ニュース
米Okta・ナンディーCTO、「常時稼働」「セキュリティ」「拡張性」という3つの柱を解説
日本国内にデータを保管する「Okta Infrastructure」もスタート
2022年3月2日 06:00
アイデンティティ管理の米Oktaは、サービスのプラットフォームであるOkta Infrastructureを日本でも2月から本格稼働開始した。AWSの東京リージョンと大阪リージョンの上に構築されている。2021年11月に計画が発表されたもので、米国やヨーロッパ、オーストラリア、シンガポールに続く8つ目の地域となる。
また、Oktaが2021年5月に買収完了した、同じくアイデンティティ管理のAuth0について、日本法人も2月7日に統合して1つの会社になった。
これらに関して、Okta Japan株式会社は3月1日に記者説明会を開催。Oktaのインフラの特徴や、OktaとAuth0のビジネスの関係について説明した。
AWSの東京リージョンと大阪リージョン上に構築
Okta Japan株式会社 代表取締役社長の渡邉崇氏は、まず日本でのOkta Infrastructureについて説明した。東京リージョンがプライマリインフラストラクチャ、大阪がディザスタリカバリ(DR)リージョンで、すべてのデータがレプリケートされる。こうしたレプリケーションやバックアップが国内で完結可能な点が特徴だ。
また、Okta Infrastructure全体の特徴を「99.99%のアップタイムを実現するために設計された、最大限の分離と高可用性を備えたマルチテナントアーキテクチャ」と渡邉氏は説明し、メンテナンスのための計画的ダウンタイムがないためSLAのアップタイム扱いにされていないことが他社との差別化だと語った。さらに、「製品の更新は、他社が月1回ぐらいのところ、ほぼ毎週やっている」とした。
OktaとAuth0の日本法人の統合については「(Oktaの)従業員向けアイデンティティ管理のワークフォースアイデンティティと、(Auth0の)顧客向けアイデンティティ管理のカスタマーアイデンティティ&アクセス管理の2本柱で事業を展開していく。両方のプラットフォームに投資を継続していく」と渡邉氏は語った。氏によると、両社の既存顧客でオーバーラップは非常に少ないとのことで、「それぞれの顧客に対してソリューションをクロスセルで提供できる」と今後の計画を語った。
今後のインフラの棲み分けとしては、Oktaの顧客はOkta Infrastructureを使い、Auth0の顧客はAuth0のインフラを使うようにする。そのうえで「プライベートクラウドの顧客や、Auth0のプライベートクラウドプラットフォームのオプションとして、AWSやAzureを利用できる」と説明した。
単一運用インフラ上でマルチテナントを分離
Okta Infrastructureの特徴については、Okta CTOのサグニク・ナンディー氏が説明した。
ナンディー氏はOkta Infrastructureの最も重要な点として「フルにマルチテナントでクラウドネイティブなサービス」であることを挙げた。単一の運用インフラ上で、セキュアなテナント分離を実現しているという。
マルチテナントのメリットとしては、単一のバージョンを開発することで、その単一のバージョンの信頼性や、冗長性、セキュリティ、モニタリング、拡張性、堅牢さに専念できるとナンディー氏は話した。
またクラウドネイティブとしては、独自の“セルベースのアーキテクチャ”(cell-based architecture)がある。セルは、アプリサーバーやデータベース、ロードバランサーなどのコンポーネントをまとめた、自動化された自己完結したインスタンスだ。このセル同士が分離されることで、ほかの地域などで障害があっても影響を受けないという。
さらに、マシンやデータセンターがダウンした場合は、自動的にほかにフェイルオーバーされる。「これがマルチテナントに組み込まれており、リスクを低減してビジネスの中断を防ぐ」とナンディー氏は説明した。
そのほかマルチテナント方式のメリットとして、14000件以上のグローバルな顧客ベースから要件を集めてサービスを向上させているという、ネットワーク効果の面も氏は挙げた。
常時稼働、セキュリティ、拡張性を実現するアーキテクチャ
続いて、Oktaのアーキテクチャの“3つの柱”である「常時稼働」「セキュリティ」「拡張性」についてナンディー氏は説明した。
1つ目の柱は「常時稼働」。アイデンティティ管理サービスは、ダウンしてしまうとログインなどができなくなるため、ミッションクリティカルな高い耐障害性が求められる。これについては前述したセルベースのアーキテクチャなど、技術スタックの各レイヤーにおいて冗長化と最適化を図っていると氏は語った。それに加えて、インフラモニタリング&アラーティングチームがグローバルに分散し、最短の解決時間を実現しているという。
さらに「高い耐障害性と継続的なイノベーションは相いれないこともあるが、Oktaは妥協しない」とナンディー氏。99.99%の可用性を保証し、過去5年間の平均可用性として99.997%の実績がある。計画ダウンタイムもゼロだという。これらのために、定期的なパッチ適用や、週次の製品リリース、マルチテナンシーによる最新のコードベース実行などをしていると氏は語った。
2つ目の柱は「セキュリティ」。ナンディー氏はセキュリティを重視した設計・構築・監視として、AmazonのKMSに構築した多層化された暗号アーキテクチャや、各顧客専用のキーストアの分離、ハッシュ化に安全性を重視してソルトつきのbcryptアルゴリズムを採用など、いくつかの要素を紹介した。
さらに、ソフトウェア開発サイクルで、年間6万回以上のソフトウェア開発ライフサイクル(SDLC)テストと広範囲なペネトレーションテストを実行。サードパーティのペネトレーションテストや、バグバウンティープログラム(脆弱性報奨金制度)、顧客からのバグ報告などによって、よりセキュアにしているという。
そのほか、各業界のセキュリティ認証を受けて、業界ごとの規制要件に対応していることもナンディー氏は紹介した。
3つ目の柱は「拡張性」。ログイン件数はビジネスの成長につれて大きく変化するために、スケーラビリティや、オンデマンドで数を急激に拡大できるサービスが重要となる。
これについてもセルベースのアーキテクチャにより「Oktaはクラウドネイティブで、成長に対応し、負荷が変わったときもすぐにシームレスに拡大できる」とナンディー氏は説明した。
また、毎月数億レベルの認証を行う顧客もいるということで、どのような要求にでも対応できるような高度なキャパシティプランニングで設計されていると氏は説明。その1つとして、常にCPUの稼働率を50%未満にするようにしていることで、バースト(突発的な増加)にも対応できると語った。