特別企画

豊富な実績で業界スタンダードを狙う、NTTネオメイトの「AQStage 仮想デスクトップ」に迫る

 前回は、近年話題に上ることが多くなってきたクラウド型の仮想デスクトップサービス「DaaS」について、セキュリティーの向上、導入・運用コストの削減、ワークスタイル変革の支援といったさまざまな面でメリットをもたらすことを紹介した。

 それと同時に、インターネット経由でクラウドにアクセスすることによる盗聴の危険性、パフォーマンスの問題、小規模導入におけるコストなど、いくつか課題と思われる部分もあると述べた。これらが解決されることで、DaaS導入のハードルは一気に下がると思われるが、実際のところはどうなのだろうか。今回は独自のコンセプトでDaaS「AQStage 仮想デスクトップ」を構築し、すでに多くの企業に安定的なサービスを提供しているNTTネオメイトの担当者に、具体的なサービス内容について聞いた。

24時間365日監視、何重ものセキュリティーを備えたデータセンターを利用

 NTTネオメイトが、DaaSである「AQStage 仮想デスクトップ」の提供を開始したのは2013年のことだ。当初はテストも兼ねて同社従業員のPC 6000台分を仮想デスクトップに置き換え、さらにNTT西日本グループ企業に3万5000台分を納入した。その後、グループ外の一般企業に対しても本格的にサービスを開始し、2015年2月時点で、自社やグループを含め日本全国に計5万台分もの仮想デスクトップを提供している。

 こうした実績を背景に、同社はDaaSにおけるあらゆるノウハウを獲得してきた。アクセス集中の緩和やマスターOSの構成を工夫することによる快適な動作環境の実現、ドライバおよびアプリケーション管理の手法開発、トラブル発生時に即座に対処できるサポート体制など、これらは主に自社導入の際に経験したさまざまなトラブルを乗り越えなければ得られなかったものだ。

 では、冒頭で述べたDaaSの課題のうち、盗聴などのセキュリティーにかかわる安全性やハードウェア面の信頼性において、「AQStage 仮想デスクトップ」ではどのような対策が採られているのだろうか。同社プラットフォームサービス推進部の北賀亮輔主査によれば、データセンターはNTTグループが運営する施設にて厳重に管理・運用されていると強調する。

プラットフォームサービス推進部の北賀亮輔主査

 通信経路上での盗聴については、一般的なVPNなどを利用することで十分に高いセキュリティーを実現できるとしている。「AQStage 仮想デスクトップ」の場合、NTT西日本が提供しているフレッツ・v6オプションを利用すれば、データセンターまでのVPN接続料金が無料になるというオプションも用意している。

 ただ、どうしても社外のクラウドサーバーを利用するのに抵抗があるという場合は、自社管理サーバーをデータセンターに設置してプライベートクラウド化する「持ち込みクラウド型」や、自社ネットワーク内にサーバーを構築する「オンプレミス型」も選べるようになっている。

 障害対策にも配慮しており、ストレージ、電源などを二重化して冗長性をもたせ(スタンダード、プレミアムの各プランのみ)、サポート拠点となっている「オペレーションセンター」では、こちらも24時間365日のリアルタイム監視を実施。トラブルが発生した際には速やかにメールや電話で利用者らに伝え、適切に対処できる体制だ。

「AQStage 仮想デスクトップ」の提供形態。クラウド型を基本としつつ、持ち込みクラウド型やオンプレミス型といった多様な形態に対応する(資料提供:NTTネオメイト、以下同じ)

月額2000円台からの「ライト」プランと、導入前の検証環境も利用可能に

 DaaSの導入を検討している企業にとって、一番の心配事はコストではないだろうか。クラウド型は自社でサーバーを用意するより初期コストが低いだろうとしても、継続的にかかる維持費用が高額では導入をためらってしまうのも無理はない。しかも一度DaaSに切り替えてしまうと、自社の業務スタイルに合わなかったからといって、そこから再び元のシステムに戻すのは困難であることも容易に想像できる。

 NTTネオメイトの「AQStage 仮想デスクトップ」では、サービススタート時に100〜2000ユーザー規模の中小企業に向いたクラウド型「スタンダード」プランと、2000ユーザー以上の大企業に向いた持ち込みクラウド型やオンプレミス型も選択できる「プレミアム」プランが用意され、それぞれ1ユーザーあたり月額4900円から(100ユーザー、1年契約時、税抜)と、月額5000円から(2000ユーザー、5年契約、税抜)という料金設定にしている。

 これでもかなりリーズナブルな料金設定と思われるが、さらに2015年10月に新たな小規模企業向けの「ライト」プランも用意。こちらもクラウド型で、10〜100ユーザーの企業でも利用可能とし、料金は月額2090円から(100ユーザー、3年契約、税抜)という高いコストパフォーマンスを実現した。本格導入の前に検証できる「PoC」プランも利用可能で、いきなり全面導入するのは不安が大きい、という企業のニーズにも応える。

「AQStage 仮想デスクトップ」のラインナップ
各プランの位置付け

ストレージ性能の“最小値”の調整がパフォーマンス維持に重要

 パフォーマンス面はどうだろうか。当然ではあるが、クラウドであるDaaSは1台のサーバー(CPU・メモリリソース)上で何ユーザー分もの仮想デスクトップを同時実行することがあるため、あるユーザーが重い処理を行った結果、ほかの多くのユーザーに悪影響を及ぼす、といったことも起こりえる。

 朝、出社したユーザーが一斉にデスクトップを起動するといった、ある意味予測可能なことだけでなく、運用しているうちには、予測不可能な高負荷状態もあるだろう。しかしNTTネオメイトでは、仮想化専用ストレージを用いることで(スタンダードプランのみ)、あらかじめ仮想マシン1台単位でストレージのIOPS性能の予約を行えるようにしている。これを適切に設定することで、負荷が高まった時の極端な速度低下を抑え、スムーズに利用できるようにしているのだ。

ストレージのIOPS性能を予約できるため、ある仮想デスクトップで重い処理を行っていても、最低限の性能は確保できるという

 プラットフォームサービス推進部 ビジネスクラウド部門の前野秀彰氏は、「ストレージの負荷をいかにコントロールするかが重要です。最小値を指定できることで、どんな状況であっても、最低でも“このIOPS性能”というものが出せる」と語る。むやみに性能を落として見かけ上の負荷を低減するのではなく、一定以上のパフォーマンスを保証することでユーザー本位の快適さを保てるように配慮しているわけだ。

プラットフォームサービス推進部 ビジネスクラウド部門の前野秀彰氏

管理、セキュリティーの面でメリットの多いリンククローンも選択できる

 このように「AQStage 仮想デスクトップ」は導入のハードルが十分に低いDaaSとなっているわけだが、さらに他社のDaaSにはない大きなメリットもあるという。「われわれの明確な強みは、仮想化サーバーのプラットフォームにVMware Horizon(with View)を採用していること」と前野氏は話す。

 「他社はDaaS向けのVMware Horizon DaaSを使っているケースが多いのですが、当社ではオンプレミス型の仮想デスクトップで利用するのと同じVMware Horizon Viewを利用しているため、フルクローンとリンククローンの2つの方式が使えるんです」。

 フルクローンは、マスターOSを仮想デスクトップごとに作っておくことができ、「デスクトップを仮想化しつつも、今までのPCと全く同じように、ユーザーが自由にアプリケーションなどを追加したりして使える」のが特徴。他社のDaaSにも多く採用されている方式だ。ただし、1台ごとにマスターOSが異なるため、セキュリティーパッチなどを適用する際には個別に実行して反映しなければならず、管理上は手間のかかる方式となる。

 もう一方のリンククローンは、1つのマスターOSを仮想デスクトップ環境に共通の基本的なベース設定とし、ユーザーごとに変更がある部分は差分の形で保管しておく方式だ。この場合、デスクトップ環境の大部分が共通のマスターOS部分で決まってしまうため、ユーザーごとの自由度はやや失われしまうものの、セキュリティーパッチを適用する場合は1つのマスターOSに対して実行するだけで、全ユーザーの仮想デスクトップに一括して反映される。管理性は非常に高く、セキュリティー上のリスクが格段に下がり、必要なストレージ容量も抑えられる。

フルクローン方式とリンククローン方式の違い
リンククローンの場合、OSに対する変更は、1つのマスターOSに適用すれば全台に適用される

 また、大本のベースとなるマスターOSと、ユーザーが作成したデータは個別に管理されており、ユーザーがサインアウトするたびに仮想デスクトップは元のマスターOSの状態に戻す、といったことも容易だ。

 これは、仮想デスクトップを使い始める時にはOS自体が必ずリフレッシュされていることを意味する。万が一業務中に仮想デスクトップ内へマルウェアやウイルスが侵入してしまっても、ユーザーがその日の業務を終えてサインアウトした瞬間、マルウェアとウイルスはきれいさっぱり消えてしまう、というか、もともとなかったことになるのだ。

 最近の標的型攻撃では、異常動作や異変を発生させるタイミングを特定の日時などに狙い撃ちしている場合も多いが、その日のうちに原因となるデータが消えてしまえば何の問題もない。もちろん侵入経路や経緯を詳細に調査し、必要なセキュリティー対策を施す改善は別途行われるべきだが、セキュリティーリスクを最小に抑えられるという意味ではリンククローン方式は安全性の高い仕組みと言えるだろう。

ログオフとともにOSイメージがリフレッシュされるので、マルウェアに感染しても、サイバー攻撃者に与える時間的猶予を非常に短くすることができる

 導入の際には、このフルクローンとリンククローンのどちらを採用するか、という重要な初期構成について、同社は企業と慎重に話し合いしながら決めていく。フルクローンはもちろん、リンククローンを選ぶ際でも、管理の複雑化を避けるため「マスターOSを少なくするにはどうしたらいいか」というノウハウを駆使しながら詰めていく。

 前野氏は「部署ごとに分けているとマスターOSがどんどん増えてしまう。マスターOSにかかわらない変更部分を見極めて、ThinAppなどアプリケーション仮想化の仕組みも取り入れて吸収する」と語り、事前検証可能なPoCプランでは数カ月かけてこうした活動を行って、導入方針を明確に定めていくとしている。

DaaS導入が難しくても、業務のクラウド化をあきらめる必要はない

 セキュリティー向上とコスト削減を可能とし、ワークスタイルの変革にも寄与するDaaSではあるが、それでもDaaSの仕組みや考え方自体が業務形態、セキュリティーポリシー的に合わず、導入しにくいという企業もあるかもしれない。その場合、一部システムのクラウド化さえも完全にあきらめてしまうしか、手段はないのだろうか。

 答えはノーだ。NTTネオメイトでは、そうした企業でも導入しやすいクラウドバックアップソリューションを用意している。次回は、クラウド時代のデータ管理のあり方を考えながら、ガバナンスを強化してデータ漏えいを防ぎつつ、高度なファイルのバックアップや共有などを行える同社の仕組みを紹介したい。

(日沼 諭史)