要となる背景
全サービスを2017年までにHTTPS化、2018年にTLS1.2に移行

 HTTPS化に続いて2018年3月からは、HTTPSの暗号化技術であるTLSで、脆弱性のあるバージョンであるTLS1.0やTLS1.1を廃止し、TLS1.2へ移行した。

 事前調査をしたところ、TLS1.0/1.1は全リクエストの約3%だった。「3%というと少ないと思うかもしれないが、数十億の中の3%なので大きい」と仲原氏。しかし、経営レベルで「売り上げへの影響より安全を優先する」と判断し、全サービスでTLS1.2へ移行することと、早めに広く告知することを決めた。

 4月には告知ページを公開し、使っているブラウザが大丈夫かどうかの自動判定も用意した。そして、6月までには決済系サービスのTLS1.2移行を完了。10月には全サービスのTLS1.2移行を完了した。なお、9月の時点では、TLS1.0/1.1は全リクエストの1.3%にまで減っていたという。

 TLS1.2移行に率先して取り組んだことにより、同業者から「ヤフーのような大手が告知と対策をしてくれて、自分たちもやりやすくなった」と言われたと仲原氏は語った。

TLS1.0/1.1利用率の事前調査
経営レベルでTLS1.2移行を決定
2018年4月に告知ページを公開
6月に決済系サービスの、10月に全サービスのTLS1.2移行を完了

DevSecOpsでセキュリティ問題に早急に対応する

 こうしたHTTPS化やTLS1.2移行から学んだこととして、仲原氏は「OSS(オープンソースソフトウェア)の安全な活用」と「CI/CDの重要性」の2つを挙げた。

 OSSの安全な活用のために、各ソフトウェアの「ライセンス遵守」と、どうメンテナンスされているかを把握する「プロダクトの信頼性/継続性」、脆弱性が発見されたときの「脆弱性対応」の3つが必要だという。そして、Yahoo! JAPANでは、前2者には力を入れているが、「脆弱性対応は大きな課題だと思っている」と氏は語った。

 最近ではソフトウェアに脆弱性が発見されると、すぐに攻撃が発生するため、重要な問題にすばやく対応する必要がある。そこでYahoo! JAPANでは、脆弱性への対応の評価基準を、独自の評価基準から、2019年度よりCVSS(共通脆弱性評価システム)に変更することを決めたという。

 もう1つのCI/CDは、主にDevOpsにおいて使われる用語で、リリースのサイクルを早めて競争力を高めるものとされている。しかしセキュリティにおいても、CI/CDにより短時間でデプロイできるし、問題を事前検出することにもつながる。このように、DevOpsにセキュリティを組み込んだ「DevSecOps」に取り組むことを、仲原氏は語った。

 仲原氏は最後に、2020年の東京オリンピックにともない世界から攻撃が来ると言われていることに触れ、「攻撃のほとんどは海外からのものと考えられるが、国内に脆弱性な機器などがあるとそこを経由して攻撃される。皆さんと協力して、日本のインターネットを堅牢にしていく必要があると考えている」と語った。

学んだこと「OSSの安全な活用」「CI/CDの重要性」
OSSの安全な活用のために「ライセンス遵守」「プロダクトの信頼性/継続性」「脆弱性対応」
脆弱性対応の評価基準を2019年よりCVSSに変更
DevSecOpsでセキュリティにCI/CD

「未来を作るのはテクノロジーとそれを支える人」

 基調講演の最後に藤門氏が再び登場。「未来を作るのはテクノロジーとそれを支える人」「Yahoo! Japanだけでは作れない。ご来場いただいた皆さんといっしょに作っていきたい」と語り、Yahoo! JAPAN社員が想像した、2020年のサービスの姿の動画を上映した。

2020年のサービスを想像する動画を上映