20111026 switch on福岡(クラウドコンピューティング)
DESCRIPTION
TRANSCRIPT
Copyright © 2011 GLOBAL BRAINS CO.,LTD
2011 年 10 月 26 日 13 : 00 ~
クラウドコンピューティング~ Cloud Computing ~
Switch On! 福岡
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
2
アジェンダクラウドコンピューティングって何?
どんなクラウドサービスがあるの?
クラウドを使ってみる(デモ)
実例で見るクラウド
クラウドの最新動向
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
3
“ クラウドコンピューティング”の定義
「インターネットのあちら側」からのサービスすべてを、使いたい時にすぐ、使いたいだけ、ネットワーク経由で利用できること。
クラウドコンピューティング
5つの特徴(米国 NIST の定義)・ On-demand self-service 必要に合わせて、利用者自身がサーバやスト レージを利用できること。・ Broad Network access ネットワーク経由で様々なプラットフォームから アクセスできること。・ Resource pooling 資産は全体で管理(プール)されること。・ Rapid elasticity すばやく(あるいは自動で)スケールアウト/イ ンができること。・ Measured Service 適切な計測で、サービスの透明性が確保できて いること。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
4
“ オンプレミス”
On-Premise / 自社運用 / 社内設置
情報システムを利用するに当たり、自社管理
下にある設備に機材を設置し、ソフトウェア
を配備・運用する形態のこと。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
5
中小 IT 企業から見たクラウド
大手 SIer 中小 IT 企業
オンプレミス
HW 、ミドルウェア、開発、保守を一括契約できる (^_^)
ベンダーにロックインできる
大手 SIer からの受注で、設計〜開発作業に関わる (*_*)
短納期、高機能化、コストダウン
クラウド
HW 、ミドルウェア、開発、保守契約が大幅に減少する(T_T)
全体的な受注の減少
インフラ環境の提案/提供が簡単に行える (^_^)
顧客との直接商談機会の増加 !!
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
6
ユーザから見たクラウド
初期コスト導入までのリードタイ
ム
柔軟な増減対応
運用コストトータルコスト
オンプレミス
初期投資が高額
見積〜導入に数カ月
急激な増減に対応不可
保守・運用費用が必要
高い
クラウド
初期投資が安価
数分で利用できる
急激な増減に対応可能
利用した分だけ支払い
安い
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
7
“ クラウドコンピューティング”サービス形態
業務プロセス
オンプレミス
業務アプリ
ミドルウェア
OS
H/W
IaaS PaaS SaaSInfrastructureas a Service
Platformas a Service
Softwareas a Service
お客様の用意する
資産
クラウドの中に用意
Salesforce.comNetsuite
Google AppsSmartBusinessDesktop
Force.comGoogle App Engine
Windows AzureAppLogic
ApplicationService-and ToolsKDDI CS2
Amazon EC2 , S3Sun Cloud
VMware vSphereEucalyptus
業務プロセス
アプリ
ミドルウェア
OS
H/W
業務プロセス
アプリ
ミドル
OS
H/W
業務プロセス
アプリ
ミドル
OS
H/W
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
8
MicrosoftWindows Azure
“ クラウドコンピューティング”サービス
EnterpriseVirtualization
パブリッククラウド
プライベートクラウド
規模
国内海外
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
9
クラウドを使ってみる(デモ)
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
10
クラウドデモ“ NiftyCloud” (サーバの構成決定〜起動まで)
http://cloud.nifty.com/
サーバ作成を選択
1
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
11
OS を選択2
サーバ名を設定
3
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
12
サーバタイプを選択
4
料金タイプを選択
5
SSH キーを選択
6
ファイヤーウォールを選択7
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
13
「作成する」を選択
8
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
14
実例で見るクラウド
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
15
Eli Lilly 社(イーライ・リリー社)(製薬会社)
(1)分析開始
(5)結果を受け取る
(2) Linux/Unix サーバ群で分析
(4)分析結果をストレージに格納
(3)一時的なストレージに格納し データを加工・分析
(2)~(4)をクラウド化
クラウド実用事例(1)
(製薬情報の分析に関するクラウドの利用)
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
16
Eli Lilly 社(イーライ・リリー社)(製薬会社)
クラウド実用事例(1)
オンプレミス(分)
クラウド(分)
サーバの調達
72,000 分(7 . 5週間)
3分
サーバの初期構築
81,000 分(8週間)
5分
64ノードのクラスタ構築
130,000 分(12週間)
5分
計283,000 分
( 27.5週間) 13 分
Amazon のAWS を使用
(オンプレミスの場合とのリードタイムの比較)
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
17
NewYorkTimes
1851~1922年の新聞イメージをネットで配信するサービスサイトを開設サイト開設にあたり、 4TB のデータの PDF 化が必要
Amazon EC2の仮想サーバ100台を24時間のみ利用従来なら1カ月はかかったと想定される作業
データ変換にかかったサーバ費用は240$ !! ( 1$: 77円換算で、 18,480円)
Amazon EC2
クラウド実用事例(2)
100台 !!24時間 !!
(必要な時に、必要なだけサービスを利用した場合)
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
18
Animoto
写真と音楽を複数アップロードすると、音楽にあわせて変化するスライドショー的な映像を生成するサービス
Facebook で認知度が高まり、登録メンバー数が3日で10倍に急増という事態にAmazon EC2を活用し、50サーバから3 , 500サーバへスケールアウトして対応
↑4/18↑4/15
クラウド実用事例(3)
サーバの数を増やすことで、サーバ群全体のパフォーマンスを向上させること。サーバ単体の性能向上はスケールアップという。
(サーバのスケールアウトによる機会損失の防止)
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
19
国内企業のクラウド利用
クラウド実用事例(4)
ユーザ企業名 適用業務システム
ベンダサービス
特徴
パナソニック グループウェア IBM LotusLiveグループ企業を含め約 30万人規模で利用。Web 会議、ファイル共有、人物検索など。
三菱重工業 化学物質管理 NEC ProChemist/CS空調やカーエアコンに含まれる化学物質の管理。科学物質情報の管理、伝達作業の効率化を実現。
野村不動産 システム基盤 IDC フロンティア 「 NOAH プラットフォームサービス」を適用。キャンペーン期間中のアクセス増( 4倍)に対応。
アサヒビール システム基盤 SASTIK サービス 育児休職者とのコミュニケーションツール、出張者の業務支援ツール。 USB型の認証キーを利用。
全国銀行協会 システム基盤 ソフトバンクテレコム
Web サイトの基盤に「ホワイトクラウド」を採用。迅速なリソースの調達、コスト低減がポイント。
国立大学法人静岡大学
システム基盤 Amazon EC2他学生及び教職員 1万 3千人が利用。給与/会計などの基幹業務はプライベートで、ホームページや SNS はパブリックで使い分け。
トップツアー グループウェア Google Apps営業支援システムの刷新。渉外担当者の作業効率向上のため、携帯端末からの利用を実現。
損保ジャパン CRM Salesforce代理店とのリアルタイムコミュニケーション実現のため、「 Salesforce Partner Portal 」を採用。
TOHO シネマズ
ギフトカード管理
富士通 FIP プリペイドカードの残高管理、履歴管理に利用。カード情報を利用したプロモーションも可能。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
20
クラウドの最新動向
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
21
クラウドの最新動向(1)
クラウドコンピューティングの違いと認知度( 2011 年 8 月 11 日 Digital Todayより)
・日本で IT 関連の業務に携わる人、9割近くが「クラ ウド・コンピューティング」を認知している。
・また、クラウドの種類についても理解が進み、「パブ リッククラウド」、「プライベートクラウド」といった分 類も7割が認知している。
・クラウド・コンピューティングについて、「これからの IT の主流になる」という意見が、昨年の58%から、 69%へと大きく増加している一方で、クラウド・コン ピューティングへの関心がある企業は前年の48% から、45%へと、やや減少している。
※最大の関心事は災害対策/節電対策
パブリック・プライベートの使い分け(日立製作所HPより)・パブリッククラウド
・クラウドサービス事業者がサービスを提供 ・利用者は不特定多数( BtoC )・プライベートクラウド ・企業や組織の IT部門がサービスを提供 ・利用者は企業や組織内の各部門( BtoB ) ・企業のセキュリティポリシ実現のため SSL や VPN等の技術を適用
※上記を組み合わせた、「ハイブリッドクラウド」もあり。※パブリッククラウド上のリソースを、特定の企業や組織で占有的に使用 する VPC (バーチャル・プライベート・クラウド)のサービスも存在する。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
22
クラウドの最新動向(2)
バーチャルプライベートクラウド( AmazonWebService の例)( 2011 年 3 月 16 日 @ITより)(提供済)・今までの AWS-VPC では、 EC2 の一部のサーバを論理的に隔離し、企業や 組織の拠点と IPSec VPN 接続することで、 EC2 のサーバが、あたかも組織 内にあるかのように見えるサービスであった。 ( VPC で構成されたサーバは、 VPN 経由でしかアクセスできなかった)・今回の拡張では、物理的なデータセンタと同様に、ネットワークセキュリティ を保持しつつ、柔軟な構成が組めるように拡張し、かつウィザードを提供す ることにより、技術的に詳しくない人でも活用できるように配慮されている。
・ VPC with a single public subnet 他の EC2 のサーバと分離されているが、インターネットや、他のサービス と通信することが可能な VPC を構成することが可能である(右図①)。
・ VPC with a single public and private subnet 上記に加え、プライベートなサブネットを構成することができる。プライベ ートサブネットは、 NAT を通じてパブリックサブネットと通信する(右図②)。
・ VPC with Internet and VPN access VPC に対し、従来から可能だった VPN 接続と、インターネットとの直接接続 を双方設定できるもの(右図③)。
・ VPC with VPN only access VPC に対し、従来から可能だった VPN 接続のみを許可する構成(右図④)。
※上記の機能については、 AmazonWebService を例にとって説明しているが、 他のクラウドサービス事業者でも、同様のサービスを提供している。※社内で配置しているファイルサーバや、開発作業用のサーバについて、 VPC を有効利用することにより、 TCO の削減が可能となる。
① ②
Internet
③ ④
Company
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
23
クラウドの最新動向(3)
クラウドのセキュリティについて( Publickey 2011 年 3 月 29 日より)
Amazon クラウド、「東京データセンターも、米パトリオット法の対象内」と説明2011 年 3 月 29 日
「 Amazon はアメリカの会社なので東京リージョンもパトリオット法の対象内です」今月 3 月 2 日に、日本国内のデータセンターとして「東京リージョン」の稼働を発表した Amazon クラウド。その東京リージョンは米パトリオット法の対象内であることを、アマゾン ウェブ サービス ジャパンの小島英揮(おじまひでき)氏が、 3 月 4 日に行われた Japan AWS User Group ( JAWS )主催の「 JAWS-UG サミット 2011春」で、参加者の質問に答える形で明らかにしました。
パトリオット法は、米国内外のテロリズムと戦うことを目的とした米国の法律です。 2001 年に米国で発生した同時多発テロ事件後に、捜査機関の権限を拡大する法律として成立しました。情報通信の分野についての主な点は、電話回線の傍受に加えて ISP における通信傍受も可能となり、捜査令状により電子メールやボイスメールを入手でき、またテロ活動の防止を目的としていれば捜査機関が金融機関やネットサービス企業に対してプライバシー情報の提出を求めることも可能になった点などです。
Publickey では、 2009 年 4 月にテキサス州のデータセンターが FBI によって押収され機能停止に追い込まれた事件を、記事「 FBI が令状によりデータセンターを押収、巻き添えの顧客は大損害」で紹介しました。
東京リージョンがどのような理由でパトリオット法の対象となるのか、 Publickey では詳細を確認するために電子メールで問い合わせをしていますが、返答はまだもらえていません。おそらく、以下のようなロジックではないかと考えられます。( 1 ) Amazon クラウドの「利用規約」および「 AWS カスタマーアグリーメント」によれば、東京リージョンに関する準拠法は米国ワシント ン州法とされ、所轄裁判所は米国ワシントン州キング郡の州裁判所または連邦裁判所である。( 2 )つまり、 Amazon クラウドのサービスは、( Amazon 日本法人ではなく)米 Amazon Web Services が提供しているサービスである。 そのため、米 Amazon Web Services に対して米国で下された処置については、自動的に米 Amazon Web Services のサービスで あるところの東京リージョンにも及ぶ。技術的にみて東京リージョンのデータセンターに対する操作を米国からリモートで行うことは十分可能でしょうから(通常の運用管理を海外からやっていたとしても驚くに当たりません)、米国から東京リージョンにリモートでアクセスし、捜査機関からの要請に対応することが想定されます。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
24
クラウドの最新動向(3)
クラウドのセキュリティについて( Publickey 2011 年 3 月 29 日より)
国内データセンターに強制捜査が入るリスクの現実度は?2011 年 3 月 29 日
─ 警察や検察による強制捜査で、サーバが差し押さえられてデータセンターが機能しなくなる、という可能性はあると思いますか? 大昔にベッコアメに警察の押収が入ったという例はありましたが、それ以来聞いたことはありません。ただ、ありえないことではな く、捜査機関はその権利を留保していると思います。 ですから強制捜査の可能性はあるが、がい然性は低い、と考えています。 (注:東京地裁平成 10 年(む)第 141号準抗告申立事件 ベッコアメ顧客データ差押事件準抗告審決定)─ 米国ではデータセンターが差し押さえられた例が報道されていました。 その話は聞いたことがあります。日本でもそうした事例がないだけで、(強制捜査の)権利は捜査機関が留保していると思います。 ベッコアメの件は伝聞によると、捜査関係事項照会書でも令状でも情報を出さなかったので押収されたと聞いています。
捜査に協力していれば差し押さえのリスクは低い
─ とすると、差し押さえが入るかどうかは捜査機関とのコミュニケーションが大事だと思うのですが、どのような体制で行っているの でしょう? 弊社では迷惑行為( abuse )専任の社員を 3人置き、すばやく対応しています。ちゃんと警察などとコミュニケーションする体制がと れているかぎり、差し押さえられることはないだろうと思います。─ コミュニケーションするにしても、ネットに関わることは相手にも知識が求められると思います。捜査関係者はそれらの知識につい て十分だと考えていますか? たしかに、知識は必ずしも高いとは思えません。それは警察だけでなく裁判官にもそういった印象があります。とはいえ、令状が 出た段階で捜査に協力していれば差し押さえされるリスクは低いと思います。 差し押さえが行われるのは、サーバのデータが改ざんされるのを防ぐ意味があると思います。そのために容疑者が操作できるコ ンピュータを押収する必要があるのです。 ということは、データセンター事業者自身が容疑者と見られるときには改ざんを防ぐためにサーバが押収される可能性があると 思いますが、お客様が容疑者の場合にはアクセスを止めてしまえばそれで済むので、サーバを押収する必要はないと考えてい ます。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
25
クラウドの最新動向(4)
クラウドのセキュリティについて( ZDNet Japan 2011 年 2 月 23 日より)
企業が IT 環境の仮想化、クラウドサービスの導入〜運用を考えた場合、現在企業にあるすべての物理環境が一斉にクラウド化するのではなく、段階を追って移り変わっていく事が想定される。このような環境下でのセキュリティ課題を考察する。
(1)乱立する仮想マシン、管理できない仮想サーバ
仮想化を進める目的として、サーバ集約に伴うコストの削減サーバリソースの効率的な利用、プロビジョニングの簡素化・迅 速化などが挙げられるが、こういった恩恵の背景にはいくつかのセキュリティ課題が隠されている。 例えば、仮想サーバが乱立することにより管理できない仮想サーバが発生するリスクである。 仮想環境ではマシンを新規を作成する際、マスタイメージからクローンを作成するだけなので、数分の操作で完了する。その 結果、サーバの管理が行き届かなくなる可能性がある。 プラットフォームの管理者にとって不明なゲスト OS が発生する可能性がある。管理者が不明・不在なゲスト OSは当然セキュ リティパッチの適用や、ウイルス対策ソフトのアップデートなどはユーザー任せとなり、危険な状態でネットワークに曝されるこ ととなる。
( 2 )仮想マシン間での攻撃・被害、マルチテナント
次に考えられるリスクは仮想マシン間での攻撃・被害である。物理サーバ環境の場合、部署ごとにセキュリティポリシーを保 つ場合、ネットワークのセグメントを分け、セグメントの間にセキュリティ対策製品を置くことで、セキュリティを担保していた。 仮想化環境では、ハイパーバイザ層が加わることにより新たに仮想化ネットワークが発生する。ひとつのプラットフォーム (ハードウェア)上で複数の仮想サーバを稼働するということは、外のネットワークに出ることなく、ハイパーバイザ層を通ること で同一のプラットフォーム上の仮想サーバへの接続が容易となる。 例えるなら、植木鉢とプランタの関係と似ている。植木鉢がハードウェアで、土が OS 、花がアプリケーションとしよう。仮想化 に移行するということは、複数の植木鉢を 1 つのプランタに植えかえることである。 個々の植木鉢のメンテナンス(水を上げたり、害虫を駆除したり)する作業が、 1 つのプランタにまとまることでメンテナンス効 率は上がるが、例えば 1 つの植木鉢の土に害虫が入っていたとすると、ほかの植木鉢から来た土や花にまで害虫が簡単に移 動してしまう。 そのため、外見 1 つのプランタに複数の花が咲いていたとしても、本来であれば、根や土の部分から分けることが 1株の花に とってはセキュリティを確保することとなる。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
26
クラウドの最新動向(4)
クラウドのセキュリティについて( ZDNet Japan 2011 年 2 月 23 日より)
(3) 境界線の消失
最後が物理サーバ、仮想サーバ、クラウドサービスを併用して使う場合である。 従来のセキュリティの考え方として、インターナル( LAN )とエクスターナル( WAN )の間にネットワーク型セキュリティ製品を置 くことでセキュリティの境界線を敷いていたが、クラウドサービスの導入により会社の資産(サーバ)はクラウド側にも存在する ことになり、守るべき対象が外部にも発生する。 その結果、従来のセキュリティ境界線は消失し、インターナル、 DMZ (非武装地帯)、エクスターナル(クラウド側)を含むすべ てがセキュリティ境界線となり、統一したセキュリティレベルで保護する必要が出てくるが、さらにセキュリティの境界線を困難 にする要素が「ライブマイグレーション」である。 ライブマイグレーションとは実行中の仮想マシンを別のホストにサービスを停止することなく移動させる技術である。 例えば、データセンター A と、データセンター B でサーバを運用していたとしよう。データセンター A の仮想プラットフォームに何 らかの問題(リソースの過負荷やハードウェアの問題)が発生したときに、データセンター B に仮想マシンをライブマイグレー ションしたらどうなるだろうか。 当然、データセンター A でも B でも同じセキュリティポリシーが適用され、かつ可用性を保つ必要が出てくる。この例の場合は、 あらかじめデータセンターが 2 つと分かっていたので範囲を限定することができたが、これが大規模なクラウドサービスとなると、 どの仮想化リソースにライブマイグレーションするか想定することは難しい。また、範囲を特定したとしても、特定のユーザーの ためにセキュリティポリシーをあわせることは難しいだろう。
以上の通り、仮想化、クラウド化への移行において、これまで発生しえなかったセキュリティの課題が発生する。
IT 管理者はこういった課題を念頭に置いて、 IT 環境の移行と運用を考える必要がある。
Copyright © 2011 GLOBAL BRAINS CO.,LTD
Cloud Computing
27
http://www.gbc.co.jp
Presented by…