Zoom for Government、Red Hat プラットフォームを使用してセキュリティを強化

Zoom Video Communications, Inc. (Zoom) は、世界的に有名な通信テクノロジー企業であり、2011 年の創立以来、イノベーションを実現し続けています。ビデオ通信ソリューションの提供から開始した同社は、多くのソリューションを提供する企業へと成長しました。それらのソリューションには Zoom for Government も含まれます。Zoom はこのプラットフォームを、Federal Risk and Authorization Management Program (FedRAMP) および国防総省 (DoD) の厳しいセキュリティ要件を満たすために Red Hat Enterprise Linux (RHEL) 上で実行しています。また、Red Hat Ansible Automation Platform および Red Hat Satellite を活用して、インフラストラクチャの自動化、コンプライアンス機能、 デプロイメントのほとんどを実行しています。

メリット：

• FedRAMP および DoD の要件に準拠
• 社内リソースの効率的な使用を実現
• 信頼性の高いインテリジェントなホワイトリスト機能の実装によりセキュリティ向上を達成

通信テクノロジー、特にビデオ会議は、ビジネスでも個人使用においても必要不可欠なものになっています。新型コロナウイルス感染症 (COVID-19) のパンデミック以前から (その時すでに Zoom は世界で最もダウンロードされているモバイルアプリの 1 つでした)、ビデオ会議は業界の目覚ましい成長を担っていました。 

Zoom は長年に渡り、市場の需要に合わせてイノベーションと成長を続けてきました。その結果、Zoom for Government などの新しいサービスが誕生しています。しかし同社は、必要な認定を確保し、FedRAMP DoD の裁定プロセスに関わるコンプライアンス要件を満たすのに役立つ、基盤となるオペレーティングシステムを必要としていました。 

「当社の短期的な目標はとてもシンプルなものです」と、Zoom のテクノロジーコンプライアンス責任者、John Keese 氏は言います。「FedRAMP および DoD セキュリティ要件ガイドラインで要求される継続的なコンプライアンスサイクルのすべてを満たしたいと考えています。これは、私たちが環境に導入するものの中に、運用している管理基盤を破壊するものは何もないということを意味します。また、私たちは Zoom for Government のオペレーティング システム (OS)、イメージ、コンテナ、技術スタックの脆弱性の監視も継続的に行っています。非常に短時間のサービスレベル契約 (SLA) で脆弱性を管理することは難しい取り組みですが、これは FedRAMP と DoD に毎月報告する必要があります」。 

今後も Zoom は規模を拡大するとともに、ソフトウェア開発ライフサイクル (SDLC) の複雑さを軽減していきます。現在も今後も FedRAMP と DoD の要件を満たしていくには、自動化と安定した Linux オペレーティングシステムが不可欠です。 

Zoom のデータセンターオペレーション責任者、Zak Peirce 氏は、Red Hat ソリューションを使用することに疑いはありませんでした。「私はずっと Red Hat 派です」と Peirce 氏は言います。「私なら、堅牢なエンタープライズシステムを実行するためのエンタープライズ・プラットフォームとして Red Hat を選択します」。 

Keese 氏によると、Zoom と米国政府は Red Hat Enterprise Linux (RHEL) を Linux の最適バージョンとして認識しています。DoD Contrail Service Orchestration 分野への参入に最適な立場を築くために、Zoom for Government は、ハイブリッドクラウド環境全体にわたって一貫性のある安定した高性能プラットフォームの基盤として Red Hat Enterprise Linux をデプロイしました。重要なのは、Red Hat ベースのプラットフォームは該当する Security Technical Implementation Guide (STIG) もサポートしているということです。

Red Hat Enterprise Linux に加えて、同社は Red Hat Ansible Automation Platform を活用してインフラストラクチャの自動化、コンプライアンス機能、 デプロイメントのほとんどを実行しています。また、Ansible STIG を採用して同社のシステムをさらに保護するとともに、簡素化をサポートしています。

「私たちは Red Hat サーバーを信頼して大いに活用しているため、別の Active Directory サーバーは必要ありません。したがって、セキュリティの境界内にサーバーを配置できるため、インターネットに接続するサーバーの数を減らすことができます」と Peirce 氏は述べています。これは、Red Hat Satellite および Red Hat Enterprise Linux ID 管理 (IdM) サービスにも当てはまります。これらは Zoom がサーバーを境界内に留めておくのに役立ちます。 

Zoom が実施する FedRAMP と DoD の要件への対応方法

Red Hat は、Zoom for Government がコンプライアンスを満たせるように、開発プロセスの一環として FedRAMP と DoD のコンプライアンスを重視しています。「Red Hat は、政府環境への実装が必須となっているほぼすべてのことに取り組んでいて、それらの実装を簡単にしてくれます。事実上の業界標準なので、私たちは Red Hat を使っています。FedRAMP と DoD の要件への対応にはかなり気を遣う必要がありますが、それは開発プロセスの一部にすぎません」と、Zoom のシニアクラウドオペレーションエンジニア、Ryan Kimbrell 氏は述べています。

Zoom ではセキュリティを最も重視しており、DISA STIG などの高度なツールを使用してインフラストラクチャを保護しています。Kimbrell 氏によると、Zoom では Red Hat が公開している DISA STIG Ansible Playbook をあらゆるものに対して実行しています。「このプレイブックだけで、おそらく DISA STIG への準拠を 80% 達成できます」と Kimbrell 氏は述べています。

小さなことでも大きな違いが生まれます。Common Vulnerabilities and Exposures (CVE) データベースや Red Hat セキュリティ・アドバイザリ (RHSA) など、Red Hat の Web サイトのリソースは、政府と協力する場合に非常に貴重な資産となります。「毎週、環境内のすべてのシステムに対してセキュリティスキャンを実行する必要があります」と Kimbrell 氏は言います。「スキャナーにより、オペレーティングシステム上のパッケージの脆弱性が一覧表示されます。脆弱性が表示された場合は、いつでもすぐに Red Hat サイトにアクセスして脆弱性の詳細な説明を得ることができ、影響を受けるかどうかを判断できます。Linux ディストリビューションを提供している他の企業で、そのようなことを実施しているところはありません。これを使わずに政府の本番環境を運用しようとすると、すべての調査を毎月自分たちで行う必要があるため、すぐに悪夢のような状況になるでしょう」。

FedRAMP と DoD のその他のコンプライアンスおよびセキュリティ要件については、グループ管理、ユーザー管理、多要素認証に使用できる Red Hat IdM 機能によって満たすことができます。これによって Zoom は制御を維持し、さらに Red Hat Satellite により、セキュリティ層を追加できます。「これにより、セキュリティスキャナーを使う前に、自社の環境で何が起きているかを確認できるようになります」と Peirce 氏は述べています。

米国政府に通信ツールを提供する場合にきわめて重要なことは、セキュリティを提供し、必要な要件と規制をすべて満たすことです。Zoom for Government なら、それが可能です。「コンプライアンスは規律によってのみ達成できます。Red Hat には、私たちが必要としている規律があります」と Keese 氏は述べています。

社内リソースの効率的な使用を実現 

DoD は、アプリケーションのホワイトリスト登録を厳格に管理しています。Zoom が FedRAMP および DoD 向けに取り組みを開始したときに判明したのは、DoD がホワイトリスト登録に使用していたツールは非常に高価であり、そのツールが実行されていたオペレーティングシステムは Zoom が自社環境に導入したくないものであることでした。その解決策となったのは、RHEL 8 の機能であるファイル・アクセス・ポリシー・デーモン (fapolicyd)、つまりファイルへのアクセス権を決定するユーザー空間デーモンでした。

「これにより、DoD が使用していたツールの取得、別のオペレーティングシステムの導入、それを実行するための新しいスタッフの雇用を回避することができました」と Keese 氏は言います。「さらに最近では、導入していたファイル整合性管理ツール (FIM) を削除し、コスト削減を実現しました」。さらに Peirce 氏は、Red Hat Enterprise Linux の fapolicyd 機能により、Zoom はインフラストラクチャとスタッフの制約を軽減しながらコンプライアンス要件を満たすことができ、運用効率とコスト効率を向上させることができたと言います。 

さらに、Red Hat IdM のおかげで、Zoom はサードパーティプロバイダーからのライセンスを節約できました。Zoom はこの 1 つのツールセットにより、コストの削減と運用の簡素化を実現しました。 

Kimbrell 氏は、ホワイトリストを「すべてのシステムにおける計画済みの自動停止」と呼んでいます。システムを更新する場合、ユーザーはあまり検討せずにすべてを受け入れる傾向があるためです。これは、fapolicyd が効力を発揮するもう 1 つの状況であり、企業がより安全な環境を実現するのに役立ちます。 

「fapolicyd を使用すると、非常に優れたデバッグモードでデーモンを実行できます。そこで何が拒否されているのか、なぜ拒否されているのかが正確に分かるため、許可するものを適切に判断できます」と Kimbrell 氏は言い、次のように続けます。「そして、他のどのアプリケーション・ホワイトリスト・ソリューションよりも管理が簡単です」。

Zoom for Government は、Red Hat Enterprise Linux とその他の Red Hat ツールを利用して、定期的な裁定プロセスがスムーズに実行されるようにしており、プロセスのほぼすべてのステップに Red Hat が関与しています。

Peirce 氏は、エコシステム全体が有益だと述べています。「IdM を更新するとき、それが Red Hat システムで動作することがわかっています。System Security Services Daemon (SSSD) エージェントを更新するとき、それがうまく動作することがわかっています。そして、Red Hat Satellite を使用してこれらのパッケージをホストし、システムを最新の状態に保ち、システムに追加される正確なパッケージを管理できます。これは、システムをテストして開発段階と本番環境が同じであることを確認するのに役立ちます。これらすべての要素が運用に役立つのです」。

また、スムーズな運用を継続するために、Zoom は Red Hat Ansible Automation Platform の使用を開始しました。これによって同社の効率は向上し、より均一な方法でアプリケーションを迅速にデプロイできるようになりました。

Red Hat は、ビデオ通信プロバイダーである Zoom の継続的な改善計画において信頼できるパートナーであり、その歩みが止まる気配はありません。