【Apache ZooKeeper】ACL完全ガイド

分散システムの中核コンポーネントとして広く利用されている Apache ZooKeeper は、構成管理やサービスディスカバリといった用途で高い信頼性を提供します。しかし、強力な機能を持つがゆえに、適切なアクセス制御がなければ重大なトラブルを引き起こす可能性もあります。

ZooKeeperのアクセス制御を担うのが「ACL（Access Control List）」です。ACLを正しく理解・設定することで、悪意あるアクセスや誤操作からクラスタを守ることができます。

この記事では、ACLの基本的な仕組みから具体的な設定方法、実運用におけるベストプラクティスまでを体系的に解説します。ZooKeeperを扱うシステム管理者やJavaエンジニアの方にとって、現場で役立つ知識を網羅したガイドです。

ZooKeeperにおけるACLとは？

ACLの基本概念

ACL（Access Control List）は、ZooKeeperの各znode（ノード）に対して「誰が」「何をできるか」を細かく制御する仕組みです。従来のファイルシステムの権限管理と似ていますが、分散環境特有の要件に対応した設計になっています。

ZooKeeperでは、すべてのznodeに対して個別にACLを設定でき、親ノードの権限が子ノードに自動的に継承されることはありません。これにより、データの階層構造に応じた柔軟な権限設計が可能です。

ACLを正しく活用することで、以下のようなセキュリティ強化が可能になります。

• 特定のユーザーだけに読み書きを許可する
• 認証済みのクライアントのみにノードの作成・削除を許可する
• 誤操作によるznodeの削除・改変を防ぐ

ACLは、ZooKeeperの安定運用を支える重要な防御線です。特に複数のクライアントが同じクラスタに接続する環境では、ACLの設計次第でシステム全体の安全性が大きく左右されます。

ACLの構成要素

ZooKeeperのACLは以下の3つの要素で構成されます。

• 認証スキーム: どのような方式で識別するか
• ACL ID: 具体的な識別情報
• パーミッション: 許可する操作

例：digest:user1:XDkd2dsEuhc9ImU3q8pa8UOdtpI=:cdrwa

• digest: 認証スキーム
• user1:XDkd2dsEuhc9ImU3q8pa8UOdtpI=: ACL ID
• cdrwa: パーミッション

認証スキームの詳細解説

ZooKeeperでは、利用シーンに応じて複数の認証スキームを使い分けることができます。

1. world

概要: 誰でもアクセス可能な完全オープンな設定

例: 誰でもアクセス可能

world:anyone:cdrwa

適用場面:

• 開発・テスト環境での一時的な利用
• 公開情報やステータス表示用データ
• プロトタイプ開発段階

注意点: 本番環境では原則として使用しない

2. digest

概要: ユーザー名とパスワードによる認証（SHA-1ハッシュ化）

例: user1 のみアクセス可能

digest:user1:XDkd2dsEuhc9ImU3q8pa8UOdtpI=:cdrwa

適用場面:

• 一般的なアプリケーション認証
• 軽量なセキュリティ要件の環境
• サービス間認証

実装時の注意:

• パスワードは必ずハッシュ化して保存
• 認証情報をコードに直接埋め込まない
• 定期的なパスワード変更を検討

3. ip

概要: IPアドレスベースのアクセス制御

例: 特定のサーバーからのみアクセス可能

ip:192.168.1.100:cdrwa
ip:10.0.0.0/8:cdrwa

適用場面:

• ネットワーク境界での制御
• 管理者用アクセスの制限
• 特定のデータセンターからのアクセス制御

制限事項:

• NAT環境では適用困難
• 動的IPアドレスには不向き
• ロードバランサー経由の場合は工夫が必要

4. auth

概要: 認証済みユーザー全体に適用されるワイルドカード

例: 認証済みユーザーがアクセス可能

auth::cdrwa

適用場面:

• 認証の有無による基本的な制御
• 段階的なアクセス制御の実装

5. x509

概要: X.509証明書による強固な認証

例: 特定の証明書保持者がアクセス可能

x509:CN=client,OU=engineering,O=company:cdrwa

適用場面:

• 高セキュリティ要件の環境
• 企業間連携システム
• 金融・医療系システム

設定要件:

• ZooKeeperでのSSL/TLS設定が必須
• PKI（Public Key Infrastructure）の整備
• 証明書管理体制の確立

これらの認証スキームは、アクセスの粒度や利用シーンに応じて使い分けることが重要です。特に本番環境では、digestスキームをベースに、必要最小限のパーミッション設定と組み合わせるのが基本となります。

パーミッション（アクセス権）の種類

ZooKeeperでは、各ノード（znode）に対して細かくアクセス権を設定できます。ACLで指定できるパーミッションは以下のとおりです。それぞれの権限は、必要最小限に絞って設定するのがセキュリティ上のベストプラクティスです。

実務での設計ポイント

• READとCREATEだけ付与 → 公開読み取り専用データ＋動的登録ノードに最適。
• WRITEを単独で付与 → 誤操作のリスクが高く、あまり推奨されません。
• ADMINを付ける場合は慎重に → ACLの変更ができるため、他のすべての操作につながる可能性があります。

注意事項

• DELETEやADMINなどの強力なパーミッションは、原則として限定された管理者ユーザーのみに与えるべきです。
• ACLの誤設定によって、ノードが誰にも操作できない「ロック状態」になるケースもあります。設定前にバックアップを取ることを推奨します。

JavaによるACLの設定例

ZooKeeperのクライアントアプリケーションでは、Javaコードを使って明示的にACLを設定できます。ここでは、Digest認証方式を用いたACL設定の基本例を紹介します。

Digest認証を使ったACLの付与

以下は、ユーザー user1 にすべてのパーミッション（cdrwa）を与えるACLの設定例です。

import java.nio.charset.StandardCharsets;
import java.util.Arrays;
import java.util.List;
import org.apache.zookeeper.CreateMode;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.ZooKeeper;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;

public class ZooKeeperAclExample {
    public static void main(String[] args) {
        try (ZooKeeper zk = new ZooKeeper("localhost:2181", 3000, null)) {
            // Digest形式のユーザーIDとパスワードを作成（事前にDigestAuthenticationProviderで生成）
            String auth = "user1:password1";
            String digest = DigestAuthenticationProvider.generateDigest(auth);

            // 認証情報をセッションに追加
            zk.addAuthInfo("digest", auth.getBytes(StandardCharsets.UTF_8));

            // ユーザーと権限を指定したACLリストを作成
            Id id = new Id("digest", digest);
            ACL acl = new ACL(ZooDefs.Perms.ALL, id);
            List<ACL> aclList = Arrays.asList(acl);

            // ノード作成時にACLを適用
            zk.create("/secureNode5", "data".getBytes(), aclList, CreateMode.PERSISTENT);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

ポイント解説

• addAuthInfo()
  ZooKeeperインスタンスに認証情報を追加し、以後の操作でACLの検証が通るようにします。
• generateDigest()
  パスワードをハッシュ化して、ACLのIdとして使える形式に変換します。user1:*** の形式になります。
• ZooDefs.Perms.ALL
CREATE, DELETE, READ, WRITE, ADMIN をすべて含んだフラグです。用途に応じて部分的なパーミッションを指定することも可能です。

注意点

• Digest認証のパスワードは平文でコードに書かないように注意しましょう。設定ファイルや環境変数で管理することが推奨されます。
• ACLの誤設定によるアクセス不能トラブルを避けるため、ACL付きノードは別名空間で検証するのが安全です。

ZooKeeper CLIでACLを確認・変更する方法

ZooKeeperでは、コマンドラインインターフェース（CLI）を使ってノードのACLを確認・変更できます。設定や動作確認を手早く行いたい場面で便利です。

認証の追加（CLI）

Digest認証を使う場合、以下のように addauth コマンドで認証情報を追加します。

[zk: localhost:2181(CONNECTED) 0] addauth digest user1:password1

ACLの確認方法

getAcl コマンドを使うと、指定したZNodeに設定されているACLの一覧を確認できます。

[zk: localhost:2181(CONNECTED) 1] getAcl /secureNode
'digest,'user1:XDkd2dsEuhc9ImU3q8pa8UOdtpI=
: cdrwa

• digest：認証スキーム
• user1:***：ユーザー名とハッシュ化された認証情報
• cdrwa：許可されているパーミッション（Create, Delete, Read, Write, Admin）

ACLの変更方法

setAcl コマンドでACLを上書きできます。たとえば、user2 に読み取り専用のアクセス権を与えるには次のようにします。

[zk: localhost:2181(CONNECTED) 2] setAcl /secureNode digest:user2:***:r

*** には、事前に DigestAuthenticationProvider.generateDigest("user2:password") で生成したハッシュを使用します。

注意点

• ACLを設定する前に、対象ノードの現在の権限を必ず確認しておきましょう。
• ACLを誤って設定すると、ノードにアクセスできなくなるおそれがあります。
• CLIを使ってACLを変更する場合、該当ユーザーの認証情報がすでにZooKeeperに追加されている必要があります（addauth）。

よくあるACL設定ミスとその対策

ZooKeeperのACLは強力ですが、その分、設定を誤ると深刻なトラブルに発展します。以下に、現場でありがちなミスとその回避策・対処法をまとめます。

1. ACLを誤って上書きしてアクセス不能になる

症状：
ノードのACLを設定し直したところ、自分自身を含めて誰もアクセスできなくなった。

原因：
既存のACLを意識せず setAcl を実行し、すべてのアクセス権を上書きしてしまった。

対策：

• getAcl コマンドで事前にACLを確認し、必要なエントリを控えておく。
• 上書きでなく追加する形式のACL設定が必要な場合は、既存のACLを含めて再設定する。

2. Digestパスワードをプレーンテキストで設定してしまう

症状：
ACLは正しく設定したはずなのに、対象ユーザーでアクセスできない。

原因：
digest 認証で、暗号化せずプレーンテキストのパスワードを指定している。

対策：

• DigestAuthenticationProvider.generateDigest("user:password") で生成された文字列を使う。
• ハッシュ形式の文字列（例：user:9U3snE2JkGc7Sx0...）を setAcl に設定する。

3. 認証情報の追加を忘れてアクセスエラーになる

症状：
「Insufficient permission」のエラーが出る。

原因：
ZooKeeperセッションに addauth を実行しておらず、認証が通っていない。

対策：
ACLが必要なノードにアクセスする前に、必ず以下のように認証情報を追加する。

[zk: localhost:2181(CONNECTED) 0] addauth digest user:password

4. 全権限（world:anyone:cdrwa）を残してしまう

症状：
制限付きのACLを設定したつもりが、誰でもアクセスできてしまっている。

原因：
既存の world:anyone のACLを削除せずに、新しいACLを追加しただけになっている。

対策：

• setAcl 実行時に、必要なACLだけを明示的に指定して、既存ACLを完全に置き換える。
• getAcl で world:anyone が残っていないかを確認する。

安全なACL設計と運用のベストプラクティス

ZooKeeperのACLを適切に設計・運用することは、システムの安定性とセキュリティを保つ上で非常に重要です。以下に、実運用で役立つベストプラクティスを紹介します。

1. 最小権限の原則を徹底する

ポイント：
各クライアントやサービスには、必要最小限のアクセス権だけを付与します。

理由：
過剰な権限（特に delete や write）を付与すると、意図しない操作や攻撃リスクが高まります。

実践例：

• 読み取り専用クライアントには r のみを付与
• 更新を行うプロセスにのみ w 権限を付与

2. ACLの設計をサービス単位で分離する

ポイント：
複数のシステムやサービスがZooKeeperを共有する場合、ノード階層ごとに適切なACLを設計します。

理由：
アクセス範囲を明確に分けることで、意図しない干渉や操作を防げます。

実践例：

/services/app1 -> digest:app1user:***:cdrwa
/services/app2 -> digest:app2user:***:cdrwa

3. 認証方式は digest を基本としつつ厳重に管理する

ポイント：
digest スキームは簡便で広く使われますが、ユーザー名・パスワードの管理には注意が必要です。

対策：

• パスワードはプレーンテキストで管理しない（必ず generateDigest でハッシュ化）
• 認証情報をGit等のリポジトリに含めない
• 機密性の高いノードにはより強固な認証方式を検討

4. 変更前にはACLのバックアップを取る

ポイント：
ACLを変更する前に、現在の設定を控えておくことで、誤設定時のリカバリが容易になります。

5. テスト環境でACLを事前検証する

ポイント：
本番環境に適用する前に、テスト用ZooKeeperでACLの動作を確認します。

利点：

• 誤設定によるサービス停止を防げる
• 実行ユーザーごとのアクセス制御の動作を事前に確認できる

6. ACLを監視対象に含める

ポイント：
ACLの設定状態を定期的にチェックし、意図しない変更がないかを監視します。

実践例：

• getAcl の出力をバージョン管理して差分監視
• CIパイプラインにACLチェックを組み込む

ZooKeeperは高機能な分、誤設定が致命的になることもあります。「わかる人だけが触る」ではなく、「安全に設計・管理できる仕組み」を持つことが本当のセキュリティ強化につながります。ACLもコードや設定と同様に、「見える化」「再現性」「テスト性」を意識して運用しましょう。

まとめ：ZooKeeperのACL運用ポイント

ZooKeeperにおけるACL（Access Control List）は、ノードへのアクセスをきめ細かく制御するための重要な仕組みです。正しく活用することで、セキュリティリスクの低減やシステムの安定運用が可能になります。

本記事では以下の点を解説しました。

• ACLの仕組みと役割：どのユーザーが、どの操作をできるかを制御するためのルール
• 認証スキームの種類：world, auth, digest, ip, x509など、それぞれの特徴と用途
• パーミッションの種類：create, delete, read, write, adminの5つ
• JavaやCLIでの設定方法：実際のACLの設定手順と使用例
• よくあるミスと対策：認証漏れや誤ったパーミッション設定の回避法
• 安全なACL運用のポイント：最小権限の原則、変更前のバックアップ、テスト環境での検証など

ACLは一度設定すれば終わりではなく、継続的な見直しと改善が求められる運用項目です。システム構成やチーム体制が変わったときも、アクセス制御が適切かどうかを定期的に確認し、将来的なトラブルを未然に防ぎましょう。