「明日の認証会議 3」講演用スライド 20141002（配布用）

社会インフラ的大規模サービスを支える今の認証技術/事例

Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved.

かもめエンジニアリング株式会社代表取締役

16:00 〜 16:40

潮村剛

2014/10/02

「明日の認証会議-3」

1990年代半ば、⾷品メーカーからソフトウェア業に転身。以来、国内の主要通信キャリアを中心に、ネットワーク認証システム案件を数十件手がける。

オライリー・ジャパンより刊⾏の『RADIUS – ユーザ認証セキュリティプロトコル』をプロデュース。

2008年、かもめエンジニアリングを設⽴。SEと思われることも多いが企画営業ひと筋23年。

Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 1

講演者紹介

潮村剛（しおむらたけし）

� 2008年5月創業� 本社 … 東京都品川区� 主要取引先（法⼈格・敬称略）

� 伊藤忠テクノソリューションズ� 新日鉄住⾦ソリューションズ� 富士通 / PFU� 科学情報システムズ� ワイモバイル� ネットスター他


かもめエンジニアリングの紹介

� 統合認証基盤サーバ「KFEP」

� Diameterサーバ「KFEP-DS」

� Daimeter/RADIUS変換サーバ「KFEP-TR」

� L2アクセス制御GW 「KNAT」

� M2Mモジュール「KAMOME IoT Module」



認証分野を中心とした自社製品



取扱い/採用実績

� 自己紹介、かもめエンジニアリングの紹介� 認証基盤について� 安定した認証基盤のために必要な事柄� かもめの取り組み、事例紹介� まとめ


今日お話しすること

目次

“認証基盤” について

� 認証� 認可� 利⽤権限の確認� 利⽤状況の確認� 利⽤に必要な権限情報の付与

利⽤者から ⇒「すべてのサービスの入口」

サービス提供者側から ⇒「接点」


認証基盤について

「認証」とは︖

「性能はそこそこ」「コストは最小」



「認証」で気にされること

そこに大きな落とし⽳があります。



「認証」で⾒落とされがちなポイント

近い将来の規模の最小コスト

最小規模の最小コスト

スモールスタート時のコストの最小化「だけ」を考えた構成は、成⻑のボトルネックを「仕込んで」しまう。



「認証」で気を付けるべきポイント

最大規模でも最適構成

最小規模の最小構成

スモールスタート時のシステム構成のまま拡張できるのが一番いい構成。



よくある構成サービス A

サービス B

サービス C

サービス D

サービス E

サービス F



⾒落とした結果〜性能問題〜



⾒落とした結果〜拡張性問題〜



事故の例 -1



事故の例 -2



事故の例 -3



事故の例 -4

� 「コストと信用」に跳ね返ります。� 拡張 or 拡張できずに別建て� ライセンス費⽤� 再構築費⽤� 移⾏費⽤� 検討に要する⼈的・時間的コスト etc.･･･



⾒落とした結果〜まとめ〜

安定した認証基盤のために

� RDBの役割を上手に限定することで、大きな効果を手に入れられる。

� 性能︓並み程度以上（でも必要な場合は対応したい）

� 拡張性︓スモールスタートできて、必要な時に最小単位で素早く拡張したい

� セキュリティ︓配慮していること� コスト︓できるだけ低く



必要なこと

� やりたいことの整理� なくてもよいことを捨てる� RDBに求めているものを⾒直す� 連結させている機能は分離できないか

考える



考えるポイント

� 「速さ」と「大量処理」を必要とする最前線の現場で広く使われています。

� RDBでは実現できなかった大規模・高速システムを低コストで実現します。



分散KVS（Key-Value Store）を使う



分散KVSの特⻑

情報を一か所に集約するポイントが存在しない

RDBと密連携するアーキテクチャなどとは異なり、単一障害点が存在しない。

負荷が全体に均等に分散されるため、負荷の偏りが極めて発生しにくい。



分散KVSの特⻑スケールアウト（ノードの追加）によるシステム全体を拡張が容易。

冗⻑レベルを保ったまま拡張でき、システム全体のリニアな性能向上が可能に。

ノードの追加

分散KVS



分散KVS大規模Webサービスでの事例

Webサービス

Webサービス

Webサービス

Webサービス

統合ID基盤

Webサービス

１１



分散KVS大規模Webサービスでの事例２２

統合ID基盤認証⽤DB

分散KVS

認可コントロールProxy

Webサービス

Webサービス

Webサービス

分散KVSにより認証⽤DBの負荷を大幅に軽減

� 特に認証分野において、どうしてもRDBが必要なことは、実はあまり多くない。

� ここが⾒切れれば、性能、拡張性、コストの削減が手に入る。

� 疎結合、分散処理



まとめ

かもめエンジニアリングの取り組み


かもめの取り組み

統合認証基盤サーバ「KFEP」サービス A

サービス B

サービス C

サービス D

サービス E

サービス F

KFEP1

2 3

サービスA

サービスA

サービスB

サービスB

サービスC

サービスC

サービスD

サービスD

サービスE

サービスE

サービスF

サービスF

� 分散KVSエンジンを活⽤し、RDBと密連携しないアーキテクチャを実現� フロントエンドで高速に大量処理を⾏う必要がある

システムにおいて、RDBの性能や運⽤性に引きずられない高い耐運⽤性を実現

� 分散KVS＋コンシステント・ハッシュ方式を採⽤。� スケールアウト方式で拡張性を実現。

Hot Plug方式に対応、1台〜n台を一体として運⽤可能。



統合認証基盤サーバ「KFEP」国際特許取得

� お客さまの⽤途に合わせてプロフェッショナルサービスを提供� KFEP独自のAPIを利⽤するか、あるいは必要と

なる業務ロジックを内部に組み込み、高性能かつ拡張性に優れたアプリケーションシステムが構築可能。

� お客さまのご要望により、ノウハウを活かした機能付加が柔軟に可能（別途有償でのご提供）。



統合認証基盤サーバ「KFEP」

「KFEP」の特⻑・事例など


「KFEP」の特⻑

RDBを削減し、導入・運用負荷を抑制

S/O投入

サービス Aサービス A

サービス Bサービス B

サービス Cサービス C

サービス Dサービス D

KFEP1

2 3

連携

連携

連携

連携

MasterDB

RDBfor S/O

…KFEP導入により不要となったDB

認証・認可⽤のDB不要サービスオーダやセッションデータを内部に保持

サービスオーダ⽤のDBを大幅削減


「KFEP」の特⻑

スケールアウトによる拡張とサービスの段階的な統合を容易に

サービス A

サービス B

サービス C

サービス Dプロセス数追加

KFEP1

2 3

① 初期導入

② システム更改に合わせ追加導入

③ 新サービス向けに追加導入予定

④ 導入提案中

654


「KFEP」の特⻑

スケールアウトしても低コスト大手通信キャリア基幹サービスシステムへの導入実例

Bのコストはシステム移⾏分を含めAの5分の1以下に抑制された。

登録データ/要求処理数

総コ

スト

既存のレガシーな構成によるソリューションの場合A

B KFEPを⽤いた構成によるソリューションの場合

Aからのシステム移⾏に伴うコスト＋

� バックエンドのRDBシステムの大幅な削減� サービス系含め、ラック8本 ⇒ 0.5本へ削減

� 新サービス導入のリードタイム短縮に貢献� 運⽤トラブル件数の大幅な軽減により、運⽤負荷を軽減

� 大幅なコスト削減効果を発揮� 導入コスト … 既存システム比 10分の1以下� 運⽤コスト … 既存システム比 30分の1以下� 拡張コスト … 既存システム拡張比 100分の1以下


「KFEP」の特⻑

どれくらい︖大手通信キャリア基幹サービスシステムへの導入実例


「KFEP」の導入事例スマートフォン、フィーチャーフォンのサービス利用者認証

１１

�各サービスシステムがサイロ化。連携対応の改変も困難� RDBも乱⽴、運⽤コストは高留まり�処理性能に限界、新サービス導入の足かせに

課題

キャリアセンター

認証⽤データ配信⽤

DBサービス認証⽤DB

MVNO

Internet

コンテンツ

メール

Webゲートウェイ

ネットワーク

契約者DB

契約者DB

フィルタDB

フィルタDB 入替・改修範囲

Before


「KFEP」の導入事例スマートフォン、フィーチャーフォンのサービス利用者認証

１１

� 20万ユーザ対応、秒間3,000処理を実現 ⇒ 1,000万ユーザへ拡張中� RDBの大幅な削減、導入コスト・運⽤コスト・拡張コストそれぞれ90%〜99%を削減�新サービスの導入対応がシンプル、細かい機能改善も容易に ● より精密な認証・接続コントロールを可能に

解決


MVNO

Internet

コンテンツ

メール


S/O配信プロセスS/O配信プロセス

契約者DB

契約者DB

KFEP

入替・改修範囲ネットワーク認証を吸収全サービスシステムの認証機能をまとめた認証プラットフォーム

KFEPに契約者情報をファイルで配信

A f t e r


「KFEP」の導入事例複数サービスの認証を統合、サービス間連携も

22

�収容ユーザ数の限界を超えて運⽤ ● サービスメニューの増加に対応できない�認証システムが各サービス別に分かれており、サービス間連携や他社サービスとの連携が不可�認証サーバとSQLサーバが密結合しているため、負荷が大きくなり性能低下

課題

Before センター

サービス C

サービス B

サービス A

MasterDB

MasterDB

サービス D

他社サービス

認証サーバ認証サーバ





・・・・・

・・・・・

（約80台）

（数十種）

更新⽤DB

入替・改修範囲SQLサーバがすべてのデータを保持し、アクセスのつど問い合わせ・書き込みが発生


「KFEP」の導入事例複数サービスの認証を統合、サービス間連携も

22

�統合によりサービス間連携を実現、メンテナンス性も飛躍的に向上 ● 認証⽤のサーバ数は90%以上削減�マスターDB更新 ⇒ KFEP反映の所要時間は、5秒以内�1,000万ユーザまで対応可、秒間1,500処理を実現 ● マスターDB、更新⽤DBは改修不要

解決

A f t e r センター

MasterDB

MasterDB

更新⽤DB

S/O配信プロセスS/O配信プロセス

KFEP

他社サービス

サービス C

サービス B

サービス A

サービス D

・・・・・（数十種）入替・改修範囲

全サービスシステムの認証データをまとめた認証プラットフォーム

KFEPに契約者情報等をファイルで配信

S/O配信プロセスが更新⽤DBのデータをレプリケーション


「KFEP」の導入事例スマートフォン、フィーチャーフォンの利用者認証＆利用状況管理


サービスシステム

管理DB群

Internet


メール

ポータルマスターマスター

DB

利⽤状況管理システム

33

Before

�データの転送遅延が頻発し、サービスに重大な支障が発生�将来のサービス拡大に対応するためのスケールアウトができず、運⽤負荷の軽減も困難

課題


「KFEP」の導入事例スマートフォン、フィーチャーフォンの利用者認証＆利用状況管理


サービスシステム管理DB群


メール

ポータル

【旧】管理システム

KFEP

すべての処理時間を記録し、障害発生箇所の特定を迅速化

存続中の旧システムとも連携、シームレスな移⾏を可能に

ユーザの利⽤状況データを処理し、バックエンドのDBへ送信

33

A f t e r

�4,500万ユーザ対応�システムの安定稼働を実現すると同時に、秒間15,000処理の要求性能を達成� 3台以上のn台構成を可能とし、将来の拡張性を確保

解決

Internet

� 「社内で最も重要なシステムとして認識されています。現在最も安定して動いているシステムです。」

� 「RDBベースの他社の伝統的なシステムより堅牢で柔軟、拡張性に富む。導入以来トラブルもほとんどない」

� 「とても品質の高いアプリケーションを作成いただき、大変満足いたしております。○○○さんによる提案当初は、＊＊＊社の製品で検討しておりましたが、運⽤機能が貧弱な事が判明し、急遽かもめさんにお願いする事になりました。それから期待通りの出来で、さすがだなと大変感心しています。引き続き、世の為、⼈の為、弊社の為にご尽⼒いただけますと幸いです。」


「KFEP」の導入事例

導入先ご担当者さまコメント

� SI事業者さまを通じて販売� パッケージ＋

プロフェッショナルサービス提供可� OEMも受けます


かもめの製品の提供方法

Copyright© 2008-2014 KAMOME Engineering, Inc. All rights reserved. 45

「KFEP」推奨関連ツール

S/O（サービスオーダ）配信モジュール「x-HUB」（仮称）

※ 弊社パートナー企業より提供�基幹システムのS/O投入先はx-HUBだけとなり、構成の簡素化も実現。�基幹システムで⾏っていた各サービス向けのデータ加⼯はx-HUBで⾏うため、基幹システムの負荷が大幅に軽減。�新規サービスが追加されてもS/O投入はx-HUBで⾏うため、基幹システムの改修は不要。

クロスハブ

KFEPサービスシステム群

基幹システムサービスA

サービスB

サービスC

サービスD

サービスE

x-HUB

EngineCOREEngine

EngineCOREEngine

EngineCOREEngine

リアルタイムに同期

ID情報のシステム間の連携や大量のデータ登録などを一元的に管理し処理を⾏う、データ配信コントローラです。

１１

まとめ

� 認証基盤は、RDBを上手に使う（使わない）とうまくいく。

� KFEPなど、疎結合、分散処理の仕組みは案外使い勝手がよいかもしれない。


まとめ

かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社営業部営業部営業部営業部

[email protected]

03-6420-3177


[email protected]

03-6420-3177

お問い合わせお問い合わせお問い合わせお問い合わせ先先先先お問い合わせお問い合わせお問い合わせお問い合わせ先先先先


[email protected]

03-6420-3177

お問い合わせお問い合わせお問い合わせお問い合わせ先先先先

ご清聴ありがとうございました。� ご興味をお持ちの方は

あとでお声掛けください。

� 詳しくお話を伺うためのワークショップも開催予定です。

「明日の認証会議 3」講演用スライド 20141002（配布用）

Software