セキュアなリモート管理ツールとして進化を遂げる デジタルKVMスイッチ

		アナログ式からデジタル式に進化するKVMスイッチ

KVMスイッチの概念図

　IAサーバでは特に顕著だが、サーバ本体に直接接続されたキーボードからでないと実行不能な操作がある場合、「KVMスイッチ」が有効な解決策となる。KVMとは、キーボード（keyboard）、ビデオ（video）、マウス（mouse）の頭文字で、オペレータとのインターフェイスである入力機器およびディスプレイを意味する。個人向けにも、複数のPCを1組のKVMで操作するための「CPU切替器」が販売されているが、エンタープライズ向け製品は、サーバルームを対象にしたものが多く、特に1カ所に数十台が集積されるラックマウントサーバをターゲットにしたものが主流だ。

　KVMスイッチを導入することで、キーボード、マウス、ディスプレイをサーバの台数分用意する無駄が省け、集約化によるコスト削減や効率化が実現できる。これは、KVMスイッチの本来の用途であり、メリットでもあるが、新世代のKVMスイッチではデジタル製品が主流となってきており、従来のアナログKVMスイッチとは異なる新たなメリットを獲得している。

		アナログKVMとデジタルKVMの違い

　アナログKVMスイッチは、キーボード、モニタ、マウスの各ケーブルを延長して、途中に切り替え機能を埋め込んだものといえる。テーブルタップで電源ケーブルを分岐させるのと同じようなイメージで理解できる。使われ方としても、1組のKVMの接続先を、複数のコンピュータから任意に選択して順次切り替えて利用する、という形が主だ。設置場所はコンピュータのある場所からそう離れることはない。データセンターに設置したラックマウントサーバが接続対象なのであれば、KVMの設置場所はラックのすぐ脇で、管理者がそこまで出向いて作業する、という形で運用されるのがほとんどだろう。

　一方、デジタルKVMスイッチでは、KVMスイッチと、管理者が操作を行う実際のKVM（キーボード、マウス、ディスプレイ）の間を、IPネットワーク経由で遠く離すことが可能になる。スイッチとKVMの間はインターネットを介した遠隔接続が可能になるため、使い勝手としては、世界中どこからでも、サーバの目の前にいるのと同じように操作できることになる。サーバルームまで出向く必要がなくなるため、サーバ管理者の負担軽減になる。

デジタルKVMスイッチでは、IP接続を使うことでサーバと操作PCを離すことができる

		セキュリティとコンプライアンスの強化にも効果

　デジタルKVMスイッチのメリットは、KVMとスイッチの間の距離を離し、設置場所の柔軟性が増すというだけにはとどまらない。実は、セキュリティやコンプライアンスといった課題に対する効果的な解決策ともなりうるのだ。

　デジタルKVMでは、サーバに対する操作を遠隔から実行できるため、サーバルームへの人の出入りを完全になくすことが可能になる。もちろん、サーバのハードウェア障害など、現場に行かなくては対応不可能な状況も当然あるが、日常の運用管理に関してはほぼ問題ないはずだ。これにより、セキュリティ問題がかなり軽減されることになる。企業で発生する情報漏えいなどのセキュリティ・トラブルは、その大半が実は内部犯行と呼ばれるものであり、ネットワークを介した攻撃によるものは比率的には稀なケースといえる。サーバのUSBポートにUSBメモリキーを差し、ファイルをコピーするといった単純な手法が意外に多いのだが、サーバルームへの立ち入りをなくしてしまえば、こうした手法による情報漏えいは阻止できる。

　さらに、デジタルKVMでは、サーバに対する操作のログを残すことができるというメリットも見逃せない。キーボード／マウスからの入力信号はIPパケットとしてスイッチに到達するため、パケットをダンプしておくことですべての操作を記録しておける。当然、操作のためにスイッチに接続したユーザーのIDや、そのときに使用していた端末のアドレスなどもすべて記録可能だ。あらゆる操作が記録可能だということだけでも内部犯行に対する抑止効果が大きく、セキュリティ向上に寄与する。さらに万一のトラブルの際にはログを精査することで原因究明が可能になる。

　J-SOX法の関連からIT内部統制の確立が求められるようになっており、誰がいつどのサーバに対してどのような操作を行なったのか、という情報も監査可能な記録として残すことが求められるようになってきている。これも、個々のサーバで個別に記録を残すのは煩雑だが、KVMスイッチを介した管理手法であれば、複数のサーバに対して一括で運用記録を残すことが可能になる。つまり、デジタルKVMはセキュリティとコンプライアンスを強化するための効果的なツールとしても利用可能なのである。

管理ツールでログを表示した画面。デジタルKVMスイッチでは、全サーバの操作ログを集約でき、セキュリティ対策やコンプライアンス向上に効果がある（クリックで拡大）※IPアドレスにぼかしを入れてあります

		「仮想メディア」で使い勝手が向上したKVMスイッチ

Dominion KX II

　日本ラリタン・コンピュータが提供するデジタルKVMスイッチ「Dominion KX II」は、同社のデジタルKVMスイッチとしては第2世代となる製品だ。旧モデルに新たに「仮想メディア」サポートや「ずれないマウス」といった機能が加わったほか、従来はハイエンドモデルに限定されていたフェイルオーバー付き二重化電源が全モデルでサポートされた。USBポート数も前面1、背面3の計4ポートになり、旧モデルから倍増している。

　仮想メディアとは、操作端末のUSBポートに接続したメモリや光メディアドライブ、HDDなどを、あたかもリモートのサーバのUSBポートに直接接続されたかのようにマウントする機能である。この機能を利用することで、OSの再インストールやパッチ適用といった作業もリモートから実行可能となる。この機能を利用するには、サーバ側の接続にUSBタイプのCIM（Computer Interface Module）としてD2CIM-VUSBを利用する必要があるが、手元のドライブとサーバの間でのデータ転送は、KVMと同様にサーバのEthernetポートではなく、USBポートを介して“Out-of-band”で流れるため、サーバのネットワーク帯域には影響しないというメリットもある。

仮想メディア機能を使うことで、操作PCのUSBポートに接続したUSBデバイスを、サーバ側でマウントすることができる

　 ずれないマウスとは、新たに実装されたマウス同期機能で、操作端末で表示されているマウスカーソル位置とサーバ上で認識されているマウスカーソル位置を正しく同期させる機能だ。これにより、見えている場所と違う場所にクリックしてしまうといったトラブルを避けるためにユーザーが明示的にマウス位置同期を指示する必要がなくなった。

　操作端末とDominion KX IIとの接続は、操作端末上でWebブラウザを起動し、KX II上のWebサーバに接続する、という形で確立される。この際に128bit SSL、RC4、AESといった強固な暗号化が行なわれるため、インターネット経由で利用する際にも、キー入力や画面表示を盗聴される心配はない。サーバに接続すると、Webブラウザ上にサーバの画面イメージそのものが表示される。これは、OS起動後の画面だけでなく、システムの電源投入直後のBIOSメッセージのレベルから対応できる。この点が、ソフトウェアによる遠隔操作とは異なる点で、ハードウェア・ソリューションとして提供されているKVMスイッチの大きなメリットとなる。

　ソフトウェアベースで実装される“in-band”のソリューションでは、OSが起動してネットワーク通信が利用可能な状況でないと操作ができないため、OS自体がハングアップするような状況では対応不能になる。また、サーバのネットワーク帯域を使用するため、本来の業務処理に影響を与える可能性がある。日本ラリタン・コンピュータでは、ハードウェアによるout-of-bandのソリューションを「非常階段」にたとえ、緊急時にも確実に利用できることをメリットとしている。

仮想メディア機能を使うことで、操作PCのUSBポートに接続したUSBデバイスを、サーバ側でマウントすることができる（クリックで拡大）

ソフトウェアソリューションによるリモート管理では緊急時やOS起動前の操作ができないが、ハードウェアソリューションならBIOS操作などもリモートで可能だ（クリックで拡大）

		リモートで電源管理も可能に

　Dominion KX IIでは、最小構成でサーバポート16、リモートユーザー1のDKX2-116から、最大ではサーバポート64、リモートユーザー4のDKX2-464まで、さまざまな規模の構成を用意する。中核となるサーバポート16、リモートユーザー2のDKX2-216の価格は、72万円（推奨小売価格）。なお、KX IIでは、スイッチ自体にもKVMの接続ポートを備えており、ローカル・ユーザーによる操作もサポートする。ローカル・ユーザーはリモート・ユーザー数のカウントには含めないため、DKX2-216の場合、総計で3人のオペレータが同時にサーバの操作ができることになる。

　KX II単体では、アクセスログの管理が可能だが、管理アプライアンスである“CommandCenter Secure Gateway”を併用すると操作ログまで記録できる。アクセス管理機能に加えてログの一元化が実現できるため、大規模環境では特に効果を発揮する。

　また、新製品としてコンセントごとに電源管理が可能なインテリジェントPDU（多機能次世代電源タップ）“Dominion PX”も発売される。KX IIとの統合が可能で、リモートからコンセント単位で電源のオンオフが可能になるほか、コンセント単位での実電力消費量の測定が可能となっている。サーバの障害時に、電源供給を断つことで強制的にシャットダウンするといった用途に加え、サーバの消費電力量を正確に把握することで、このところ注目を集めている「グリーンIT」への対策を行う第一歩ともなる。

　元々KVMスイッチは「多数のサーバが集約されたラックで、サーバごとに個別にKVMを接続しては機器コストも設置スペースも無駄になる」という問題への対応策として普及したものだった。それが現在では、エンタープライズ・ユーザーが直面する課題に対応し、セキュリティ強化やコンプライアンス、省電力化まで、幅広い用途に対応できるまでに成熟してきた。iDCなど、管理者が常駐できない場所にサーバを置いている場合や、特に機密性の高いデータを扱うサーバで、サーバに直接アクセスすることを禁止したい場合などには大きな効果を発揮する。進化したKVMは、そうした観点からも導入を検討する価値があるだろう。

『効率化以上の効果を出した運用管理ツール』 　北海道を中心に光ファイバー網を使った通信サービスを展開する北海道総合通信網 （HOTnet）は、複雑化／多様化する顧客ニーズに応えるべく、法人向けネットワークソリューションの改善に着手。「ユーザーが柔軟にネットワークサービスを利用できる」環境作りを目指した。 　さらに、同社が提供するホスティングサービスもユーザー側の運用の柔軟性を高めることを目的とし、その仕組みからメニューまで再構築を図った。いろいろ検討した結果、同社はラリタンのKVMスイッチ「Dominion KX II」および統合管理機器「CommandCenter Secure Gateway」の導入を決めた。果たして導入の決め手は何だったのか？また、どのような効果があったのか。担当者に話を聞いた。