データセンター／クラウドサービスの選び方2021（Part 1）

クラウドとオンプレミスの比重の変化

　およそ1年前の最初の緊急事態宣言の際には、急遽リモートワークの全面展開が求められ、対応に苦慮した記憶は多くの企業では既に薄れつつあるかもしれないが、社員の一定割合をリモートワーク／在宅勤務とし、全員の出社は求めない、という対応を行う企業は相当数に上るようだ。全員が出社することを前提としてオフィススペースを確保していた企業でも、スペースを縮小するなどの動きが起こっていることからも、「コロナ禍が終わればまた元通りの全員出社が当たり前の状態に戻る」ことは考えにくくなっている。

　こうして在宅勤務／リモートワークが増えたことで、多くの企業でSaaSの利用比率が高まった。従来であればオフィスに集合し、対面で行なっていたコミュニケーションが、個々人が分散してそれぞれバラバラな場所で仕事を進める状況になったため、まず必要となったのがコミュニケーションツールだ。コロナ禍で急速に知名度を高め、デファクトスタンダードの地位を獲得したZoomを始め、SlackやBoxなどがリモートワークを直接支えるツールとして広く活用されるようになった。特に、オンプレミスのファイルサーバーの置き換えが可能なBoxに関しては、作業の基本となるドキュメントの作成や共有と行ったプロセスを根本的に変革する可能性を秘めており、単に「在宅勤務のために便利だから」というポイントソリューション的な導入も可能ではあるものの、導入後にBoxを軸にクラウド主体の働き方にシフトする際の推進役となったという事例も多数紹介されている。日本企業の文化として変化には慎重という点がよく指摘されるが、コロナ禍への対応の過程でクラウドベースの新たなSaaSなどのツールの活用が始まり、経験を積むことで抵抗感が薄れてくる、という形で変化が加速する面もあるようだ。

セキュリティもクラウドベースに

　コロナ禍以前の環境では、VPNによるセキュアアクセスが基本だったとい企業が大半だろうが、この点も大きく変わった。人数比的にも、作業の進め方の面でも、基本的な働く場所がオフィスにほぼ限定され、外回りの途中でリモートアクセスを行うなどの形は例外的な対応と位置づけられていた状況では、ごくわずかな例外であるリモートアクセスユーザーをVPNを介してオフィスのネットワーク内に引き込み、以後はオフィス内にいるのと同等の作業ができるようにする、という考え方で問題なく、合理的な選択だったと言える。しかし、コロナ禍によって急遽ほぼ全社員が在宅勤務に切り替わるなどの経験をした企業では、全社員が接続するためのVPN回線を確保することが困難だった例もある。また、在宅勤務を効率的に進める上で利用するアプリケーションもオンプレミスで稼働している業務アプリケーションからSaaSへとシフトしたこともあって、従来通りに社内ネットワークに接続することが必ずしも最善とは言えなくなってきている面もある。

　従来は社内ネットワークとインターネットとの接続点の部分にファイアウォールをはじめとするセキュリティ機器を配置して強固な「防壁」を構築し、外部からの侵入を防ぐという「境界防御」型のアーキテクチャが一般的だった。ちなみに、VPNによるリモートアクセスは、暗号化されたトンネルを通じてリモート端末を社内ネットワーク、つまり境界の内側に引き込むという手法となる。

　コロナ禍以前にも、クラウドサービスやSaaSの活用が増えてきたことを踏まえ、「境界の外」で提供されているクラウドやSaaSへのアクセス状況を可視化して必要な保護を行うための手法としてまずCASB（Cloud Access Security Broker）が提唱され、次いでクラウド環境のセキュリティを包括的に実現するという考え方となるSASE（Secure Access Service Edge）が普及してきた。現在は主要なセキュリティベンダーからSASE対応ソリューションが続々と市場投入されている状況であり、機能の充実が進んできている。現時点では従来型の境界防御型のセキュリティ対策が不要になっているわけではなく、境界防御はこれまで通りに固めておきつつ、クラウド環境に関しては新たにSASEのコンセプトに基づいて保護を行う、という形でセキュリティ確保が進んでいるところだ。在宅勤務が一般化し、今後も一定比率の授業員は在宅勤務を継続することになると考えられることから、SASEの導入についても真剣に検討すべき時期になってきていると言えるだろう。

　同時に、従来の境界防御型のセキュリティ対策を突破してくるような洗練された高度な攻撃手法が目立つようになってきたことを踏まえ、ゼロトラストという考え方に基づくセキュリティ対策の導入に注目が集まってきている。従来の境界防御型のセキュリティでは、境界によって外部からの脅威を防御することが前提となっていることから、境界の内側である社内ネットワークでは特にアクセス制限などは行なわれないのが一般的だ。しかし、攻撃手法の高度化によって境界でのセキュリティチェックをすり抜けて社内ネットワークで活動するマルウェアなどが増大したことで、「境界の内側で活動するマルウェアなどの脅威が野放しになってしまう」という問題が生じた。エンドポイントなどでマルウェアが活動している兆候をつかむためのソリューションとしてはEDR（Endpoint Detection and Response）などが普及しつつあるが、これとは別のアプローチとして、そもそも境界内部でのさまざまな活動に関しても性悪説に基づいてチェックすべきという考え方が出てきた。これがゼロトラストネットワークアクセスというコンセプトのベースとなっている。昨年辺りから急速に浸透してきたことから、ゼロトラストへの対応も今後重要になってくるのは間違いない。

データ量の増大への対処

　オンプレミスとクラウドのバランス、という観点からは、企業が保有するデータをどう管理するかも深刻な問題となりつつある。コロナ禍でDXが一気に進展したと言われるが、DXの中核となるのがデータの活用だ。俗に言うAIなどのデータ活用手法の進化によって、大量のデータを効率よく活用することが企業の成長に欠かせないという理解が進んだが、一方で、日々大量に生成されるデータをどこに保存し、どう活用するかという点についてきちんと考えている企業はまだ少ないようだ。

　データ量が増大すると、そのコピーや移動に要する時間も長くなっていくし、ネットワークの利用料などのコストも増大する。データ量を圧縮するためのさまざまな手法が存在するが、それらは常に有効とは限らないと言う点にも注意が必要だ。たとえば、典型的な例としてバックアップが挙げられるだろう。バックアップを取る場合にはさまざまな効率化手法を駆使して転送するデータ量を最小限に抑えることができるようになっている。具体的には、変更されたデータ部分のみをバックアップするようになっているし、さらには重複排除技術なども併用している。このため、バックアップの取得間隔を短縮し、ほぼリアルタイムで常に最新のデータをバックアップすることもさほど難しくはなくなってきた感があるが、いざリストアを行う場合は大量のデータを転送せざるを得なくなるということを見落としがちだ。運用中のシステムが完全に破壊されてしまったような場合では、フルバックアップデータをコピーしてくる必要がある。これは当然ながらバックアップ時の差分データのみの転送量とは桁違いであり、瞬時に完了するとは限らない。データのコピーにはネットワーク帯域によっては数時間を要することになるだろう。

　現在は、バックアップデータの保管には安価なクラウド上のオブジェクトストレージが有利、という認識が広がっているが、迅速なリストアにはあまり向かない。障害発生時に使うことになる最新のバックアップデータは、転送速度やコストを考えるとやはりオンプレミスに保管し、数世代前のバックアップデータはクラウドを活用するなど、オンプレミスとクラウドの使い分け／すみ分けに関する知見も蓄積されつつある状況だ。こうした最新のトレンドを踏まえ、クラウドを活用していくことは大前提として、クラウドを補完する形でのオンプレミスの活用方法についてきちんと検討していることが「After Corona」のIT環境を考える上で重要なポイントとなるだろう。