Tech Talk 〜 ゼロトラストをベースとした安定的なシステム稼働の取り組み〜 を開催しました! #merpay_techtalk

2021年11月5日に、『Tech Talk 〜 ゼロトラストをベースとした安定的なシステム稼働の取り組み〜』 を開催しました。

この記事はイベントレポートです。配信当日の内容を簡単に紹介します! 詳しくはYouTube上にある配信アーカイブ動画をご視聴ください。

イベント概要

みなさんは、システムを安全に稼働させるために、どのような取り組みをされていますか? FinTech ビジネスにおいてセキュリティをしっかり考慮して設計し、攻撃から守り抜くということは不可欠です。しかし一方で具体的にセキュリティ対策って何をすればよいのかわかりにくい、というのも事実です。

メルペイ・メルコインでは、システム全体をマイクロサービスによって組み立てて、それぞれを疎結合させるスタイルで構築をしていますが、ここで重要なキーワードは「ゼロトラスト」です。

そもそもゼロトラストとはなにか、またどういった思想で現在のシステム設計に至ったのか、そして現状における課題、今後の取り組みについて、メルペイ・メルコインの精鋭エンジニアがディスカッションします!

想定対象者は以下のとおりです。

  • 大規模な FinTech システムの裏側に興味のある方
  • 安全かつ堅牢なシステムを構築することに興味がある方
  • ゼロトラストを実践するにはどうすればよいか知りたい方

イベント詳細はイベントページを参照してください。

登壇者

今回の登壇者&モデレータは、以下の3名です。

  • 竹井 悠人(Yuto Takei) / 株式会社メルコイン Securityチーム Manager
  • 伊藤 雄貴(yuki.ito) / 株式会社メルペイ Architectチーム Backend Engineer
  • 狩野 達也(kokukuma) / 株式会社メルペイ IDPチーム Backend Engineer

メルペイの現在のマイクロサービスの構成紹介

自己紹介の後は、まずはじめに、ディスカッションの前にメルペイのマイクロサービスの構成紹介をしました。どのような構成で動いていて、どんな特徴があるのかを簡単に解説しています。特に、構成図中の「Gateway」と「Authority」の役割については理解する上で重要な内容のため、詳細に解説しました。

また、「『何も信頼しない』を前提に対策を講じる」というゼロトラストの取り組みのお話に発展し、「Gateway」の権限の範囲についてやマイクロサービス自身の権限の範囲のお話について早速議論になりました。

  • メルペイの現在のマイクロサービスの構成紹介
  • 「Gateway」「Authority」の役割についての詳細解説
  • 「ALTS」「Beyond Prod 」についての解説

ディスカッションパート

次に、発表者3名で事前質問への回答や、ゼロトラスト・認証認可に関するディスカッションを行いました。安定的なシステム稼働の取り組みについての様々な質問や議論、参考となる文献などの紹介が行われました。

パネルディスカッションのトピックやQ&Aの内容の一部は以下のとおりです。

  • Q. 対内部脅威のためですか?それ以外もありますか?(認証認可に関する質問で)
  • Q. Gateway直下のMicroservicesはその下の2つのMicroservicesと役割が違いますか?
  • Q. 今後メルペイでやっていきたい施策は?
  • Q. バッチ処理や非同期処理など エンドユーザからのリクエストに関してはどのようにサービス間の認証を行っていますか?
  • ゼロトラストの定義の考え方からの認証認可のディスカッション(事前質問からBeyondProdまで)
  • Q. 外部からのDDoS攻撃対策みたいなものはしていますでしょうか?Gatewayの負荷をどのように見ているのか?
  • Q. ゼロトラスト特有の脅威についてはどのように考えていますか?(NIST SP800-207のお話)
  • Q. メルコインに置いて超えるべき課題とは?

この他にも多くの質問を頂いていましたが、残念ながら時間切れとなってしまいすべての質問にお答えできましんでした。機会があればどこかで回答したいとのことです。

最後に

メルカリグループはTech Talk をはじめとしたエンジニア向けのイベントを定期的に開催しています。イベント開催案内を受け取りたい方は、connpassグループのメンバーになってくださいね!

メルカリ/Mercari – connpass