OSSで構築するIT基盤管理実践事例: NetBox・Snipe-IT・FreeRADIUS+PrivacyIDEA / Practical Case Studies of IT Infrastructure Management Using OSS

Transcript

1. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. OSSで構築するIT基盤管理実践事例: NetBox・Snipe-IT・FreeRADIUS+PrivacyIDEA

   2026/02/18 NTTドコモビジネス 福田優真/村田圭

2. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2 本セッションで学べること

   - ICT 環境における物理的/論理的な管理方法 - OSS を活用した認証基盤の実現手法

3. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3 目次

   1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

4. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4 目次

   1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

5. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5 発表者紹介

   - 所属 - NTTドコモビジネス イノベーションセンター - やってること - クラウドの技術開発・DevOps・ゼロトラスト環境整備 - AI エージェントの検証 福田 優真 村田 圭 1. 発表者紹介

6. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6 目次

   1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

7. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7 チームの歩み

   - クラウド中心の活動を実施 - クラウドサービスの技術開発・案件支援 - オンプレミス環境と接続するハイブリッドクラウド製品の検証 - 活動にあわせて様々な検証環境を運用 - クラウド(AWS/Google Cloud/Azure) - オンプレミス(スイッチ/ルーター/サーバー/etc…) 2. 背景と課題

8. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 8 検証環境の複雑化

   - オンプレミス・クラウド環境が混在し、複雑に連携 - チーム内の複数のプロジェクト・管理ラインが融通して検証に利用 - 機器の入れ替えが継続的に発生 DC 2 DC 1 DC 3 Hybrid Cloud製品 etc… Router 01 Router 02 Firewall d01j.musa d03j.akbu f01j.akbu AWS d01j.tama Core Router VPN Internet サーバー , ストレージ, etc… DC 4 サーバー etc.. Switch等 Core Router Firewall Core Router AWS Azure Google Cloud 2. 背景と課題

9. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 9 課題

   - 環境把握の困難化 - VMやIPアドレスの使用有無を、都度調べないと分からない - NW機器や作業物品の所在がバラバラで、把握が難しい - アカウント運用の形骸化 - 同一アカウントを複数人で共用しており、トラブル時の原因究明ができない 2. 背景と課題

10. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10 課題

    2. 背景と課題 - 環境把握の困難化 - VMやコンテナの使用有無を、都度調べないと分からない - NW機器や作業物品の所在がバラバラで、把握が難しい - ユーザ運用の形骸化 - 機器ごとに個別アカウントを作成しており、管理が煩雑 - 同一アカウントを複数人で共用しており、トラブル時の原因究明ができない 皆さんもこんな課題ありませんか？ - 環境が複数あって管理するものが散逸 - 管理したいものが複雑に連携 - そもそもどう管理すべきかわからない

11. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 11 我々が目指したゴール

    - 検証環境に関わる各種リソースを可視化 - セキュリティ・ガバナンスを強化するポリシーを整備 2. 背景と課題

12. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12 具体的な取り組み

    - NW リソース管理 - NW の構造 - IP 管理(IPAM)/データセンター管理(DCIM) - 物品管理 - 機器の設置場所 - どんな機器・物品があるかの把握 - 載っている OS やパッケージのバージョン管理 - ポリシー整備 - 多要素認証・SSO導入 - 監視基盤整備 - ログ監視 - アラート通知 - 脅威検知 - etc… 2. 背景と課題

13. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13 具体的な取り組み

    - NW リソース管理 - NW の構造 - IP 管理(IPAM)/データセンター管理(DCIM) - 物品管理 - 機器の設置場所 - どんな機器・物品があるかの把握 - 載っている OS やパッケージのバージョン管理 - ポリシー整備 - 多要素認証・SSO導入 - 監視基盤整備 - ログ監視 - アラート通知 - 脅威検知 - etc… NetBox Snipe-IT FreeRADIUS + PrivacyIDEA 2. 背景と課題

14. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 14 目次

    1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

15. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 15 検証環境の現状

    - 様々な機器が各所に混在 - サーバー製品 - ストレージ製品 - ルーター - スイッチ - etc… - 機器の設定変更や入れ替えが多発 3. 実施施策 a. NW リソース管理

16. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 16 課題

    - リソース管理の煩雑化 - IPアドレス/VLANが一元管理されておらず、重複利用が発生 - 物理構成の不透明化 - 機器の設置場所が記録されておらず、担当者に聞く手間が発生 - 正確な状況把握のため、データセンターでの現地調査が必要 3. 実施施策 a. NW リソース管理

17. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 17 課題

    - リソース管理の煩雑化 - IPアドレス/VLANが一元管理されておらず、重複利用が発生 - 物理構成の不透明化 - 機器の設置場所が記録されておらず、担当者に聞く手間が発生 - 正確な状況把握のため、データセンターでの現地調査が必要 論理・物理の NW リソース管理を簡単にしたい 3. 実施施策 a. NW リソース管理

18. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18 課題

    - リソース管理の煩雑化 - IPアドレス/VLANが一元管理されておらず、重複利用が発生 - 物理構成の不透明化 - 機器の設置場所が記録されておらず、担当者に聞く手間が発生 - 正確な状況把握のため、データセンターでの現地調査が必要 論理・物理の NW リソース管理を簡単にしたい ⇓ NetBox 3. 実施施策 a. NW リソース管理

19. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 19 NetBox

    - インフラストラクチャー管理機能を持つ OSS - Django 製 Python アプリケーションで PostgreSQL + Redis 構成のweb アプリケーション - 管理できるもの - IP アドレス管理 (IPAM) - IP アドレス - VLAN - データセンター管理(DCIM) - ラックの高さや名前 - ラッキング位置 - etc… https://github.com/netbox-community/netbox 3. 実施施策 a. NW リソース管理

20. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20 NetBox

    で管理する様子 デバイスの物理接続状況 IP アドレス VLAN 3. 実施施策 a. NW リソース管理

21. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21 やってみて

    - 誰でも数クリックでNWリソースを把握可能 - 担当者の返事（数分〜数時間）を待つ手間を削減 - IPアドレスやVLANの一元管理により、リソースの重複利用を防止 - ラックの空き状況がすぐ分かり、現地確認の手間を削減 ラック図の自動生成 リソースの利用状況を可視化 3. 実施施策 a. NW リソース管理

22. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 22 目次

    1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

23. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23 所有する物品の現状

    - DC 作業するので様々な作業物品を所有 - 光モジュール - 光ファイバー - メタルケーブル - etc… - 環境内にも様々な機器が存在 - サーバー - ルーター - スイッチ - etc… 3. 実施施策 b. 物品管理

24. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 24 課題

    - 在庫状況の更新が困難 - 物品は種類も数もある - 消耗品のような数があって利用されやすいものは在庫不足に気付くのが困難 - 管理がバラバラで一元的に把握するのが困難 - 付属品がいつどこで購入されたかの把握が困難 - 現在の在庫は情報をつなぎあわせないと見えないことも - 更新不足で管理簿と現状にずれがある - 現地作業でずれに気付く - 現況調査の長時間化 3. 実施施策 b. 物品管理

25. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25 課題

    - 在庫状況の更新が困難 - 物品は種類も数もある - 消耗品のような数があって利用されやすいものは在庫不足に気付くのが困難 - 管理がバラバラで一元的に把握するのが困難 - 付属品がいつどこで購入されかたの把握が困難 - 現在の在庫は情報をつなぎあわせないと見えないことも - 更新不足で管理簿と現状にずれがある - 現地作業でずれに気付く - 現況調査の長時間化 物品管理を簡単にしたい ⇓ Snipe-IT 3. 実施施策 b. 物品管理

26. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 26 課題

    - 在庫状況の更新が困難 - 物品は種類も数もある - 消耗品のような数があって利用されやすいものは在庫不足に気付くのが困難 - 管理がバラバラで一元的に把握するのが困難 - 付属品がいつどこで購入されかたの把握が困難 - 現在の在庫は情報をつなぎあわせないと見えないことも - 更新不足で管理簿と現状にずれがある - 現地作業でずれに気付く - 現況調査の長時間化 物品管理を簡単にしたい ⇓ Snipe-IT 3. 実施施策 b. 物品管理

27. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 27 Snipe-IT

    - 物品管理を行う OSS - 消耗品、付属品、固定資産、ライセンス、etc… - PHP 製の Web アプリケーションで MySQL と合わせて利用する Web アプリケーション - 在庫が必要な最小個数に近付いたら通知したり誰がいつ何をどこにどの個数設置したかまで 把握可能 https://snipeitapp.com/ 3. 実施施策 b. 物品管理

28. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 28 Snipe-IT

    で管理している様子 固定資産管理 消耗品管理 様々な情報を登録できる 3. 実施施策 b. 物品管理

29. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 29 やってみて

    - 消耗品や在庫が一箇所で把握できるように - 把握している人を探したり書庫を確認したりと数分以上かかっていた 作業時間が Snipe-IT で数クリックでみれるように - どこに誰が設置したかを履歴として見れるように - 在庫がたりなければアラート発出ができるように 3. 実施施策 b. 物品管理

30. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30 目次

    1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. RADIUS + MFA : FreeRADIUS + PrivacyIDEA 4. まとめ

31. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 31 導入背景

    - 機器ごとのユーザー個別作成によりアクセス権の管理が煩雑化 - 同一ユーザーの複数人での共用によりトレーサビリティ欠如 - 会社からの要請でログインの MFA 化が Must 3. 実施施策 c. RADIUS + MFA

32. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 32 ユーザー利用におけるリスク

    - 機器ごとのユーザー個別作成により、アクセス権の管理が煩雑 - 同一ユーザーの複数人での共用により、トレーサビリティの欠如 SSO を導入しつつ MFA 化したい ⇓ PriacyIDEA + FreeRADIUS 3. 実施施策 c. RADIUS + MFA

33. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33 ユーザー利用におけるリスク

    - 機器ごとのユーザー個別作成により、アクセス権の管理が煩雑 - 同一ユーザーの複数人での共用により、トレーサビリティの欠如 SSO を導入しつつ MFA 化したい ⇓ PriacyIDEA + FreeRADIUS 3. 実施施策 c. RADIUS + MFA

34. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 34 やりたいこと

    - MFA ログインへの移行 - サーバーログイン - NW 機器ログイン - SSO による一元ログイン - クラウドを Entra ID によせていたのでオンプレもよせたかった 3. 実施施策 c. RADIUS + MFA

35. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 35 やりたいこと

    - MFA ログインへの移行 - サーバーログイン - NW 機器ログイン - SSO による一元ログイン - クラウドを Entra ID によせていたのでオンプレもよせたかった 3. 実施施策 c. MFA ログイン 太字を紹介

36. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 36 RADIUS

    の導入 - これまでは - 個別に機器にアカウント保持 - 機器が増えるたびにアカウントを作成 - RADIUS 認証を利用することでログインアカウントの一元管理を実施できるように https://datatracker.ietf.org/doc/html/rfc2865 3. 実施施策 c. RADIUS + MFA

37. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 37 RADIUS

    多要素認証の壁 - RADIUS 自体はパスワード認証による単純なもの - 長年存在するプロトコルなので機能拡張が困難 - 多要素認証するにはアプリケーションレベルで拡張が必要 https://www.fortinet.com/jp/resources/cyberglossary/radius-protocol 3. 実施施策 c. RADIUS + MFA

38. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 38 RADIUS

    の多要素認証化 - FreeRADIUS という OSS を利用することでプラグインでバックエンドに認証を移譲可能 - PrivacyIDEA という OSS を利用することで FreeRADIUS と連携して RADIUS を多要素認証化できる！ FreeRADIUS 認証移譲 許可 3. 実施施策 c. RADIUS + MFA PrivacyIDEA

39. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 39 PrivacyIDEA

    - web サーバーとして動作して REST API 経由で多要素認証を提供 - TOTP/Push 通知/E メール/SMS 等様々な多要素認証を提供 - AGPL なので利用には注意が必要 - Python 製 TOTP 認証 https://www.privacyidea.org/ 3. 実施施策 c. RADIUS + MFA

40. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 40 アーキテクチャ

    3. 実施施策 c. RADIUS + MFA

41. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 41 MFA

    ログインの様子 3. 実施施策 c. RADIUS + MFA

42. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 42 目次

    1. 発表者紹介 2. 背景と課題 3. 実施施策 a. NW リソース管理 : NetBox b. 物品管理 : Snipe-IT c. MFA ログイン : FreeRADIUS + PrivacyIDEA 4. まとめ

43. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 43 まとめ

    - 検証環境が複雑化し、様々な課題を抱えていた - リソースの可視化・省力化した運用体制の導入を目指し、施策展開 - NetBox - Snipe-IT - FreeRADIUS + PrivacyIDEA - 検証環境のリソースを可視化・一元管理し、ガバナンス強化を達成 - 今後は更に脅威検知や AIOps の導入を進めたり、可視化強化やガバナンス強化を実施予定 4. まとめ

44. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 44 質疑応答

45. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 45