【講演レポート】2024年11月27日開催 IBM TechXchange Japan ブレイクアウト・セッション「IT Automation」
生成AIをIT運用の力に変える「IBM Concert」
〜 脆弱性対応、コンプライアンス支援などのリスク管理機能から提供を開始 〜
今日の企業システムでは、急速な技術革新が進む一方でアプリケーションの複雑化が加速し、人手による運用管理が限界に達しつつあります。この課題を解決するため、IBMは開発から運用までのアプリケーション・ライフサイクル全体を対象にIT運用ツールを統合し、生成AIを活用して煩雑な業務を効率化するIT運用自動化プラットフォーム「IBM Concert」を発表しました。まず脆弱性対応やコンプライアンス支援などのリスク管理機能から提供を開始しています。本セッションでは、IBM Concertの概要と主な機能について、日本IBMのAutomationテクニカル・スペシャリストである岩品友徳がデモをまじえて解説しました。
日本アイ・ビー・エム株式会社
テクノロジー事業本部 Automation テクニカル・スペシャリスト
岩品 友徳
システムの複雑化で人手に頼ったIT運用管理が限界に
企業システムは、大型コンピューターの利用から始まり、分散化や仮想化の普及を経て、現在ではコンテナ技術やマイクロサービスなどクラウドネイティブ技術の活用が進んでいます。これに伴い、IT運用業務が大きな課題に直面していると岩品は指摘します。
「システムの監視・管理は従来と比較して飛躍的に複雑化し、ITエンジニアは運用業務に多くの時間を費やしています。ビジネス成果に直結するアプリケーションやサービスの改善など、本来注力すべき業務に手が回らない状況が生じています」
[図]クラウド、コンテナ技術、マイクロサービスの活用で複雑化が進むシステム
出展:日本IBM講演資料
例えば、ここ数年ではOpenSSLやApache Log4jといったソフトウェア・ライブラリー(パッケージ)に重大な脆弱性が発見され、企業がセキュリティー対応に奔走する事例が相次ぎました。一般的に、ライブラリーやパッケージに脆弱性が見つかった場合、脆弱性情報の確認や、当該バージョンを利用しているシステムの特定、修正適用のためのチケット起票(またはExcelによる課題管理)、顧客・関係者への説明、修正適用の実施と確認といった多くの作業が発生します。
これらの対応には、従来型の3階層システムでも1週間から1カ月程度を要します。それに対して、コンテナやマイクロサービスを利用している場合はコンテナやアプリケーションごとに使用しているパッケージやバージョンが異なり、従来型アプリケーションと比較して脆弱性対応の手間が10〜100倍、場合によってはそれ以上に膨らむ可能性があると岩品は強調します。
IBM社内の開発・運用チームではメンバーの約3割が脆弱性対応に専念
IBM自身も、この問題に頭を悩ませてきました。例えば、お客様向けのSaaSサービスの開発・運用管理を担当するチームでは、70人のメンバーのうち20人が、次々に発覚する脆弱性への対応業務だけに追われていたのです。
「特別なことをしていたわけではなく、毎日更新される脆弱性に関する技術情報を確認し、必要な措置を実施した上で、社内規定に従いコンプライアンス担当者へのレポート提出、課題チケットの起票、運用記録の作成などを行っていました。その結果、チーム・メンバーの約3割が膨大なリスク管理作業に追われ、製品の開発や機能強化に集中できない状況が続いていました」(岩品)
IBMにおけるIBM Concert活用事例
[図]IBMのSaaS担当チームが抱えていたリスク管理の課題
出展:日本IBM講演資料
システム理解の解像度を高め、運用業務を自動化するIBM Concert
これらの課題を解決するために誕生したIT運用自動化ソリューションが「IBM Concert」です。IBM Concertは、お客様のシステム環境を高い解像度で包括的に理解するための基盤を提供します。また、生成AIを活用して、運用管理やリスク対応における多様な作業を自動化します。
IBM Concertでは以下の情報を取り込み、一元管理します。
① 環境情報:システムがどのような環境で構成され、何が稼働しているか
② アプリケーション情報:どのアプリケーションが実行されているか
③ ソフトウェア構成:使用しているライブラリーの名前やバージョンは何か
④ 脆弱性:システムにどのような影響があるか、どう対応すればよいか
⑤ 証明書:有効期限切れの証明書があるか
⑥ コンプライアンス:準拠すべきコンプライアンス規約に適合しているか
これらのうち、①環境情報と②アプリケーション情報はシステム分析の基礎となる重要なデータです。①環境情報については、クラウド上の各サービスやRedHat OpenShiftなどとのAPIを介した自動連携、およびSBOM(後述)を活用し、それぞれの環境の位置付け(本番、ステージング、テスト、開発)やアクセス・ポイント(IPアドレス)の情報を収集します。
②のアプリケーション情報に関しては、DevOpsパイプラインなどからアプリケーションの構成概要、リリース・バージョン、ソースコード・リポジトリー、コンテナ・イメージといった情報をビルド毎に生成し、デプロイ毎にデプロイ先の環境(クラスター名)を含め管理します。
「これらの情報を基に『アリーナ・ビュー』で可視化します。アリーナ・ビューはシステムの状態をトポロジカルに表現し、システム内でどのようなパッケージが使用されているのか、脆弱性や証明書、コンプライアンスなどのリスクがどこに存在しているのかをわかりやすく表示します」(岩品)
[製品画面]システムに内在するリスクをトポロジカルに表示するIBM Concertのアリーナ・ビュー
SBOMでソフトウェアの構成情報と内在するリスクを可視化
③ソフトウェア構成の情報は、ソフトウェア部品表(SBOM:Software Bill of Materials)の形式で取り込みます。SBOMとは、オープンソース・ソフトウェア(OSS)を狙ったソフトウェア・サプライチェーン攻撃の増加を背景に採用が進むシステム構成要素の管理手法です。
米国では、2021年5月12日に発令されたサイバー・セキュリティー強化に関する大統領令(EO 14028)に基づき、ソフトウェア・サプライチェーンの強化を目的にSBOMの提供が義務付けられました。この義務化により、米政府関連の調達ではSBOMへの対応が必須となっています。「また日本では、経済産業省が2023年7月に『ソフトウェア管理に向けたSBOMの導入に関する手引』*というガイドラインを公開しています」と岩品は説明します。
*正式名称: ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
SBOMには、システムで利用している各コンポーネントのバージョン、ライセンス(OSSか、商用かなど)、およびコンポーネント間の依存関係などが記述されます。これにより、システム脆弱性やソフトウェア・ライセンスの管理を強化し、管理の効率化を通じて開発生産性を高めることが可能になります。
IBM Concertは、SBOMの記述形式としてOWASP(Open Web Application Security Project)が開発した「CycloneDX」をサポートしています。同形式は主にセキュリティー脆弱性の管理を目的にしています。CycloneDX形式のSBOMを生成できるツールは、OSSの「cdxgen」をはじめ、「Trivy」や「Syft」など複数存在し、いずれの生成したSBOMにもIBM Concertは対応できます。
IBM Concertは、取り込んだSBOMの情報を基に、システム全体で使用されているソフトウェア・ライブラリー(パッケージ)を把握します。そして、ライセンスの不備や老朽化、サポート終了、既知の脆弱性を含むパッケージがないかを調査し、リスクを指摘します。
これらの情報は、以下の「ソフトウェア構成」画面で確認できます。
[製品画面]IBM Concertのソフトウェア構成画面
脆弱性対応を生成AIが支援し、対応工数を大幅削減
④脆弱性に関して、IBM Concertはお客様が利用するセキュリティー・ツールから脆弱性情報を取り込み、共通脆弱性評価システム(CVSS)や外部に脆弱性が晒されているか、脆弱性が既に攻撃に利用されているかなどに基づいてリスク点数を算出し、対応の優先順位を付けます。リスク点数は、お客様が重視する事項に応じてカスタマイズできます。
さらに、IBM Concertは生成AIを活用し、作業負荷を大幅に軽減します。
「脆弱性対応で最も時間がかかるのは、担当者が脆弱性の内容と対応方法を調べて理解することです。IBM Concertでは、見つかった脆弱性に関する情報を生成AIが自動的に調査し、対応方法を提示します。不明点がある場合は、チャット形式で生成AIに質問することもできます。また、生成AIが脆弱性情報と対応手順に基づき、チケットを自動的に起票します」(岩品)
[製品画面] システムで見つかった脆弱性の影響度と推奨される対応を生成AIが支援
前述のIBM社内チームでは、20人のリスク管理担当メンバーのうち、IBM Concertの導入により5人分の作業を削減することに成功しました。
生成AIがコンプライアンス準拠も支援。証明書の期限切れも防止
Kubernetesなどを利用したコンテナ環境では、証明書の数が多過ぎて手作業では管理が困難だという問題が生じています。⑤証明書に関して、IBM ConcertはKubernetesやOpenShiftの環境から証明書情報を取り込み、有効期限が切れる前にチケットを自動起票して通知します。
「今後は2024年3月に買収したITインフラ管理自動化ツール『Pliant』を統合し、ローコード・ノーコードでワークフローを定義できるようになるなど、証明書管理に伴う煩雑な作業の自動化がさらに強化されます」(岩品)
一方、⑥コンプライアンスについて、IBM Concertには「NIST Special Publication 800-53」「PCI DSS v4.0 updated」「SOC 2」「ARS Catalog」「FedRAMP Rev5 High Baseline」など、主要なコンプライアンス規定があらかじめ組み込まれています。また、独自に定めた規定をOSCAL形式で登録することも可能です。
さらに、各規定の内容に準拠するために必要な対応を生成AIに質問して確認したり、アセスメントの記述内容についてアドバイスを受けたりすることができます。
「コンプライアンス責任者による最終レビューでは、watsonx.aiが各規定項目を満たしているかを事前に評価した結果を確認することで、チェックの負担が大幅に軽減されます」(岩品)
また、コンプライアンスに関しては今後、KubernetesやOpenShiftの環境における各規定の順守状況を自動的に評価し、対応漏れがある場合には自動対応を行う機能が追加される予定です。
リスク管理から開始し、IT運用自動化プラットフォームへと発展
IBM Concertは、2024年8月に誕生したばかりの製品です。初期リリースでは、脆弱性管理やコンプライアンス管理といったリスク管理機能に加えて、チケット管理、SBOMや証明書などのエビデンス管理機能の提供を開始しました。しかし、IBM Concertの可能性はこれらにとどまらないと岩品は語ります。
「今後は、PliantやAnsible、Terraform、Turbonomicなどと連携した『運用自動化』、IBM Instana Observabilityなどと連携した『可観測性』、Apptioなどと連携した『コスト管理』の機能の提供を予定しています。最終的には開発から運用までアプリケーションのライフサイクル全体を通じて多様なツールを統合し、システムを360°の観点で理解できるIT運用プラットフォームとして進化していきます」(岩品)
![[製品画面] システムで見つかった脆弱性の影響度と推奨される対応を生成AIが支援 20241107 TechXchange Japan Concert Session - [製品画面] システムで見つかった脆弱性の影響度と推奨される対応を生成AIが支援](https://higherlogicdownload.s3.amazonaws.com/IMWUC/UploadedImages/E6u9SN7YSPep8dXzPaPj_スクリーンショット 2024-12-18 15.11.38.png)
[図]IBM Concertはさまざまな運用ツールを統合したプラットフォームに発展
出展:日本IBM講演資料
また、IT運用のさまざまな作業を生成AIで自動化し、複雑化が進むシステムの運用管理を効率化することで、お客様がビジネス価値を生む業務に注力できる環境を実現します。人財不足や業務の属人化、コスト削減など、大小問わずこのような悩みを持つIT部門、変化が激しく、少数精鋭のスタートアップのお客様など、ビジネスを支えるIT運用を強力に支援します。ぜひ今後、IBM Concertの進化にご注目ください。
関連資料
IBM Concert製品ページ
PDF資料 - AIインサイトを活用した、よりスマートなアプリケーション管理
IBMにおけるIBM Concert活用事例
IBM Concert日本語字幕付き動画
IBM Concert購入に関するお問合せ