2019年1月23日 06:00
弊社刊「クラウド&データセンター完全ガイド 2019年冬号」から記事を抜粋してお届けします。「クラウド&データセンター完全ガイド」は、国内唯一のクラウド/データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売:2018年12月22日
定価:本体2000円+税
ユーザーの視点で「クラウド時代のセキュリティ」を考える場合、「クラウドを守る」か「クラウドで守る」かのどちらかの方向性を思い浮かべることになると思われるが、より俯瞰的な立場から見ると、さらにもう1 つの選択肢として「クラウドに守ってもらう」という方法もある。つまり、クラウド/データセンター事業者などが提供するマネージドセキュリティサービスを活用し、セキュリティもサービスとして利用する形にする方法だ。 text:渡邉利和
現在はas-a-Serviceの時代であり、何もかもがサービスとして供されるようになりつつある。ことIT /セキュリティに関して言えば、セキュリティのサービス化はユーザーにとっては直接的な負担軽減に直結する、歓迎すべきトレンドと言えるだろう。
サイバー犯罪で多額の利益を手にできる可能性が生まれていることから、攻撃手法は高度化し、攻撃主体は専門化された犯罪組織はもちろん、場合によっては国家レベルの体制だったりする例もあるようだ。無差別攻撃的なマルウェアであれば阻止できても、“本職”が周到に準備した上で仕掛けてくる標的型攻撃などは、完全に防御するのは相当に困難だ。むしろ、防御を破られることを前提に、いち早くそれに気付き、致命的な被害が生じる前に対処する、という発想に切り替えざるを得なくなりつつある。
こうした状況では、「常時監視」や「即応体制」が重要であり、これを自社内で実現しようとすれば必要な人的リソースが跳ね上がってしまう。万全を期して「トップレベルのセキュリティエンジニアを3交代で24時間待機させる」といった対応ができる企業は限られており、セキュリティベンダーやクラウド/データセンター事業者のサービスを利用する方が現実的な判断になるのも当然だろう。
クラウド時代/サービス化の時代にデータセンター側ではどのような取り組みを進めているのだろうか。ここでは、一例として高品質なデータセンターをグローバルに展開するエクイニクスの取り組みについて聞いてみた。
旧来型データセンターの終焉
エクイニクス・ジャパン株式会社プリンシパルソリューションズアーキテクトの内田武志氏(写真1)は、調査会社によるレポートなどでも「データセンターの終焉」が予測されていると指摘する。
調査によれば、「80%の企業は、2025年までにデータセンターを閉鎖」する意向だと言われており、これは「データセンターと呼ばれる施設すべて」の話ではなく、終焉に直面しているのは「レガシーの単なる保管場所」としての“従来型データセンター”である。一方で新しいアーキテクチャである“Interconnection(インターコネクション)型データセンター”が、「データを活用し、付加価値を生み出す場所」として需要を集めることになると予測されている(図1)。
従来型と言われるデータセンターは、主にメインフレーム全盛期に成立した“計算機センター”からの発展だとみてよいだろう。極めて高価で貴重なリソースだったメインフレームを、安全かつ安定的に稼働させるための専用施設として成立したこともあり、また、日本国内では地震などの自然災害からの保護も重要なテーマとなったことから、耐震/免震構造の堅牢な建屋や、複数系統での受電、自家発電設備など、「大規模な自然災害が発生した場合でもメインフレームに被害を及ぼさず、安全に運用を継続する」ための備えを重視しているのが特徴と言えるだろう。
それが、インターネット時代を迎えて“インターネットデータセンター”という言葉が使われるようになると、広帯域のネットワーク接続を必須とする新しい形のデータセンターに進化したわけだが、それでも基本的な設計方針はほぼ変わらず、新たな要件としてネットワーク接続性が追加されたという形に落ち着いた例が多いのではないだろうか。
一方、新しいインターコネクション型データセンターは、「エコシステムやサービスへの接続を重視」することが最大の特徴だ。もちろん、堅牢性/安全性といった従来の要件を無視するわけではないが、それらは目的ではなくむしろ最低条件であり、クラウドサービスや各種通信回線、CDN、ISV/SaaSや産業別エコシステムなど、さまざまな主体との接続性が重視される存在だ。
アーキテクチャの進化には、背景として現状の問題点/課題がある。これまでのデータセンターおよびエンタープライズユーザーのデータセンターの利用モデルは、基本的にはクラウド時代以前に確立されたモデルであり、オフィスとデータセンターの間で業務が行なわれることを想定したモデルであった。メインフレームの運用に必要な電源確保や空調の問題を考えると、オフィス内にマシンルームを用意するよりも専用の“データセンター”を利用する方がコスト面でも有利、と言う判断が主となっている。
インターネットデータセンターの利用開始初期には、本誌でも「オフィス内のマシンルームはもう止めて外部のデータセンターを活用しよう」というメッセージを盛んに発信していた時代もあった。当時は重要なシステムは社内にあるのが当たり前で、社外に出した場合はセキュリティや機密漏えいのリスクが無視できない、と本気で考えるユーザーが大半だったのである。
今では、専門のデータセンターを利用するよりも、オフィス内にマシンルームを作る方がセキュリティや災害対策にも優れていると考えるユーザーはまずいないだろう。メインフレームを社外に移動させた形のデータセンターの利用は、基本的には社員/従業員が業務遂行のために利用する“業務アプリケーション”が稼働するプラットフォームとなるため、オフィスとデータセンターの間のトラフィックが重要となる。
インターネットが普及し、ウェブサーバーなどがデータセンターに置かれるようになっても、アーキテクチャは急激には変わらなかった。当時はウェブサーバーなどはまとめて“情報系システム”などと呼ばれ、中核業務を支える“基幹系システム”とは別の、ある意味“格下”のシステムと扱われていたという事情もあった。
こうした状況は、昨今の“デジタルトランスフォーメーション”によって一気に切り替わることになった。新時代のビジネスを切り拓いた“デジタルディスラプター”と呼ばれる新興企業群が、インターネットと“アプリ”を活用してコンシューマーにサービスを提供するモデルを駆使して「破壊的革新」をもたらし始めたためだ。
インターネット、システム的な視点で言えばエンドユーザー向けに公開されたウェブ系システムがビジネスの主戦場になったことで、データセンターのトラフィックにも主客の転換が起こったのだ。
同時に、オフィスアプリケーションはもちろん、CRMやERPといった業務アプリケーションでもクラウド利用の流れが拡大しつつあることから、オフィス内からインターネット上のクラウドサービスへと向かうトラフィックが増加傾向にある。
従来の発想では、オフィスとデータセンター間のトラフィックが多く、さらにインターネットへの出口をデータセンター側に置き、オフィスからインターネットに向かうトラフィックがデータセンターを通過する構成になっている例が多かった。こうすることで、セキュリティ対応がデータセンターに一元化できるというメリットがあるのだが、同時にこの構成だと、データセンターとインターネットの間の接続がボトルネックとなってしまう。インターネットからサービスを利用するためにやってくるトラフィックと、オフィスからクラウドサービス/クラウドアプリケーションを利用するトラフィックが、いずれもデータセンターとインターネットの間のWAN回線を通過することになるためだ(図2)。
エクイニクスはもともと、ISPやキャリアを相互接続し、トラフィックを交換するIX(Internet Exchange)を事業としていたことから、さまざまな接続が集まる、インターネットにおけるハブとしての位置付けにあった。現在では、さまざまなクラウドサービスが閉域網接続での利用をサポートしているが、データセンターがこうした各種サービスへの直接接続をサポートすることで、ユーザーは自分で直接クラウドサービスと接続するよりも簡単に、より低コストで、迅速にサービスを利用できるようになるというメリットが得られる。
逆に言えば、こうした相互接続性を提供することが、新しいインターコネクション型データセンターの大きな魅力となるわけだ。
エクイニクスでは、インターコネクション型データセンターを含む新しいアーキテクチャを“Interconnection Oriented Architecture(IOA)”と名付け、このコンセプトに関する情報発信を行なうウェブサイト“IOA Knowledge Base”(https://ioakb.com/) を開設するなど、コミュニティ活動を通じて新たなアーキテクチャの普及に取り組んでいる。同サイトでは新しいアーキテクチャに基づく“Blueprint”も公開している。セキュリティに関する“Security Blueprint”も用意されており、セキュリティのためにどのような検討をすべきかが丁寧に記述されている。ユーザー企業にとっても大いに参考になるはずだ。
サービスとしてのセキュリティ
クラウド時代のインターコネクション型データセンターとしてのあり方を追求しつつあるエクイニクスだが、一方で国内でデータセンター事業を展開していたビットアイルを買収したこともあり、ビットアイルが従来から提供していたマネージドセキュリティサービスのメニューも引き継いでいる。
エクイニクス・ジャパン株式会社テクノロジー・サービス事業本部長の有本一氏(写真2)によれば、エクイニクスでは日本独自のテクノロジーサービスとして「サイトロックモニタリングサービス」や「セキュリティ監視・診断サービス」の提供を行なっているという(図3)。
サイトロックモニタリングサービスは、「サイトの稼働状況を、専任スタッフが24時間365日の体制で監視」するもので、社内のIT /セキュリティ担当者の負担を軽減し、本来の業務に専念できるようにすることが大きな目標となる。この中には、3つのモニタリングサービスとなる「サイトロックマネジメントサービス」「外部監視サービスSite Care PRO」「AWSクラウド運用監視サービスSite Care Cloud」に加えて、「マネージドセキュリティサービス」がある(図4)。
サイトロックマネジメントサービスでは、オンプレミス、データセンター、クラウドや、それらを組み合わせたハイブリッド環境に設置されたサイトの稼働状況をモニタリングする。外部監視サービスSite Care PROでは、ウェブサービスやメールサービスを対象に、リモートからインターネット経由でサービスの稼働状況を監視する。AWSクラウド運用監視サービスSite Care Cloudでは、AWS上に構築したシステムやサービスの安定性や可用性の向上のために、監視、障害対応、運用をパッケージしたAWS専用の運用監視サービスとなる。
データセンター事業者として、自社データセンター内に設置された機器の運用監視を行なうマネージドサービスは珍しくはないが、パブリッククラウドまでを対象とするサービスはあまり多くはないはずだ。しかし、ユーザーにとっては特定の環境限定ではなく、必要に応じてさまざまな環境を対象としてくれるサービスの方が使いやすいことは間違いないだろう。
クラウド化/サービス化の流れは、実は人材の育成/確保に関しても大きな影響を与えている。大規模にサービスを展開し、多数のユーザーをサポートしている事業者で実務を担当すれば、短時間で豊富な経験を積むことができ、専門家として成長できる。そして、こうした人材がいる環境には、新たにそうした仕事を志す人材が引き寄せられる。
現状では、ITシステムの運用管理やセキュリティ対策といった業務に関して充分な経験を積むことができ、ステップアップを果たせる環境を探すなら、クラウド/データセンター事業者や専業ベンダーが真っ先に候補に挙がるはずだ。一般企業のIT部門で経験できるトラブルやインシデントの数は限られており、経験から学ぶという観点で言えば、到底比較にならない。そう考えると、データセンターなどが提供するマネージドサービスの意義も明らかになってくるだろう。
今後ますますクラウドの利用は拡大する方向となり、運用管理やセキュリティ維持といった煩雑な作業は可能な限り専門家に任せ、ユーザー企業側の人材は自社のビジネスに直接関わる部分に専念する、という分業体制がさらに進んでいくことは間違いないと思われる。そうしたトレンドが明確になっていくと、自社内に専門性の高い人材を確保することは極めて困難になっていくことは明らかだ。既に現時点においても、データセンター以外の場所で、システムの運用管理に習熟した人材を見つけるのは難しくなっているのではないだろうか。
セキュリティに関しては、完全に外部に任せきりというのも不安が残るが、かといってすべてを自力でというのも現実的ではない。企業にとっては、最小の負担で最大の効果が得られる最善のバランス点を見つけ出す努力が必要となるだろう。