「明日の認証会議 3」講演用スライド 20141002(配布用)
DESCRIPTION
企業において、インターネットを活用した顧客とのコミュニケーション強化が重要な課題となっています。 大手企業では、顧客数(ユーザ数)が数十万人、数百万人、数千万人といった規模となり、その認証システムの構築には高度な技術を必要とします。 性能、拡張性、セキュリティ、コストなどを考慮しつつ、安定した認証基盤を実現する方法について、イー・アクセス社(現ワイモバイル社)を始めとした国内大手通信企業のネットワーク認証を構築した事例も交えながら解説します。TRANSCRIPT
社会インフラ的大規模サービスを支える今の認証技術/事例
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved.
かもめエンジニアリング株式会社代表取締役
16:00 〜 16:40
潮村 剛
2014/10/02
「明日の認証会議-3」
1990年代半ば、⾷品メーカーからソフトウェア業に転身。以来、国内の主要通信キャリアを中心に、ネットワーク認証システム案件を数十件手がける。
オライリー・ジャパンより刊⾏の『RADIUS – ユーザ認証セキュリティプロトコル』をプロデュース。
2008年、かもめエンジニアリングを設⽴。SEと思われることも多いが企画営業ひと筋23年。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 1
講演者紹介
潮村 剛 (しおむら たけし)
� 2008年5月 創業� 本社 … 東京都品川区� 主要取引先(法⼈格・敬称略)
� 伊藤忠テクノソリューションズ� 新日鉄住⾦ソリューションズ� 富士通 / PFU� 科学情報システムズ� ワイモバイル� ネットスター 他
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 2
かもめエンジニアリングの紹介
� 統合認証基盤サーバ 「KFEP」
� Diameterサーバ 「KFEP-DS」
� Daimeter/RADIUS変換サーバ 「KFEP-TR」
� L2アクセス制御GW 「KNAT」
� M2Mモジュール 「KAMOME IoT Module」
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 3
かもめエンジニアリングの紹介
認証分野を中心とした自社製品
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 4
かもめエンジニアリングの紹介
取扱い/採用実績
� 自己紹介、かもめエンジニアリングの紹介� 認証基盤について� 安定した認証基盤のために必要な事柄� かもめの取り組み、事例紹介� まとめ
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 5
今日お話しすること
目次
“認証基盤” について
� 認証� 認可� 利⽤権限の確認� 利⽤状況の確認� 利⽤に必要な権限情報の付与
利⽤者から ⇒「すべてのサービスの入口」
サービス提供者側から ⇒「接点」
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 7
認証基盤について
「認証」とは︖
「性能はそこそこ」「コストは最小」
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 8
認証基盤について
「認証」で気にされること
そこに大きな落とし⽳があります。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 9
認証基盤について
「認証」で⾒落とされがちなポイント
近い将来の規模の最小コスト
最小規模の最小コスト
スモールスタート時のコストの最小化「だけ」を考えた構成は、成⻑のボトルネックを「仕込んで」しまう。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 10
認証基盤について
「認証」で気を付けるべきポイント
最大規模でも最適構成
最小規模の最小構成
スモールスタート時のシステム構成のまま拡張できるのが一番いい構成。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 11
認証基盤について
よくある構成サービス A
サービス B
サービス C
サービス D
サービス E
サービス F
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 12
認証基盤について
⾒落とした結果 〜性能問題〜
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 13
認証基盤について
⾒落とした結果 〜拡張性問題〜
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 14
認証基盤について
事故の例 -1
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 15
認証基盤について
事故の例 -2
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 16
認証基盤について
事故の例 -3
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 17
認証基盤について
事故の例 -4
� 「コストと信用」に跳ね返ります。� 拡張 or 拡張できずに別建て� ライセンス費⽤� 再構築費⽤� 移⾏費⽤� 検討に要する⼈的・時間的コスト etc.・・・
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 18
認証基盤について
⾒落とした結果 〜まとめ〜
安定した認証基盤のために
� RDBの役割を上手に限定することで、大きな効果を手に入れられる。
� 性能︓並み程度以上(でも必要な場合は対応したい)
� 拡張性︓スモールスタートできて、必要な時に最小単位で素早く拡張したい
� セキュリティ︓配慮していること� コスト︓できるだけ低く
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 20
安定した認証基盤のために
必要なこと
� やりたいことの整理� なくてもよいことを捨てる� RDBに求めているものを⾒直す� 連結させている機能は分離できないか
考える
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 21
安定した認証基盤のために
考えるポイント
� 「速さ」と「大量処理」を必要とする最前線の現場で広く使われています。
� RDBでは実現できなかった大規模・高速システムを低コストで実現します。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 22
安定した認証基盤のために
分散KVS(Key-Value Store)を使う
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 23
安定した認証基盤のために
分散KVSの特⻑
情報を一か所に集約するポイントが存在しない
RDBと密連携するアーキテクチャなどとは異なり、単一障害点が存在しない。
負荷が全体に均等に分散されるため、負荷の偏りが極めて発生しにくい。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 24
安定した認証基盤のために
分散KVSの特⻑スケールアウト(ノードの追加)によるシステム全体を拡張が容易。
冗⻑レベルを保ったまま拡張でき、システム全体のリニアな性能向上が可能に。
ノードの追加
分散KVS
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 25
安定した認証基盤のために
分散KVS大規模Webサービスでの事例
Webサービス
Webサービス
Webサービス
Webサービス
統合ID基盤
Webサービス
11
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 26
安定した認証基盤のために
分散KVS大規模Webサービスでの事例 22
統合ID基盤認証⽤DB
分散KVS
認可コントロールProxy
Webサービス
Webサービス
Webサービス
分散KVSにより認証⽤DBの負荷を大幅に軽減
� 特に認証分野において、どうしてもRDBが必要なことは、実はあまり多くない。
� ここが⾒切れれば、性能、拡張性、コストの削減が手に入る。
� 疎結合、分散処理
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 27
安定した認証基盤のために
まとめ
かもめエンジニアリングの取り組み
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 29
かもめの取り組み
統合認証基盤サーバ「KFEP」サービス A
サービス B
サービス C
サービス D
サービス E
サービス F
KFEP1
2 3
サービスA
サービスA
サービスB
サービスB
サービスC
サービスC
サービスD
サービスD
サービスE
サービスE
サービスF
サービスF
� 分散KVSエンジンを活⽤し、RDBと密連携しないアーキテクチャを実現� フロントエンドで高速に大量処理を⾏う必要がある
システムにおいて、RDBの性能や運⽤性に引きずられない高い耐運⽤性を実現
� 分散KVS+コンシステント・ハッシュ方式を採⽤。� スケールアウト方式で拡張性を実現。
Hot Plug方式に対応、1台〜n台を一体として運⽤可能。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 30
かもめの取り組み
統合認証基盤サーバ「KFEP」 国際特許取得
� お客さまの⽤途に合わせてプロフェッショナルサービスを提供� KFEP独自のAPIを利⽤するか、あるいは必要と
なる業務ロジックを内部に組み込み、高性能かつ拡張性に優れたアプリケーションシステムが構築可能。
� お客さまのご要望により、ノウハウを活かした機能付加が柔軟に可能(別途有償でのご提供)。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 31
かもめの取り組み
統合認証基盤サーバ「KFEP」
「KFEP」の特⻑・事例など
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 33
「KFEP」の特⻑
RDBを削減し、導入・運用負荷を抑制
S/O投入
サービス Aサービス A
サービス Bサービス B
サービス Cサービス C
サービス Dサービス D
KFEP1
2 3
連携
連携
連携
連携
MasterDB
RDBfor S/O
…KFEP導入により不要となったDB
認証・認可⽤のDB不要 サービスオーダやセッションデータを内部に保持
サービスオーダ⽤のDBを大幅削減
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 34
「KFEP」の特⻑
スケールアウトによる拡張とサービスの段階的な統合を容易に
サービス A
サービス B
サービス C
サービス Dプロセス数追加
KFEP1
2 3
① 初期導入
② システム更改に合わせ追加導入
③ 新サービス向けに追加導入予定
④ 導入提案中
654
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 35
「KFEP」の特⻑
スケールアウトしても低コスト大手通信キャリア基幹サービスシステムへの導入実例
Bのコストはシステム移⾏分を含めAの5分の1以下に抑制された。
登録データ/要求処理数
総コ
スト
既存のレガシーな構成によるソリューションの場合A
B KFEPを⽤いた構成によるソリューションの場合
Aからのシステム移⾏に伴うコスト+
� バックエンドのRDBシステムの大幅な削減� サービス系含め、ラック8本 ⇒ 0.5本へ削減
� 新サービス導入のリードタイム短縮に貢献� 運⽤トラブル件数の大幅な軽減により、運⽤負荷を軽減
� 大幅なコスト削減効果を発揮� 導入コスト … 既存システム比 10分の1以下� 運⽤コスト … 既存システム比 30分の1以下� 拡張コスト … 既存システム拡張比 100分の1以下
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 36
「KFEP」の特⻑
どれくらい︖大手通信キャリア基幹サービスシステムへの導入実例
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 37
「KFEP」の導入事例スマートフォン、フィーチャーフォンのサービス利用者認証
11
�各サービスシステムがサイロ化。連携対応の改変も困難� RDBも乱⽴、運⽤コストは高留まり�処理性能に限界、新サービス導入の足かせに
課題
キャリアセンター
認証⽤データ配信⽤
DBサービス認証⽤DB
MVNO
Internet
コンテンツ
メール
Webゲートウェイ
ネットワーク
契約者DB
契約者DB
フィルタDB
フィルタDB 入替・改修範囲
Before
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 38
「KFEP」の導入事例スマートフォン、フィーチャーフォンのサービス利用者認証
11
� 20万ユーザ対応、秒間3,000処理を実現 ⇒ 1,000万ユーザへ拡張中� RDBの大幅な削減、導入コスト・運⽤コスト・拡張コスト それぞれ90%〜99%を削減�新サービスの導入対応がシンプル、細かい機能改善も容易に ● より精密な認証・接続コントロールを可能に
解決
キャリアセンター
MVNO
Internet
コンテンツ
メール
Webゲートウェイ
S/O配信プロセスS/O配信プロセス
契約者DB
契約者DB
KFEP
入替・改修範囲ネットワーク認証を吸収全サービスシステムの認証機能をまとめた認証プラットフォーム
KFEPに契約者情報をファイルで配信
A f t e r
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 39
「KFEP」の導入事例複数サービスの認証を統合、サービス間連携も
22
�収容ユーザ数の限界を超えて運⽤ ● サービスメニューの増加に対応できない�認証システムが各サービス別に分かれており、サービス間連携や他社サービスとの連携が不可�認証サーバとSQLサーバが密結合しているため、負荷が大きくなり性能低下
課題
Before センター
サービス C
サービス B
サービス A
MasterDB
MasterDB
サービス D
他社サービス
認証サーバ認証サーバ
認証サーバ認証サーバ
認証サーバ認証サーバ
認証サーバ認証サーバ
認証サーバ認証サーバ
・・・・・
・・・・・
(約80台)
(数十種)
更新⽤DB
入替・改修範囲SQLサーバがすべてのデータを保持し、アクセスのつど問い合わせ・書き込みが発生
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 40
「KFEP」の導入事例複数サービスの認証を統合、サービス間連携も
22
�統合によりサービス間連携を実現、メンテナンス性も飛躍的に向上 ● 認証⽤のサーバ数は90%以上削減�マスターDB更新 ⇒ KFEP反映 の所要時間は、5秒以内�1,000万ユーザまで対応可、秒間1,500処理を実現 ● マスターDB、更新⽤DBは改修不要
解決
A f t e r センター
MasterDB
MasterDB
更新⽤DB
S/O配信プロセスS/O配信プロセス
KFEP
他社サービス
サービス C
サービス B
サービス A
サービス D
・・・・・(数十種)入替・改修範囲
全サービスシステムの認証データをまとめた認証プラットフォーム
KFEPに契約者情報等をファイルで配信
S/O配信プロセスが更新⽤DBのデータをレプリケーション
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved.
「KFEP」の導入事例スマートフォン、フィーチャーフォンの利用者認証&利用状況管理
キャリアセンター
サービスシステム
管理DB群
Internet
Webゲートウェイ
メール
ポータルマスターマスター
DB
利⽤状況管理システム
33
Before
�データの転送遅延が頻発し、サービスに重大な支障が発生�将来のサービス拡大に対応するためのスケールアウトができず、運⽤負荷の軽減も困難
課題
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved.
「KFEP」の導入事例スマートフォン、フィーチャーフォンの利用者認証&利用状況管理
キャリアセンター
サービスシステム 管理DB群
Webゲートウェイ
メール
ポータル
【旧】管理システム
KFEP
すべての処理時間を記録し、障害発生箇所の特定を迅速化
存続中の旧システムとも連携、シームレスな移⾏を可能に
ユーザの利⽤状況データを処理し、バックエンドのDBへ送信
33
A f t e r
�4,500万ユーザ対応�システムの安定稼働を実現すると同時に、秒間15,000処理の要求性能を達成� 3台以上のn台構成を可能とし、将来の拡張性を確保
解決
Internet
� 「社内で最も重要なシステムとして認識されています。現在最も安定して動いているシステムです。」
� 「RDBベースの他社の伝統的なシステムより堅牢で柔軟、拡張性に富む。導入以来トラブルもほとんどない」
� 「とても品質の高いアプリケーションを作成いただき、大変満足いたしております。○○○さんによる提案当初は、***社の製品で検討しておりましたが、運⽤機能が貧弱な事が判明し、急遽かもめさんにお願いする事になりました。それから期待通りの出来で、さすがだなと大変感心しています。引き続き、世の為、⼈の為、弊社の為にご尽⼒いただけますと幸いです。」
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 43
「KFEP」の導入事例
導入先ご担当者さまコメント
� SI事業者さまを通じて販売� パッケージ+
プロフェッショナルサービス提供可� OEMも受けます
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 44
かもめの製品の提供方法
Copyright© 2008-2014 KAMOME Engineering, Inc. All rights reserved. 45
「KFEP」推奨関連ツール
S/O(サービスオーダ)配信モジュール 「x-HUB」(仮称)
※ 弊社パートナー企業より提供�基幹システムのS/O投入先はx-HUBだけとなり、構成の簡素化も実現。�基幹システムで⾏っていた各サービス向けのデータ加⼯はx-HUBで⾏うため、基幹システムの負荷が大幅に軽減。�新規サービスが追加されてもS/O投入はx-HUBで⾏うため、基幹システムの改修は不要。
ク ロ ス ハ ブ
KFEPサービスシステム群
基幹システムサービスA
サービスB
サービスC
サービスD
サービスE
x-HUB
EngineCOREEngine
EngineCOREEngine
EngineCOREEngine
リアルタイムに同期
ID情報のシステム間の連携や大量のデータ登録などを一元的に管理し処理を⾏う、データ配信コントローラです。
11
Copyright© 2008-2014 KAMOME Engineering, Inc. All rights reserved. 46
「KFEP」推奨関連ツール
運用監視ツール 「ZABBIX」※ 弊社パートナー企業より提供
オ ー プ ン ソ ー ス の 可 ⽤ 性 お よ び パ フ ォ ー マ ン ス 監 視 ソ リ ュ ー シ ョ ン で す 。
22
まとめ
� 認証基盤は、RDBを上手に使う(使わない)とうまくいく。
� KFEPなど、疎結合、分散処理の仕組みは案外使い勝手がよいかもしれない。
Copyright©2008-2014 KAMOME Engineering, Inc. All rights reserved. 48
まとめ
かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社 営業部営業部営業部営業部
03-6420-3177
かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社 営業部営業部営業部営業部
03-6420-3177
お問い合わせお問い合わせお問い合わせお問い合わせ先先先先お問い合わせお問い合わせお問い合わせお問い合わせ先先先先
かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社 営業部営業部営業部営業部
03-6420-3177
お問い合わせお問い合わせお問い合わせお問い合わせ先先先先
ご清聴ありがとうございました。� ご興味をお持ちの方は
あとでお声掛けください。
� 詳しくお話を伺うためのワークショップも開催予定です。