クラウド&データセンター完全ガイド:特集

最新テクノロジーが導く次世代ITインフラの姿

デジタル変革期のITインフラ[戦略と選択](Part 3)

弊社刊「クラウド&データセンター完全ガイド 2018年冬号」から記事を抜粋してお届けします。「クラウド&データセンター完全ガイド」は、国内唯一のクラウド/データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売:2017年12月21日
定価:本体2000円+税

デジタルビジネスの基盤となるITインフラ/データセンターの実現にあたっては、時にデザインやアーキテクチャレベルでの刷新も求められる。ゆえに、現場の開発/運用エンジニアやサービス開発担当者は、注目の基礎・基盤技術に関して常にアンテナを張っておく必要があるだろう。ここでは、「IIJ Technical WEEK 2017」で取り上げられたテーマを手がかりに、次世代のITインフラの基となりそうなトピックを取り上げる。 text:渡邉利和

 インターネットイニシアティブ(IIJ)は2003年から毎年、インターネットの最新技術をテーマとする技術セミナー「IIJ Technical WEEK」を開催している。15回目の開催となる今年は例年にもまして盛況で、初日の11月8日は用意された座席が足りなくなるほどの来場者が集まった。この日のテーマが共通の関心事であるセキュリティだったからなのか、あるいは本セミナーの認知度の高まりが表われたのかもしれない。

 冒頭挨拶を行ったIIJ取締役CTOの島上純一氏は、「技術広報の一環であると同時に、現場のエンジニアが技術/サービスの開発の過程で得た知見を公開することで、皆さんのビジネスや技術開発に役立てていただきたいという思いで続けている」と同セミナーの趣旨を説明した。

ランサムウェアが大流行、古い攻撃手法も復活

 初日はセキュリティがテーマということで、まず、IIJのセキュリティ本部長の齋藤衛氏が「セキュリティ動向2017」と題したセッションを行った。取り上げられた話題は、「マルウェアの活動」「IoTボットの活動」「DDoS攻撃とその対策」[脆弱性対応の宿題」の4つに加え、「セキュリティに関するIIJの取り組み」についても語られた。

 マルウェアに関しては、やはり全世界で蔓延したランサムウェアが2017年を特徴づけるものとなる。なかでも2017年5月の「WannaCry」マルウェアが報道の数も最多だった(画面1)。齋藤氏はWannaCryの特徴として、SMBv1の脆弱性を利用し感染を広げる/組織内ネットワークでの急速な感染/キルスイッチの存在などを挙げた。なかでも、LAN内で周囲の端末に感染していくというインターネットワーム的挙動が、対策を後手に回させた理由ではないかとの指摘がなされた。

画面1:WannaCryランサムウェア感染時に表示される画面(出典:ラック)

 IIJでは同年6月以降もハニーポットにWannaCryの亜種が到達しているのを観測している。これら亜種は原種と同じ脆弱性を利用している一方で、キルスイッチ機能は無効化されていないなど、より感染力を高めていながらも、HDDの暗号化機能は動作せず単に感染を広げるのみの挙動を示すなど、営利目的のランサムウェアと断じにくい特徴も見られるという。

 ワームはかつて大流行したが、最近ではほとんど話題に上らなくなっていた。齋藤氏は「ワームの流行が最後に観測されたのが2008年のConfickerと思われる」とし、そのうえで今回WannaCryが大流行した一因を「セキュリティ担当者の世代交代が進む過程で、ワームの流行を経験していない若手の人材が増えていることにもあるのではないか」との見解を示した。

 これは傾聴に値する指摘だと思われる。セキュリティ担当者としても、最新の攻撃手法に関する情報収集に注力する一方、もうほぼ見られなくなった攻撃手法については十分に調べる機会は滅多にない。そうした古い手法が突然復活した際にもすぐには気づくことができないということは十分に考えられ、セキュリティ施策の難しさを示すよい教訓と言える。

 同じく興味深いデータとして、Webブラウザをマルウェア感染させる際の標準的なツールとして広く使われていたWebエクスプロイトキット(Exploit Kits)による感染活動が顕著に減少し、2017年は広範囲でほぼ検出されなくなったという(図1)。この理由について齋藤氏は、Webブラウザ側の対策が進んだ結果、悪用可能な脆弱性が解消されたことがあるのではないかとしている。

 「Webエクスプロイトキットに代わって、今ではScamなどの詐欺行為で不要なソフトウェアをインストールさせる手法や、Coinhiveで仮想通貨の掘削を行わせてCPUパワーを消費する手法などが台頭している」(齋藤氏)。一くくりにマルウェアといっても多彩な手法が次々と出現し、新旧交代が起こっている状況で、かつ古い手法が突然復活することもあるなど、対策を行う側の負担は重くなる一方だという。

図1:Webエクスプロイトキットによる感染活動の終焉(出典:IIJ)

なりすましツールmimikatzをめぐる攻防

 続いて、IIJのセキュリティ本部 セキュリティ情報統括室 リードエンジニアの小林稔氏による「mimikatz実行痕跡の発見手法」についてのセッションだ。小林氏は「mimikatzとは、Windowsのメモリ上に保持されているアカウントの認証情報にアクセスし、管理者権限の取得や他のアカウントのなりすましを行うためのツール」と説明。インターネット上で公開され、現在も開発が継続中のツールだという。

 mimikatzの作者は「C言語の勉強とWindowsセキュリティの理解を深める目的を兼ねて開発した」と表明しているそうだが、実際には前述のとおり、成功した場合には管理者権限を奪取される危険度の高いツールであり、かつ作者がアクティブに改良を続けているため、検出手法が発見されても、すぐにmimikatz側に対策されるといったイタチごっこが繰り返されるという頭の痛い状況が続いている。

 今回の講演では具体的な検出手法がいくつか紹介されたが、前述のような状況ではいずれ対策されてしまう可能性も否定できないだろう。最新手法を常に追いかけていないと後手に回ることになるため、セキュリティ担当者の苦労は尽きないようだ。

SDNの取り組み

 IIJらしさのある、SDN(Software Defined Networking)のセキュリティに関するセッションも用意された。同社ネットワーク本部 SDN開発部長の白崎博生氏が「SDNで実現するネットワークセキュリティ」というタイトルで講演した。白崎氏はSDNに関する講演を毎年行っており、SDNの技術を活用することで「IPアドレスの管理を不要にすべきだ」と訴え続けている。今回もその流れに沿ったもので、開発の最新状況が紹介された。

 IPアドレス、特にIPv4は、ノードごとの個別の識別子という役割と、ネットワーク上の位置を示す機能とを兼ねており、このことが運用管理上の煩雑さにつながっている。パケットのルーティングはIPアドレスに含まれるネットワークアドレス部を手がかりとして行われるため、モバイル端末などがネットワークの境界を越えて移動するとIPアドレスをつけ直さないと通信できなくなる、といった問題が生じるわけだ。

 一方で、現在ではレイヤ2(L2)ネットワークでの通信を行う機会が減少していることもあり、レイヤ2の単位でネットワークを分割する意味もなくなりつつある。そこでSDNによるポリシーベースの管理に移行することで、L2セグメントを設定してやれば、IPアドレスをブロックで分割するような煩雑な設定が不要になる。

 同氏が提案しているのが「次世代セグメンテーション」という考え方で、これは「ネットワークセグメントとセキュリティセグメントの完全分離」を意味する(図2)。ユーザーを基点としたポリシーベースのセグメンテーションでは、相互通信を許可するかどうかをユーザーに基づいて制御し、かつIPアドレスを識別子としてのみ活用し、ロケーション情報と分離することを基本とするものだ。デモンストレーションも公開されており、基本的な技術開発は終わっているようなので、今後の展開が楽しみだ。

図2:次世代セグメンテーション(出典:IIJ)

Linuxの標準機能を活用したストレージ機能強化

 2日目以降もディープなトピックを扱うセッションが多数行われた。いくつか主なものを紹介しておきたい。

 「IIJ GIOインフラストラクチャP2パブリックリソースにおけるストレージ機能強化に向けて」セッションでは、同社のクラウドサービスで使われるストレージ機能の強化内容と、カーネルモジュールの実装についての説明が行われた。

 機能強化がなされたのは「データの暗号化」「オンラインでのストレージ接続・切断」「インスタントクローニング」「オンラインバックアップ」の4つ。コスト圧縮や効率的なリソース活用の観点から、ストレージ製品に依存しない実装が目標とされ、さらにホストサーバー側の機能を活用した実装も行われた。興味深いのはインスタントクローニングに備わった複製作成機能だ。ハイエンドストレージであれば複製作成機能が備わる製品は珍しくないが、IIJ GIOインフラストラクチャP2でのストレージ側の独自機能は使わないポリシーに立ち、Linuxカーネルが持つスナップショット機能を活用した実装が試みられた。また、同じくスナップショット機能を活用することで、スナップショット作成時点のストレージの状態を静止点として、仮想サーバーを停止することなくバックアップを作成する機能も検討された。

 実装の過程では、実際にはLinuxのスナップショット機能ではキャッシュの内容に不整合が発生する可能性があるため、うまくいかないことが判明した。そこで、最終的にはキャッシュ制御の機能を含むスナップショット機能を新たにカーネルモジュールとして実装し、問題を解決したという(図3)。OSSであるLinuxの普及があるからこその取り組みと言えそうだ。

図3:スナップショット機能用カーネルモジュールの構築イメージ(出典:IIJ)

LoRaWANを活用した農業IoTプロジェクト

 「LoRaを活用した農業IoTへの取り組み」セッションでは、IIJが手がける農業IoTプロジェクトの概要が紹介された。農林水産省の「経営体強化プロジェクト」に参加したもので、3カ年計画で水田に設置する水位・水温センサーと自動給水弁、LoRa(LPWA通信規格の一仕様)WANを組み合わせた低コスト型の水田管理システムの開発が計画されている。成果として各水田に設置可能な水管理センサーと水管理を遠隔から実行できるシステムの構築を目指す(図4)。

図4:LoRaWAN による水田管理システムの全体イメージ(出典:IIJ)

 プロジェクトの公募要件では「水管理に係るコストを2分の1程度削減する」「水田センサーは推移と水温を測定可能で販売価格1万円程度」「自動給水弁は重力式低圧パイプライン向けで販売価格3万円程度」「無線基地局は2km以上通信可能、メンテナンス・設置が容易」といった条件が定められている。IIJが研究代表機関となり、公共/民間の研究機関や農業経営体(いわゆる農家)が加わった「水田水管理ICT活用コンソーシアム」を結成し、研究開発に取り組むというスキームだ。

 ここで指摘されたのは、「人的集積は進むが、面的集積は進まない」という問題だ。後継者不足などを原因に、少数の大規模農業者に農地が集積されつつある現状はよく知られている。だが、こうした農地(今回の例では水田)は必ずしも隣接しているわけではないので飛び地が多数発生しており、実態として小規模な水田を多数、少ない人手で管理せざるをえなくなっているという。

 結果として、数が多すぎて水田を回りきれないという問題が生じると同時に、個々の水田はさほど大規模というわけではないため、水田ごとに設置するシステムのコストは自ずと制約され、数の多さもあって高額なシステムを多数ばらまくというわけにはいかない。プロジェクトの仕様としてコストが具体的に明記されているのはこうした理由による。そのため、低コストで実用的なシステムを開発する必要があり、相応に難易度の高い取り組みとなっている。

 さらに、稲の生育サイクルに起因する難しさもある。実験地では田植えから収穫までのサイクルは年に1回だけなので、試行錯誤の回数にも制約が生じてしまうわけだ。短期間に何度も試作を繰り返して「数打てば当たる」といった戦略ではうまくいかない。

 農業IoTは、キャッチーな話題としてたびたび取り上げられるテーマだが、実際にだれが開発主体となるのがふさわしいのかは議論が分かれる。ITに詳しい農業事業者が取り組むのが適切に思えるが、その数は少ない。ネットワークやクラウドサービスを主事業にIoTを手がけるIIJは、技術面でリードできるが、農業に精通しているわけではない。開発には相当の困難が待ち受けていることが予測されるが、社会的意義の大きさからよい成果が得られることを期待したい。

多様な気候環境でコンテナ型データセンターを運用

 データセンターの高効率化が追求される過程で注目を集めたコンテナ型/モジュール型データセンターだが、最近では一時期ほど話題に上らなくなっている。しかし、IIJは特に熱心に取り組んで来た事業者であり、独自のコンテナ型データセンターを設計し、実際に建設/運用している実績がある(写真1)。

写真1:IIJ松江データセンターパークのコンテナ型データセンター(出典:IIJ)

 今回は、2015年7月から国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)から受託した「地球温暖化対策技術普及推進事業」の1施策として、ラオスで行われている省エネデータセンタープロジェクト(LEED:Laos PDR Energy Efficient Datacenter)の概要が披露された。このプロジェクトでは、コンテナ型データセンターを使った温室効果ガス排出削減効果の実証とともに、ITサービスの稼働実証、技術者の指導・育成支援などを目的としている。

 熱帯に近いラオスはデータセンターの冷却には厳しい環境だ。一方で同社はロシアの-30℃という極寒冷地でもコンテナ型データセンターの運用を行っている(写真2)。このようにさまざまな環境下でデータや知見を収集・分析し、設計・建設・運用にフィードバックしている。

写真2:極寒のロシアで運用中のコンテナ型データセンター(出典:IIJ)