20111026 switch on福岡（クラウドコンピューティング）

Copyright © 2011 GLOBAL BRAINS CO.,LTD

2011 年 10 月 26 日 13 ： 00 ～

クラウドコンピューティング～ Cloud Computing ～

Switch On! 福岡


Cloud Computing

2

アジェンダクラウドコンピューティングって何？

どんなクラウドサービスがあるの？

クラウドを使ってみる（デモ）

実例で見るクラウド

クラウドの最新動向


Cloud Computing

3

“ クラウドコンピューティング”の定義

「インターネットのあちら側」からのサービスすべてを、使いたい時にすぐ、使いたいだけ、ネットワーク経由で利用できること。

クラウドコンピューティング

５つの特徴（米国 NIST の定義）・ On-demand self-service　必要に合わせて、利用者自身がサーバやスト　レージを利用できること。・ Broad Network access　ネットワーク経由で様々なプラットフォームから　アクセスできること。・ Resource pooling　資産は全体で管理（プール）されること。・ Rapid elasticity　すばやく（あるいは自動で）スケールアウト／イ　ンができること。・ Measured Service　適切な計測で、サービスの透明性が確保できて　いること。


Cloud Computing

4

“ オンプレミス”

On-Premise / 自社運用 / 社内設置

情報システムを利用するに当たり、自社管理

下にある設備に機材を設置し、ソフトウェア

を配備・運用する形態のこと。


Cloud Computing

5

中小 IT 企業から見たクラウド

大手 SIer 中小 IT 企業

オンプレミス

HW 、ミドルウェア、開発、保守を一括契約できる (^_^)

ベンダーにロックインできる

大手 SIer からの受注で、設計〜開発作業に関わる (*_*)

短納期、高機能化、コストダウン

クラウド

HW 、ミドルウェア、開発、保守契約が大幅に減少する(T_T)

全体的な受注の減少

インフラ環境の提案／提供が簡単に行える (^_^)

顧客との直接商談機会の増加 !!


Cloud Computing

6

ユーザから見たクラウド

初期コスト導入までのリードタイ

ム

柔軟な増減対応

運用コストトータルコスト

オンプレミス

初期投資が高額

見積〜導入に数カ月

急激な増減に対応不可

保守・運用費用が必要

高い

クラウド

初期投資が安価

数分で利用できる

急激な増減に対応可能

利用した分だけ支払い

安い


Cloud Computing

7

“ クラウドコンピューティング”サービス形態

業務プロセス

オンプレミス

業務アプリ

ミドルウェア

OS

H/W

IaaS PaaS SaaSInfrastructureas a Service

Platformas a Service

Softwareas a Service

お客様の用意する

資産

クラウドの中に用意

Salesforce.comNetsuite

Google AppsSmartBusinessDesktop

Force.comGoogle App Engine

Windows AzureAppLogic

ApplicationService-and ToolsKDDI CS2

Amazon EC2 ， S3Sun Cloud

VMware vSphereEucalyptus

業務プロセス

アプリ

ミドルウェア

OS

H/W

業務プロセス

アプリ

ミドル

OS

H/W

業務プロセス

アプリ

ミドル

OS

H/W


Cloud Computing

8

MicrosoftWindows Azure

“ クラウドコンピューティング”サービス

EnterpriseVirtualization

パブリッククラウド

プライベートクラウド

規模

国内海外


Cloud Computing

9

クラウドを使ってみる（デモ）


Cloud Computing

10

クラウドデモ“ NiftyCloud” （サーバの構成決定〜起動まで）

http://cloud.nifty.com/

サーバ作成を選択

1


Cloud Computing

11

OS を選択2

サーバ名を設定

3


Cloud Computing

12

サーバタイプを選択

4

料金タイプを選択

5

SSH キーを選択

6

ファイヤーウォールを選択7


Cloud Computing

13

「作成する」を選択

8


Cloud Computing

14

実例で見るクラウド


Cloud Computing

15

Eli Lilly 社（イーライ・リリー社）（製薬会社）

（１）分析開始

（５）結果を受け取る

（２） Linux/Unix サーバ群で分析

（４）分析結果をストレージに格納

（３）一時的なストレージに格納しデータを加工・分析

（２）～（４）をクラウド化

クラウド実用事例（１）

（製薬情報の分析に関するクラウドの利用）


Cloud Computing

16

Eli Lilly 社（イーライ・リリー社）（製薬会社）

クラウド実用事例（１）

オンプレミス（分）

クラウド（分）

サーバの調達

72,000 分（７ . ５週間）

３分

サーバの初期構築

81,000 分（８週間）

５分

６４ノードのクラスタ構築

130,000 分（１２週間）

５分

計283,000 分

（ 27.5週間） 13 分

Amazon のAWS を使用

（オンプレミスの場合とのリードタイムの比較）


Cloud Computing

17

NewYorkTimes

１８５１～１９２２年の新聞イメージをネットで配信するサービスサイトを開設サイト開設にあたり、 4TB のデータの PDF 化が必要

Amazon EC２の仮想サーバ１００台を２４時間のみ利用従来なら１カ月はかかったと想定される作業

データ変換にかかったサーバ費用は２４０＄ !! （ 1＄： 77円換算で、 18,480円）

Amazon EC2

クラウド実用事例（２）

１００台 !！２４時間 !！

（必要な時に、必要なだけサービスを利用した場合）


Cloud Computing

18

Animoto

写真と音楽を複数アップロードすると、音楽にあわせて変化するスライドショー的な映像を生成するサービス

Facebook で認知度が高まり、登録メンバー数が３日で１０倍に急増という事態にAmazon EC２を活用し、５０サーバから３ , ５００サーバへスケールアウトして対応

↑4/18↑4/15

クラウド実用事例（３）

サーバの数を増やすことで、サーバ群全体のパフォーマンスを向上させること。サーバ単体の性能向上はスケールアップという。

（サーバのスケールアウトによる機会損失の防止）


Cloud Computing

19

国内企業のクラウド利用

クラウド実用事例（４）

ユーザ企業名適用業務システム

ベンダサービス

特徴

パナソニックグループウェア IBM LotusLiveグループ企業を含め約 30万人規模で利用。Web 会議、ファイル共有、人物検索など。

三菱重工業化学物質管理 NEC ProChemist/CS空調やカーエアコンに含まれる化学物質の管理。科学物質情報の管理、伝達作業の効率化を実現。

野村不動産システム基盤 IDC フロンティア「 NOAH プラットフォームサービス」を適用。キャンペーン期間中のアクセス増（ 4倍）に対応。

アサヒビールシステム基盤 SASTIK サービス育児休職者とのコミュニケーションツール、出張者の業務支援ツール。 USB型の認証キーを利用。

全国銀行協会システム基盤ソフトバンクテレコム

Web サイトの基盤に「ホワイトクラウド」を採用。迅速なリソースの調達、コスト低減がポイント。

国立大学法人静岡大学

システム基盤 Amazon EC2他学生及び教職員 1万 3千人が利用。給与／会計などの基幹業務はプライベートで、ホームページや SNS はパブリックで使い分け。

トップツアーグループウェア Google Apps営業支援システムの刷新。渉外担当者の作業効率向上のため、携帯端末からの利用を実現。

損保ジャパン CRM Salesforce代理店とのリアルタイムコミュニケーション実現のため、「 Salesforce Partner Portal 」を採用。

TOHO シネマズ

ギフトカード管理

富士通 FIP プリペイドカードの残高管理、履歴管理に利用。カード情報を利用したプロモーションも可能。


Cloud Computing

20

クラウドの最新動向


Cloud Computing

21

クラウドの最新動向（１）

クラウドコンピューティングの違いと認知度（ 2011 年 8 月 11 日 Digital Todayより）

・日本で IT 関連の業務に携わる人、９割近くが「クラ　ウド・コンピューティング」を認知している。

・また、クラウドの種類についても理解が進み、「パブ　リッククラウド」、「プライベートクラウド」といった分　類も７割が認知している。

・クラウド・コンピューティングについて、「これからの　 IT の主流になる」という意見が、昨年の５８％から、　６９％へと大きく増加している一方で、クラウド・コン　ピューティングへの関心がある企業は前年の４８％　から、４５％へと、やや減少している。

※最大の関心事は災害対策／節電対策

パブリック・プライベートの使い分け（日立製作所HPより）・パブリッククラウド

　・クラウドサービス事業者がサービスを提供　・利用者は不特定多数（ BtoC ）・プライベートクラウド　・企業や組織の IT部門がサービスを提供　・利用者は企業や組織内の各部門（ BtoB ）　・企業のセキュリティポリシ実現のため SSL や VPN等の技術を適用

※上記を組み合わせた、「ハイブリッドクラウド」もあり。※パブリッククラウド上のリソースを、特定の企業や組織で占有的に使用　する VPC （バーチャル・プライベート・クラウド）のサービスも存在する。


Cloud Computing

22

クラウドの最新動向（２）

バーチャルプライベートクラウド（ AmazonWebService の例）（ 2011 年 3 月 16 日 @ITより）（提供済）・今までの AWS-VPC では、 EC2 の一部のサーバを論理的に隔離し、企業や　組織の拠点と IPSec VPN 接続することで、 EC2 のサーバが、あたかも組織　内にあるかのように見えるサービスであった。　（ VPC で構成されたサーバは、 VPN 経由でしかアクセスできなかった）・今回の拡張では、物理的なデータセンタと同様に、ネットワークセキュリティ　を保持しつつ、柔軟な構成が組めるように拡張し、かつウィザードを提供す　ることにより、技術的に詳しくない人でも活用できるように配慮されている。

　・ VPC with a single public subnet　　他の EC2 のサーバと分離されているが、インターネットや、他のサービス　　と通信することが可能な VPC を構成することが可能である（右図①）。

　・ VPC with a single public and private subnet　　上記に加え、プライベートなサブネットを構成することができる。プライベ　　ートサブネットは、 NAT を通じてパブリックサブネットと通信する（右図②）。

　・ VPC with Internet and VPN access　　 VPC に対し、従来から可能だった VPN 接続と、インターネットとの直接接続　　を双方設定できるもの（右図③）。

　・ VPC with VPN only access　　　 VPC に対し、従来から可能だった VPN 接続のみを許可する構成（右図④）。

※上記の機能については、 AmazonWebService を例にとって説明しているが、　　他のクラウドサービス事業者でも、同様のサービスを提供している。※社内で配置しているファイルサーバや、開発作業用のサーバについて、 VPC　　を有効利用することにより、 TCO の削減が可能となる。

① ②

Internet

③ ④

Company


Cloud Computing

23

クラウドの最新動向（３）

クラウドのセキュリティについて（ Publickey 　 2011 年 3 月 29 日より）

Amazon クラウド、「東京データセンターも、米パトリオット法の対象内」と説明2011 年 3 月 29 日

「 Amazon はアメリカの会社なので東京リージョンもパトリオット法の対象内です」今月 3 月 2 日に、日本国内のデータセンターとして「東京リージョン」の稼働を発表した Amazon クラウド。その東京リージョンは米パトリオット法の対象内であることを、アマゾンウェブサービスジャパンの小島英揮（おじまひでき）氏が、 3 月 4 日に行われた Japan AWS User Group （ JAWS ）主催の「 JAWS-UG サミット 2011春」で、参加者の質問に答える形で明らかにしました。

パトリオット法は、米国内外のテロリズムと戦うことを目的とした米国の法律です。 2001 年に米国で発生した同時多発テロ事件後に、捜査機関の権限を拡大する法律として成立しました。情報通信の分野についての主な点は、電話回線の傍受に加えて ISP における通信傍受も可能となり、捜査令状により電子メールやボイスメールを入手でき、またテロ活動の防止を目的としていれば捜査機関が金融機関やネットサービス企業に対してプライバシー情報の提出を求めることも可能になった点などです。

Publickey では、 2009 年 4 月にテキサス州のデータセンターが FBI によって押収され機能停止に追い込まれた事件を、記事「 FBI が令状によりデータセンターを押収、巻き添えの顧客は大損害」で紹介しました。

東京リージョンがどのような理由でパトリオット法の対象となるのか、 Publickey では詳細を確認するために電子メールで問い合わせをしていますが、返答はまだもらえていません。おそらく、以下のようなロジックではないかと考えられます。（ 1 ） Amazon クラウドの「利用規約」および「 AWS カスタマーアグリーメント」によれば、東京リージョンに関する準拠法は米国ワシント　　ン州法とされ、所轄裁判所は米国ワシントン州キング郡の州裁判所または連邦裁判所である。（ 2 ）つまり、 Amazon クラウドのサービスは、（ Amazon 日本法人ではなく）米 Amazon Web Services が提供しているサービスである。　　そのため、米 Amazon Web Services に対して米国で下された処置については、自動的に米 Amazon Web Services のサービスで　　あるところの東京リージョンにも及ぶ。技術的にみて東京リージョンのデータセンターに対する操作を米国からリモートで行うことは十分可能でしょうから（通常の運用管理を海外からやっていたとしても驚くに当たりません）、米国から東京リージョンにリモートでアクセスし、捜査機関からの要請に対応することが想定されます。


Cloud Computing

24

クラウドの最新動向（３）

クラウドのセキュリティについて（ Publickey 　 2011 年 3 月 29 日より）

国内データセンターに強制捜査が入るリスクの現実度は？2011 年 3 月 29 日

─ 警察や検察による強制捜査で、サーバが差し押さえられてデータセンターが機能しなくなる、という可能性はあると思いますか？　　大昔にベッコアメに警察の押収が入ったという例はありましたが、それ以来聞いたことはありません。ただ、ありえないことではな　　く、捜査機関はその権利を留保していると思います。　　ですから強制捜査の可能性はあるが、がい然性は低い、と考えています。　　（注：東京地裁平成 10 年（む）第 141号準抗告申立事件ベッコアメ顧客データ差押事件準抗告審決定）─ 米国ではデータセンターが差し押さえられた例が報道されていました。　　その話は聞いたことがあります。日本でもそうした事例がないだけで、（強制捜査の）権利は捜査機関が留保していると思います。　　ベッコアメの件は伝聞によると、捜査関係事項照会書でも令状でも情報を出さなかったので押収されたと聞いています。

捜査に協力していれば差し押さえのリスクは低い

─ とすると、差し押さえが入るかどうかは捜査機関とのコミュニケーションが大事だと思うのですが、どのような体制で行っているの　　でしょう？　　弊社では迷惑行為（ abuse ）専任の社員を 3人置き、すばやく対応しています。ちゃんと警察などとコミュニケーションする体制がと　　れているかぎり、差し押さえられることはないだろうと思います。─ コミュニケーションするにしても、ネットに関わることは相手にも知識が求められると思います。捜査関係者はそれらの知識につい　　て十分だと考えていますか？　　たしかに、知識は必ずしも高いとは思えません。それは警察だけでなく裁判官にもそういった印象があります。とはいえ、令状が　　出た段階で捜査に協力していれば差し押さえされるリスクは低いと思います。　　差し押さえが行われるのは、サーバのデータが改ざんされるのを防ぐ意味があると思います。そのために容疑者が操作できるコ　　ンピュータを押収する必要があるのです。　　ということは、データセンター事業者自身が容疑者と見られるときには改ざんを防ぐためにサーバが押収される可能性があると　　思いますが、お客様が容疑者の場合にはアクセスを止めてしまえばそれで済むので、サーバを押収する必要はないと考えてい　　ます。


Cloud Computing

25

クラウドの最新動向（４）

クラウドのセキュリティについて（ ZDNet Japan 　 2011 年 2 月 23 日より）

企業が IT 環境の仮想化、クラウドサービスの導入〜運用を考えた場合、現在企業にあるすべての物理環境が一斉にクラウド化するのではなく、段階を追って移り変わっていく事が想定される。このような環境下でのセキュリティ課題を考察する。

　 (1)乱立する仮想マシン、管理できない仮想サーバ

　　　仮想化を進める目的として、サーバ集約に伴うコストの削減サーバリソースの効率的な利用、プロビジョニングの簡素化・迅　　　速化などが挙げられるが、こういった恩恵の背景にはいくつかのセキュリティ課題が隠されている。　　　例えば、仮想サーバが乱立することにより管理できない仮想サーバが発生するリスクである。　　　仮想環境ではマシンを新規を作成する際、マスタイメージからクローンを作成するだけなので、数分の操作で完了する。その　　　結果、サーバの管理が行き届かなくなる可能性がある。　　　プラットフォームの管理者にとって不明なゲスト OS が発生する可能性がある。管理者が不明・不在なゲスト OSは当然セキュ　　　リティパッチの適用や、ウイルス対策ソフトのアップデートなどはユーザー任せとなり、危険な状態でネットワークに曝されるこ　　　ととなる。

　（ 2 ）仮想マシン間での攻撃・被害、マルチテナント

　　　次に考えられるリスクは仮想マシン間での攻撃・被害である。物理サーバ環境の場合、部署ごとにセキュリティポリシーを保　　　つ場合、ネットワークのセグメントを分け、セグメントの間にセキュリティ対策製品を置くことで、セキュリティを担保していた。　　　仮想化環境では、ハイパーバイザ層が加わることにより新たに仮想化ネットワークが発生する。ひとつのプラットフォーム　　　（ハードウェア）上で複数の仮想サーバを稼働するということは、外のネットワークに出ることなく、ハイパーバイザ層を通ること　　　で同一のプラットフォーム上の仮想サーバへの接続が容易となる。　　　例えるなら、植木鉢とプランタの関係と似ている。植木鉢がハードウェアで、土が OS 、花がアプリケーションとしよう。仮想化　　　に移行するということは、複数の植木鉢を 1 つのプランタに植えかえることである。　　　個々の植木鉢のメンテナンス（水を上げたり、害虫を駆除したり）する作業が、 1 つのプランタにまとまることでメンテナンス効　　　率は上がるが、例えば 1 つの植木鉢の土に害虫が入っていたとすると、ほかの植木鉢から来た土や花にまで害虫が簡単に移　　　動してしまう。　　　そのため、外見 1 つのプランタに複数の花が咲いていたとしても、本来であれば、根や土の部分から分けることが 1株の花に　　　とってはセキュリティを確保することとなる。


Cloud Computing

26

クラウドの最新動向（４）

クラウドのセキュリティについて（ ZDNet Japan 　 2011 年 2 月 23 日より）

　 (3) 境界線の消失

　　　最後が物理サーバ、仮想サーバ、クラウドサービスを併用して使う場合である。　　　従来のセキュリティの考え方として、インターナル（ LAN ）とエクスターナル（ WAN ）の間にネットワーク型セキュリティ製品を置　　　くことでセキュリティの境界線を敷いていたが、クラウドサービスの導入により会社の資産（サーバ）はクラウド側にも存在する　　　ことになり、守るべき対象が外部にも発生する。　　　その結果、従来のセキュリティ境界線は消失し、インターナル、 DMZ （非武装地帯）、エクスターナル（クラウド側）を含むすべ　　　てがセキュリティ境界線となり、統一したセキュリティレベルで保護する必要が出てくるが、さらにセキュリティの境界線を困難　　　にする要素が「ライブマイグレーション」である。　　　ライブマイグレーションとは実行中の仮想マシンを別のホストにサービスを停止することなく移動させる技術である。　　　例えば、データセンター A と、データセンター B でサーバを運用していたとしよう。データセンター A の仮想プラットフォームに何　　　らかの問題（リソースの過負荷やハードウェアの問題）が発生したときに、データセンター B に仮想マシンをライブマイグレー　　　ションしたらどうなるだろうか。　　　当然、データセンター A でも B でも同じセキュリティポリシーが適用され、かつ可用性を保つ必要が出てくる。この例の場合は、　　　あらかじめデータセンターが 2 つと分かっていたので範囲を限定することができたが、これが大規模なクラウドサービスとなると、　　　どの仮想化リソースにライブマイグレーションするか想定することは難しい。また、範囲を特定したとしても、特定のユーザーの　　　ためにセキュリティポリシーをあわせることは難しいだろう。

　以上の通り、仮想化、クラウド化への移行において、これまで発生しえなかったセキュリティの課題が発生する。

　 IT 管理者はこういった課題を念頭に置いて、 IT 環境の移行と運用を考える必要がある。


Cloud Computing

27

http://www.gbc.co.jp

Presented by…