Special
» 2016年04月20日 10時00分 UPDATE

CTC&HPE 仮想化エキスパートが提言:「インダストリー4.0」を見据え──今、なぜ「OSとアプリケーションの分離」が叫ばれているのか

社会一般において情報セキュリティに対する意識が年々高まる中、官公庁や金融機関は「インターネット分離」によって、外部ネットワークと内部ネットワークを切り離すなど、積極的にセキュリティ対策に取り組んでいる。同様の姿勢は「インダストリー4.0」といったキーワードの下、社会全体の注目を集める製造業をはじめ、各業種にも求められるが、営利組織にとっては「攻めと守りの両立」が大前提。今、それを実現する新しいアプローチとして注目を集める「アプリケーション分離」について、二人のエキスパートに話を聞いた。

[PR/@IT]
PR

「インターネット分離」によるセキュリティ強化の動き

 近年、セキュリティ分野で「インターネット分離」というキーワードを頻繁に耳にするようになった。発端は、2015年6月に発覚した日本年金機構による大量の個人情報漏えい事故だ。折しも、2016年1月からのマイナンバー制度スタートを控えていたこともあり、事態を重く見た総務省は「自治体情報セキュリティ対策検討チーム」を立ち上げ、2015年11月に「新たな自治体情報セキュリティ対策の抜本的強化に向けて」と題した報告書を公表した。

 この中では、2017年7月からの国・自治体を通じたマイナンバー情報のオンライン連携の前に、各自治体に対して幾つかのセキュリティ対策の取り組みを強く求めている。その1つが行政ネットワークとインターネット接続系の分離、いわゆる「インターネット分離」の取り組みだ。

 庁内ネットワークとインターネット接続系を切り離すことによって、外部からの攻撃が内部のネットワークに直接影響を及ぼさないように、そして庁内ネットワークで管理している情報がインターネット上に流出しないようにするというもの。同様の取り組みは、個人情報の厳格な扱いが求められている金融機関などでも行われているが、近年では一般企業でもインターネット分離を検討するところが増えてきているという。

photo 日本ヒューレット・パッカード プリセールス統括本部 サーバー技術本部 シニア・ソリューションアーキテクトの小川大地氏

 しかし、インターネット分離によって情報セキュリティの強度を上げることができたとしても、それによってシステムの利便性が大幅に低下してしまう事態は避けたい。そのために企業や組織が取り得る対策には、一体どのようなものがあるのだろうか? 日本ヒューレット・パッカード(HPE) プリセールス統括本部 サーバー技術本部 シニア・ソリューションアーキテクトの小川大地氏は、「OSとアプリケーションの分離」をキーワードに挙げる。

 「情報システム部門は、セキュリティやガバナンスを強化するためにインターネット接続を必要とするアプリケーションを分離したい。一方のユーザー部門は利便性を優先することから、同じPCで内部ネットワークにもインターネットにもアクセスしたい。この相反するニーズの折衷案として有効なのが、OSとアプリケーションを分離することです。外部からのセキュリティ脅威の大半は、ネットワークからの入口であるOSの脆弱性を狙ったものです。そうであれば、OSとアプリケーションを分離した上で、OSは安全な内部ネットワーク側に置き、インターネット接続を必要とするアプリケーションをインターネット接続系ネットワークに配置すれば良いわけです」(小川氏)

ネットワーク分離と合わせ、「OSとアプリケーションの分離」に注目してほしい

 具体的には、クライアントOSはこれまで通りクライアントPC上にインストールされ、内部ネットワークと接続される。一方でメーラーやブラウザなど、インターネットと接続するアプリケーションは、アプリケーション仮想化といった技術を使って、OSから切り離してサーバ上に集約する。これにより、ユーザーはサーバ上で動作するアプリケーションにアクセスして、画面データだけを受け取って自身のPC上で表示させることになる。こうすることで、仮にアプリケーションが外部からの攻撃を受けても、被害はインターネット接続系ネットワークにつながれたサーバだけにとどまり、内部ネットワークには影響が及ばないことになる。内部情報の流出も防げる。つまり、アプリケーションとOSを切り離すことで、ユーザーの利便性と安全性・管理性を両立する――これが「アプリケーション分離」の概念だ。

 冒頭で紹介した総務省の方針が出される以前から、既に多くの官公庁や金融機関、一部の企業がこうしたセキュリティ対策を実行に移してきた。特に、多くの個人情報を取り扱う官公庁と金融機関では、かなり早い時期からアプリケーション分離を導入してOSとアプリケーションの分離に取り組んできたという。

 しかし近年、こうした動きとは別の観点からOSとアプリケーションの分離がもたらすメリットに注目する企業が増えているという。伊藤忠テクノソリューションズ(CTC) 流通・EP第2本部 製造技術第2部 エキスパートエンジニアの田内康晴氏によれば、特に製造業においてそうした動きが顕著に見られるという。

photo アプリケーション分離の活用によって得られる効果

 「弊社では多くの製造業のお客さまと長くお付き合いさせていただいていますが、近年“業務効率化”を目的にアプリケーション仮想化に取り組み始める企業が増えてきています。アプリケーションをOSやクライアント端末から分離して一元管理可能とすることによって、システム管理者にとっては、部門ごとに仕様の異なるアプリケーション動作環境の提供と更新、メンテナンスなど、煩瑣な作業がシンプルになり、より創造的な業務に集中することができるようになります」(田内氏)

 一方で、業務部門にも大きなメリットをもたらす。アプリケーションをサーバ上に集約し、どんなデバイスからでもアクセスできるようにすることで、場所を問わず、いつどこにいても働ける環境を整備できる。同氏によると「アプリケーション分離や仮想化によって、ワークスタイル変革を目指すもの作り企業も増えてきている」という。特に企画や設計開発など、創造力によって企業の競争力を生み出す職種においては、こうした取り組みの効果は大きいはずだ。

 また田内氏によれば、これまで課題だった、新たなグラフィックス仮想化技術が実用化されたことも、製造業におけるアプリケーション仮想化導入の動きを後押ししているという。

 「これまでのアプリケーション仮想化環境では、製造業のユーザーが使う3D CADなどを動作させるグラフィックス性能が足りないとされてきました。しかし近年、サーバのグラフィックスカードのハードウェアリソースを仮想環境上でより効率的に利用できる技術が実用化され、またCADソフトウェアのベンダーも仮想環境上での正式サポートを始めるなど、製造業向けアプリケーション仮想化がより身近になってきたのです」(田内氏)

製造業における「アプリケーション分離」のメリットとは?

 一方、小川氏は、コストとITガバナンスの観点から、製造業におけるアプリケーション分離への取り組みの意義を強調する。

 「製造業では一般的な業務アプリケーションだけでなく、CADやCAEをはじめとする特殊な業務アプリケーションや、生産管理システムをはじめとした独自開発の業務システムが多く使われています。こうしたアプリケーションは情報システム部門でなく現場の業務部門の管轄です。

 業務部門が使うアプリケーションはOSやブラウザのように、毎月更新するものでもなく、セキュリティ強化が無償で行われることもない。セキュリティを強化したり、新しいOS・ブラウザに対応するためにはアプリ改修や新バージョンの購入が必要です。そしてこれには莫大な費用が掛かる。つまり、業務部門はOSやブラウザを勝手に更新したり、バージョンアップされては困るのです」(小川氏)

photo 製造業における業務分掌のイメージ

 これは情報システム部門にとっても頭の痛い問題になる。特に近年では、オンプレミスのアプリケーションだけでなく、SaaS(Software as a Service)型サービスを部門ごとに個別導入する例も増えているが、SaaSはブラウザを用いてアクセスするタイプが多い。操作性を良くするために、ブラウザの種類やバージョンを特定しているケースも多い。全社のセキュリティポリシーに反するブラウザの導入・運用が勝手に行われ、セキュリティホールが生まれる危険性も否めないのだ。

 「ですからブラウザは、もはやシステムアプリではなく、業務アプリの一部だと捉えるべきでしょう」(小川氏)

 こうした課題を解決する上でも、アプリケーション分離のアプローチは極めて有効だ。ブラウザも含めてアプリケーションをクライアントPCから分離し、サーバ上に集約してしまえば、そこは業務部門の管轄だ。社外にアクセスするためのインターネット用ブラウザは情報システム部門が一括管理してセキュリティ脅威に対応しつつ、業務アプリ側で指定された“社内システム用ブラウザ”は任意のバージョン・任意のブラウザを利用できる。これにより、ブラウザを常に最新にしておきたい情報システム部門と、アプリとの互換性からやむなく古いバージョンを使わざるを得ない業務部門の希望が両立できるわけだ。

photo アプリケーション分離により、利便性と管理性を両立する

CTCとHPEが提供する製造業向けアプリケーション仮想化ソリューション

photo 伊藤忠テクノソリューションズ 流通・EP第2本部 製造技術第2部 エキスパートエンジニアの田内康晴氏

 このようにCTCとHPEは、顧客のこれまでの“支えるIT”から、「ビジネスを躍進させるIT」の提案を第一に考え、互いの得意分野を持ち寄ることで、製造業向けのアプリケーション仮想化ソリューションを多くの企業に共同で提供している。

 CTCは国内の大手製造業の顧客企業に対して、これまで豊富なソリューション提供の実績を持つが、その中で蓄積されてきた豊富な業務知識を基に、アプリケーション仮想化の分野においてもより実践的なソリューションを提案しているという。

 「単に製品を導入してシステムを構築するだけではなく、その前段階の計画フェーズでご相談いただくケースも増えています。アプリケーション分離も、まず情報システム部門の方からお声掛けいただくことがほとんどですが、日常業務に直接的に関わるシステム投資に関する案件は “業務部門の理解や同意が得られなければ話が進みにくい”ことを経験上分かっています。そこで業務部門や上層部の理解を得ながら着実に導入計画を進められるよう、包括的にサポートするように心掛けています」(田内氏)

 また同社では導入計画と同じく、「運用計画」も極めて重要視しているという。いくらすばらしい仕組みを導入したとしても、それが適切に運用されなければ効果は発揮されない。「情報システム部門のインフラ担当者はともかく、業務部門のIT担当者にとって、全社レベルの運用設計を行うのは難しい面があります。しかし、われわれのような第三者が入ることによって、全社で横断した運用計画の社内調整もやりやすくなります」(田内氏)

 もちろん、システムそのものの設計と構築に関しても国内屈指のスキルを持ち、アプリケーション仮想化プラットフォーム技術もシトリックスとヴイエムウェアの双方に対応しているという。

 またHPEでも、製造業における多種多様なニーズに応えられるよう、ハイエンドなHPC(High-Performance Computing)環境からデスクトップサーバ機まで、幅広いハードウェア製品を用意している。「製造業で使われる3D CADやCAEなどのアプリケーションはマシンにも高パフォーマンスが求められるが、同時にコストにもシビアな目が向けられます。こうした製造業特有のニーズに応えるために、さまざまなレベルでパフォーマンスとコストのバランスが取れる製品ラインアップをそろえています」(小川氏)

 特に、同社が現在力を入れているカートリッジ型サーバ製品「Moonshotシステム」は、製造業におけるアプリケーション分離のニーズにぴったりの製品だと小川氏は力説する。

photo ワークロードのタイプに合わせた小型カートリッジで構成する「Moonshotシステム」

 「Moonshotシステムは見た目の小ささだけでなく、用途ごとに特化したモデルで製品展開していることが特徴です。一般的なサーバは多目的に使える分、使われない部品もいくつかあります。標準搭載されてしまっているがゆえに、使われなくても外すことはできないのですが、Moonshotシステムは用途ごとにマザーボードから設計しているため、不要な部品がまったくありません。お客さまは過不足のないぴったりのサーバを手にすることができ、予算の『無駄遣い』をしなくて済むのです。今回提案したいシーンに向けた『アプリケーション分離』用途向けのモデルもご用意しています」(小川氏)

CTCとHPEの強力なタッグが実現する唯一無二の価値

  この両社の密接な協業の下、今後も製造業の顧客に向け、より価値の高いソリューションを提供していきたいと両者は抱負を述べる。

  「HPEとCTCは、単に個のメーカーと個のパートナーSIerの関係にとどまらず、お客さまが目指すゴールを理解し、互いに多様な視点を持ち、刺激し合える“感度ある集団同士”として認識しあっています。こうした信頼関係の中で、より一層強固なパートナーシップを結ぶことができ、唯一無二のソリューションが提供できるのだと自負しています」

photo

関連ホワイトペーパー

アプリケーション仮想化の効用――先行導入企業の活用事例に学ぶ

wp

インターネット接続環境の分離によるデータ保護や、マルチデバイスでの社外からの業務アプリ利用といった業務効率化の観点から、アプリケーション仮想化に再び注目が集まっている。実際に導入している企業では、どのように取り組みが行われているのだろうか。


VDIの課題を解決、ハードウェア占有型リモートデスクトップの実力とは?

wp

VDIなどの仮想デスクトップの導入を検討したものの、パフォーマンスや運用管理への懸念から導入をためらう企業は少なくない。そこで注目されるのが、物理PCに劣らないパフォーマンスを備えたハードウェア占有型のリモートデスクトップだ。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:伊藤忠テクノソリューションズ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年5月19日

関連ホワイトペーパー

インターネット接続環境の分離によるデータ保護や、マルチデバイスでの社外からの業務アプリ利用といった業務効率化の観点から、アプリケーション仮想化に再び注目が集まっている。実際に導入している企業では、どのように取り組みが行われているのだろうか。

VDIなどの仮想デスクトップの導入を検討したものの、パフォーマンスや運用管理への懸念から導入をためらう企業は少なくない。そこで注目されるのが、物理PCに劣らないパフォーマンスを備えたハードウェア占有型のリモートデスクトップだ。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。