Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

LiBRA 03.2020 / ITソリューション塾_インフラとクラウド

1,147 views

Published on

https://libra.netcommerce.co.jp/

Published in: Technology
  • Be the first to comment

  • Be the first to like this

LiBRA 03.2020 / ITソリューション塾_インフラとクラウド

  1. 1. ソフトウエア化するインフラストラクチャー とクラウド・コンピューティング ITソリューション塾・第33期 2020年2月12日
  2. 2. DXの鍵を握る テクノロジー・トライアングル AI クラウド IoT 5G データ 予測・最適化 リソース調達 サービス間連携知的アシスト 自律制御 データ収集 ロボティクス 自動運転 センサー など AIチップ マルチモーダル学習 自律学習 など 量子コンピュータ コンテナ・サーバーレス クラウド・アプライアンスなど プラットフォーム・サービス、マルチ・クラウド など
  3. 3. まずこれだけは おさえておいて欲しい 基本の「き」
  4. 4. 情報システムの構造 業務や経営の目的を達成するための 仕事の手順 ビジネス・プロセス 情報システム ビジネス・プロセスを効率的・効果 的に機能させるためのソフトウエア アプリケーションの開発や実行に共 通して使われるソフトウエア ソフトウエアを稼働させるための ハードウェアや設備 アプリケーション プラットフォーム インフラストラクチャー 販売 管理 給与 計算 生産 計画 文書 管理 経費 精算 販売 管理 給与 計算 生産 計画 文書 管理 経費 精算 データベース プログラム開発や実行を支援 稼働状況やセキュリティを管理 ハードウェアの動作を制御 ネットワーク 機器 電源設備サーバー ストレージ
  5. 5. 仮想 virtual 表面または名目上はそうでないが 実質的には本物と同じ 本来の意味 「仮想化」の本当の意味 本来の意味 仮想化 Virtualization 物理的実態とは異なるが、 実質的には本物と同じ機能を実現する仕組み 日本語での語感 虚像の〜 実態のない〜 It was a virtual promise. (約束ではないが)実際には約束も同然だった。 He was the virtual leader of the movement. 彼はその運動の事実上の指導者だった。
  6. 6. 仮想化とは何か コンピュータのハードやソフト 物理的実態 実質的機能 自分専用の コンピュータ・システム 周りの風景や建造物と 重ね合わされた情報 3Dで描かれた地図や 障害物や建物の情報 仮想マシン/仮想システム 仮想現実 仮想3Dマップ 仮 想 化 を 実 現 す る ソ フ ト ウ エ ア
  7. 7. 物理資源・物理機械 サーバーの仮想化 ストレージの仮想化 Java仮想マシン データベースの仮想化 パーティショニング 分 割 アグリゲーション 集 約 エミュレーション 模 倣 仮想化 (Virtualization) ひとつの物理資源を 複数の仮想資源に分割 複数の物理資源を ひとつの仮想資源に分割 ある物理資源を 異なる資源に見せかける 仮想化の3つのタイプ
  8. 8. ソフトウェア化するインフラ SDI/Software Defined Infrastructure
  9. 9. ソフトウェア化とはどういうことか(1) 掃除 機能 掃除 機械 レンジ 機能 レンジ 機械 テレビ 機能 テレビ 機械 作表 機能 文書作成 機能 会計管理 機能 汎用機械 オペレーティング・システム(OS) 家電製品 コンピュータ 専用一体 専用一体 専用一体 ソフトウェア Software ハードウェア Hardware
  10. 10. ソフトウェア化とはどういうことか(2) 一般的なインフラ ソフトウェア化されたインフラ ソフトウェア Software ハードウェア Hardware 個別・専用 システム構成 共用・汎用 システム構成 仮想化ソフトウェア
  11. 11. ソフトウェア化するインフラストラクチャー 物理的実態(バードウェアや設備)と実質的機能(仮想化されたシステム)を分離 物理的な設置・据え付け作業を必要とせず、ソフトウエアの 設定だけで、必要とするシステム構成を調達・変更できる。 ユーザーは柔軟性とスピードを手に入れる 標準化されたハードウェアやソフトウエアを大量に調達してシ ステムを構成し、運用を自動化・一元化する。 運用管理者はコスト・パフォーマンスを手に入れる *「抽象化」とは対象から本 質的に重要な要素だけを抜き 出して、他は無視すること。
  12. 12. 仮想化の種類
  13. 13. 仮想化の種類(システム資源の構成要素から考える) 仮想化 サーバーの仮想化 クライアントの仮想化 ストレージの仮想化 ネットワークの仮想化 デスクトップの仮想化 アプリケーションの仮想化 仮想LAN(VLAN) SDN(Software-Defined Networking) ブロック・レベルの仮想化 ファイル・レベルの仮想化 画面転送方式 ストリーミング方式 アプリケーション方式 ストリーミング方式 ハイパーバイザー方式 コンテナ方式/OSの仮想化 仮想PC方式 ブレードPC方式
  14. 14. システム利用形態の歴史的変遷 OSOS AP AP APAP AP AP 3 2 1 1950年代〜/バッチ 1960年代〜/タイムシェアリング メインフレーム メインフレーム ミニコン OS AP AP AP OS OS VM VM VM 1970年代〜/仮想化(仮想マシン) メインフレーム ミニコン OS AP AP AP OS OS 1980年代〜/分散化 ミニコン PCサーバー OS AP AP AP OS OS VM VM VM 2000年代〜/仮想化(仮想マシン) PCサーバー クラウド (IaaS) OS AP 設定 AP 設定 AP 設定 コンテナ コンテナ コンテナ 2015〜/コンテナ PCサーバー クラウド (PaaS) メインフレームの時代 オープン・システムの時代クラウドの時代
  15. 15. サーバー仮想化 OS サーバー (ハードウェア) ミドルウェア アプリ OS ミドルウェア アプリ OS ミドルウェア アプリ OS ハードウェア ハイパーバイザー 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ CPU メモリ CPU メモリ CPU メモリ CPU メモリ サーバー (ハードウェア) サーバー (ハードウェア) CPU メモリ CPU メモリ CPU メモリ 物理システム 仮想システム
  16. 16. サーバー仮想化とコンテナ OS ハードウェア ハイパーバイザー 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ サーバー仮想化 ハードウェア コンテナ管理ソフトウエア OS ミドルウェア アプリ ミドルウェア アプリ ミドルウェア アプリ コンテナ コンテナ コンテナ コンテナ ライブラリ 環境変数 ライブラリ 環境変数 カーネル カーネル カーネル カーネル ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 隔離されたアプリケーション実行環境を提供(クラッシュの分離、独自のシステム管理とユーザー・グループ) 実行イメージのスナップショットをパッケージとしてファイルにして保存できる アプリケーションに加えて仮想マシン・OS の実行イメージを持つ必要がある アプリケーションとOSの一部 の実行イメージを持つ必要がある デプロイするサイズ 大きい 起動・停止時間 遅い デプロイするサイズ 小さい 起動・停止時間 早い 異なるOS 可 異なるOS 不可 メモリーやディスクの消費量が大きい = リソース効率が悪い メモリーやディスクの消費量が大きい = リソース効率が良い 構成の自由度が高い 異なるOS・マシン構成を必要とする場合など 軽量で可搬性が高い 実行環境への依存が少なく異なる実行環境で稼働させる場合など サンド・ボックス化 Sand Box
  17. 17. 仮想マシンとコンテナの稼働効率 ハードウェア 仮想マシン ミドルウェア アプリケーション OS 仮想マシン OS 仮想マシン OS ミドルウェア アプリケーション ミドルウェア アプリケーション ハードウェア OS コンテナ管理機能 カーネル ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ カーネル カーネル カーネル ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 コンテナ仮想マシン
  18. 18. コンテナのモビリティ ハードウェア OS コンテナ管理機能 カーネル ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ いま使っているシステム環境 18 ハードウェア OS コンテナ 管理機能 カーネル ハードウェア OS コンテナ 管理機能 カーネル ハードウェア OS コンテナ 管理機能 カーネル ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ ミドルウェア アプリ ライブラリ 環境変数 コンテナ コンテナ・レベルで稼働は保証されている 他のシステム環境
  19. 19. デスクトップ仮想化とアプリケーション仮想化 ネットワーク 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 メモリーストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 画面表示 仮想PC サーバー PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 仮想PC メモリーストレージ OS プロセッサー サーバー ターミナル・モニター 文書 作成 表 計算 プレゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 入出力操作 通信 クライアントPC 文書作成 画面表示 デスクトップ仮想化 アプリケーション仮想化
  20. 20. シンクライアント ネットワーク 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 メモリーストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー PC用OS (Windows7など) PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 仮想PC 仮想PC 仮想PC サーバー ストレージ 文書作成 表計算 プレゼン ・・・ 入出力操作 通信 アプリケーション PC / Windows・Mac OS など 画面表示 データとプログラムの保管 プログラムの実行 は、PC内にて処理 データとプログラムの保管 プログラムの実行 は、サーバー内にて処理 シンクライアントは 画面表示と入出力操作
  21. 21. Chromebook インターネット データ 文書作成 表計算 プレゼン ・・・ ブラウザ 画面表示・入出力操作 通信 画面表示・入出力操作 通信 オフィス・アプリ データ 文書作成 表計算 プレゼン ・・・ オフィス・アプリ クラウドサービス Google Apps for workなど ブラウザ 文書作成 表計算 プレゼン ・・・ PC / Windows・Mac OS など Chromebook / Chrome OS
  22. 22. クライアント仮想化 クライアントの仮想化 (アプリケーション方式) 仮想化 ソフトウェア ハードウェア クライアントPC オペレーティング・システム (ホストOS) アプリケーション OS (ゲストOS) アプリケーション クライアントの仮想化 (ハイパーバイザー方式) 仮想化ソフトウェア (ハイパーバイザー) ハードウェア クライアントPC アプリケーション OS アプリケーション OS 仮想マシン仮想マシン仮想マシン CPU メモリ CPU メモリ
  23. 23. ストレージ仮想化 2TB 実データ 3TB 実データ 5TB 実データ 10TB 10TB 10TB 仮想ストレージ ブロック仮想化 10TB 実データ 30TB ストレージ(ハードウェア) 8TB 7TB 5TB 未使用領域 20TB ボリュームの仮想化 10TB 10TB 10TB 仮想ストレージ シンプロビジョニング 10TB 実データ 30TB ストレージ(ハードウェア) 容量の仮想化 未使用領域 0TB 必要な時に 追加 2TB 実データ 3TB 実データ 5TB 実データ 8TB 7TB 5TB 仮想ストレージ 重複排除 ストレージ(ハードウェア) データ容量の削減 D A B C E F A B ファイル 2 ファイル1 D A B C E F重複データ を排除
  24. 24. SDNとNFV QoS・セキュリティ 機 能 制 御 パケットの種類に応じて設定 物理構成に依存 機器ごとに個別・手動制御 物理 ネットワーク A 物理 ネットワーク B 物理 ネットワーク C 従来のネットワーク アプリケーションに応じて設定 物理構成に関係なく、ソフトウエア設定で機能を構成 機器全体を集中制御・アプリケーション経由で制御可能 仮想化 仮想 ネットワーク A 仮想 ネットワーク B 仮想 ネットワーク C 物理 ネットワーク 集中制御 SDN(Software Defined Networking)
  25. 25. SD-WAN(Software-Defined Wide Area Network) IP-VPN インターネットVPN (IPsec VPN) 4G LTE専用回線 ソフトウェアによって統合・一括管理された仮想的なWAN 負荷分散、セキュリティ管理、アプリケーションによるネットワークの振り分けなど 一括管理  コントロール  オーケストレーション SD-WANソリューション 拠点LAN 拠点LAN 拠点LAN 拠点LAN 拠点LAN 拠点LAN エッジ端末 エッジ端末 エッジ端末 エッジ端末 エッジ端末 エッジ端末 GUI
  26. 26. IT利用の常識を変える クラウド・コンピューティング Cloud Computing
  27. 27. 異なる文化の2つのクラウド戦略 コスト削減のためのクラウド 競争力強化のためのクラウド 生産性向上・納期短縮・コスト削減  投資負担の軽減  運用管理負担の軽減  高い運用品質の維持 コスト削減  資産固定化の回避  最新技術の活用  俊敏性の実現 投資対効果 差別化・競争力・変化への即応力  既存システムのIaaS移行  運用管理の自動化  開発と運用の順次化  コンテナ×Kubernetes  PaaS×サーバーレス  開発と運用の同期化 クラウド・リフト 戦略 クラウド・ネイティブ 戦略 守りの文化 by 情報システム部門 攻めの文化 by 事業部門・経営直下 両者は異なるクラウドであることを前提に考える 予算と人材と戦略の一体化と適切な配分
  28. 28. 銀行システムにおけるクラウド活用の動き 日本ユニシスとマイクロソフト、「BankVision on Azure」実現に向け共同プロジェクトを開始 2018年3月23日 日本ユニシス株式会社と日本マイクロソフト株式会社 は23日、日本ユニシスのオープン勘定系システム 「BankVision」の稼働基盤として、Microsoft Azureを 採用するための取り組みを推進するため、共同プロ ジェクトを4月から開始すると発表した。 いかに費用を抑え、最新技術も取り入れた上で短期間 でのシステム開発を行うかという課題に対応するため、 クラウドを選択。現在はクラウド最大手の米アマゾン ウェブサービスと組み、業務システムの一部から移行 を進めている。 5年間で100億円のコスト削減 1000超のシステムの約半分をクラウド化 週刊ダイヤモンド 2017.5.17 https://diamond.jp/articles/-/128045
  29. 29. 銀行の勘定系 クラウド化が拡大 2019年10月3日 AWS
  30. 30. クラウド・バイ・デフォルト原則 政府情報システムにおけるクラウドサービスの利用に係る基本方針(案) クラウド・バイ・デフォルト原則(クラウドサービスの利用を第一候補)  政府情報システムは、クラウドサービスの利用を第一候補として、その検討を行う  情報システム化の対象となるサービス・業務、取扱う情報等を明確化した上で、メリット、開発の規模及び経費等を基に検討を行う https://www.kantei.go.jp/jp/singi/it2/cio/dai77/siryou.html Step0:検討準備 クラウドサービスの利用検討に先立ち、対象となるサービス・業務及び情報といった事項を可能な限り明確化する。 Step1:SaaS(パブリック・クラウド)の利用検討と利用方針 サービス・業務における情報システム化に係るものについて、その一部又は全部が SaaS(パブリック・クラウド)により提供されてい る場合(SaaS(パブリック・クラウド)の仕様に合わせ、サービス・業務内容を見直す場合も含まれる。)には、クラウドサービス提 供者が提供する SaaS(パブリック・クラウド)が利用検討の対象となる。 Step2:SaaS(プライベート・クラウド)の利用検討 サービス・業務における情報システム化に係るものについて、その一部又は全部が、府省共通システムの諸機能、政府共通プラット フォーム、各府省の共通基盤等で提供されるコミュニケーション系のサービスや業務系のサービスを SaaS として、当該サービスが利用 検討の対象となる。 Step3:IaaS/PaaS(パブリック・クラウド)の利用検討と利用方針 SaaS の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、民間事業者が提供する IaaS/PaaS(パブリック・クラウド)が利用検討の対象となる。 Step4:IaaS/PaaS(プライベート・クラウド)の利用検討 IaaS/PaaS(パブリック・クラウド)の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、 サーバ構築ができる政府共通プラットフォーム、各府省独自の共通基盤等を IaaS/PaaS として、当該サービスが利用検討の対象となる オンプレミス・システムの利用検討
  31. 31. 政府の基盤システム Amazonへ発注 31  人事・給与や文書管理など各省共通 の基盤システムをAWSに発注。  整備・運用にかかる費用は2026年度 までで300億円を超える見通し。  政府は各省庁のシステムについて4〜 8年で原則クラウドにする方針を打ち 出している。  目的は、コストの大幅減と、最新の デジタル技術の取り込みにつなげる ため。  自前で管理する手間が減り、人員の 効率的な配置など生産性の向上も見 込める。 https://www.nikkei.com/article/DGXMZO55498840R10C20A2MM8000/ 2020.02.12
  32. 32. 米国政府の動き CIA(中央情報局) DOD(国防総省)
  33. 33. 評価対象としたアプリケーション アンケート登録/集計システム
  34. 34. 店舗入力 ダウンロード イベント ログイン画面 店頭用入力画面 集計ファイル作成画面 ダッシュボード画面 イベント用入力画面 Write Write Read Read 認証されたユーザのみ アクセス可能なページ 評価対象としたアプリケーション/処理フロー よ く あ り が ち な webシステム
  35. 35. 構築事例:従来型のWebアプリケーション・アーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 EC2 EC2 EC2 冗長化 冗長化EC2 EC2 Web AP DB死活監視 DNS DNSのセットアップが必要 APはそのまま移行。ただし、セッション管理等、一部改修が 必要な場合がある。 ミドルウェアが必要 (Oracle、 SQLServer、死活監視ソフト等の購入) DBMSのセットアップが必要 EC2:1台 365日24時間稼働:$175.2 EC2:9台 365日24時間稼働:$1576.8 ELB:1台 365日24時間稼働:$236.52+α ELB:2台 365日24時間稼働:$473.04+α リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB 年間:約$2049.84 約254,980円 ※2015/3/20時点
  36. 36. 構築事例:AWSサービスを活かしたアーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 冗長化 Web AP DB DNS Route 53に 設定するのみ 死活監視のソフトウェア不要 基本的に無料/アラーム設定でメール通知 DBMSはインストール不要  Oracle、SQL Server等のライセンス料込  EC2の接続先を変更するだけ 冗長構成はMulti-AZを選択するのみ EC2:4台 365日24時間稼働:$700.8 ELB:2台 365日24時間稼働:$473.04+α RDS: 365日24時間稼働:$455.52 Route53: 1年間:$26.4(最少) リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB <RDS> インスタンスタイプ: t2.micro (最少) 年間:約$1655.76 約198,691円 Cloud Watch Route 53 RDS(Master) RDS(Slave) DynamoDB セッション 管理 ※2015/3/20時点
  37. 37. 構築事例:AWSサービスを最大限活かしたアーキテクチャ Internet クライアント Cloud Front 画面表示は、 クライアント側 アプリ メールサーバー不要 冗長構成、拡張・データ再配置 はAWS任せ リージョン:東京 <S3> 料金:$0.0330/GB +リクエスト数+データ転 送量 <CloudFront> 料金:$7.2/年 (試算した結果) <Lambda> 料金:$0 <DynamoDB> 料金:$0 (試算した結果) 年間:約$7.56 約907円 Cloud Watch JavaScript 入力ページ(HTML) コンテンツ 非公開コンテンツ Log等 S3 DynamoDB Lambda Node.js テーブル Cognito Webサーバー機能 3箇所以上で自動複製、容量無制限 キャッシュ SSL証明書 任意のタイミングで処理実行 負荷分散、障害対策はAWS任せ AWS認証 アプリ認証 SignedURL発行 サーバ側アプリ ※2015/3/20時点 ※条件によって料金は異なります
  38. 38. クラウド・コンピューティング で変わるITの常識
  39. 39. ネットワーク インターネットや専用回線 コレ一枚でわかるクラウド・コンピューティング インフラストラクチャー プラットフォーム アプリケーション 計算装置 記憶装置 ネットワーク データ ベース 運用管理 プログラム 実行環境 プログラム 開発環境 認証管理 電子 メール SNS 新聞 ニュース ショッピング 金融取引 財務 会計 施設や設備
  40. 40. 「クラウド・コンピューティング」という名称の由来 アプリケーション プラットフォーム インフラ クラウド(Cloud) =ネットワークあるいはインターネット ネットワークの向こう側にあるコンピュータ(サーバー)を ネットワークを介して使う仕組み クラウド・コンピューティング Cloud Computing
  41. 41. クラウドによる新しいIT利用のカタチ スペース:設置場所の制約 コスト 利用量・使う機能 に応じた課金 アジリティ 追加・変更 の柔軟性 スケール 規模の伸縮 弾力性 クラウド・コンピューティング Cloud Computing システム構築・運用 の負担軽減 アプリケーション展開 のスピードアップ
  42. 42. クラウド・コンピューティング の価値
  43. 43. セルフ・サービス・ポータル  調達・構成変更  サービスレベル設定  運用設定  ・・・ 数分から数十分 直近のみ・必要に応じて増減 経費・従量課金/定額課金 クラウド システム資源のECサイト 見積書 契約書 メーカー ベンダー サイジング 調 達 費 用 数週間から数ヶ月 数ヶ月から数年を想定 現物資産またはリース資産 従来の方法 調達手配 導入作業
  44. 44. 「自家発電モデル」から「発電所モデル」へ 工場内・発電設備  設備の運用・管理・保守は自前  需要変動に柔軟性なし 電力供給が不安定 自前で発電設備を所有 工場内・設備 電 力 電力会社・発電所 大規模な発電設備 低料金で安定供給を実現  設備の運用・管理・保守から解放  需要変動に柔軟に対応 工場内・設備 送電網 データセンター 大規模なシステム資源 低料金で安定供給を実現  設備の運用・管理・保守から解放  需要変動に柔軟に対応 システム・ユーザー デ ー タ ネットワーク
  45. 45. 歴史的背景から考えるクラウドへの期待 業務別専用機 業務別専用機 業務別専用機 業務別専用機 UNIXサーバー PC PCサーバー Intel アーキテクチャ 汎用機 メインフレーム IBM System/360 IBM System/360 アーキテクチャ 〜1964 汎用機 メインフレーム PC 1980〜 ミニコン オフコン エンジニアリング ワークステーション 汎用機 メインフレーム ダウンサイジング マルチベンダー 2010〜 PC+モバイル+IoT 汎用機 メインフレーム PCサーバー PCサーバー PCサーバー クラウド コンピューティング データセンター
  46. 46. 情報システム部門の現状から考えるクラウドへの期待 新規システムに投資する予算 既存システムを維持する予算 (TCO) 20〜40% 60〜80% 新規システムに投資する予算 既存システムを維持する予算 IT予算の増加は期待できない! 既存システムを 維持するための コスト削減  TCOの上昇  IT予算の頭打ち クラウドへの期待 「所有」の限界、使えればいいという割り切り
  47. 47. クラウドならではの費用対効果の考え方 システム関連機器の コストパフォーマンス リース コストパフォーマンスが 長期的に固定化 クラウド 新機種追加、新旧の入替えを繰り返し 継続的にコストパフォーマンスを改善 移行・環境変更に かかる一時経費 2006/3/14〜 50回以上値下げ
  48. 48.  徹底した標準化  大量購入  負荷の平準化  APIの充実・整備  セルフサービス化  機能のメニュー化 クラウド・コンピューティングのビジネス・モデル クラウド・コンピューティング オンデマンド 従量課金 自動化・自律化 システム資源 の共同購買 サービス化 低コスト 俊敏性 スケーラビリティ SDI (Software Defined Infrastructure)
  49. 49. IT活用適用領域の拡大 難しさの隠蔽 システム資源 エコシステム クラウドがもたらしたITの新しい価値 クラウド・コンピューティング IT利用のイノベーションを促進 ビジネスにおけるIT価値の変化・向上 新たな需要・潜在需要の喚起 モバイル・ウェアラブル ソーシャル 人工知能 ビッグデータ IT利用者の拡大 IoT ロボット 価格破壊 サービス化
  50. 50. クラウド・コンピューティング とは
  51. 51. クラウドの定義/NISTの定義 クラウド・コンピューティングは コンピューティング資源を 必要なとき必要なだけ簡単に使える仕組み 配置モデル サービス・モデル 5つの重要な特徴 米国国立標準技術研究所 「クラウドコンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど の構成可能なコンピューティングリソースの共用プールに対して、便利かつオンデマンドにアクセスでき、最小 の管理労力またはサービスプロバイダ間の相互動作によって迅速に提供され利用できるという、モデルのひとつ である (NISTの定義)」。
  52. 52. クラウドの定義/サービス・モデル (Service Model) アプリケーション ミドルウェア オペレーティング システム インフラストラクチャ PaaS Platform as a Service Infrastructure as a Service Software as a Service SaaS Salesfoce.com Google Apps Microsoft Office 365 Microsoft Azure Force.com Google App Engine Amazon EC2 IIJ GIO Cloud Google Cloud Platform アプリケーション ミドルウェア & OS 設備 & ハードウェア プ ラ ッ ト フ ォ ー ム IaaS
  53. 53. ハイブリッド・クラウド 複数企業共用 パブリック・クラウド クラウドの定義/配置モデル (Deployment Model) プライベート・クラウド 個別企業専用 個別・少数企業 不特定・複数企業/個人 LAN LAN インターネット 特定企業占有 ホステッド・プライベート・クラウド 固定割当て LAN 専用回線・VPN LAN
  54. 54. ハ イ ブ リ ッ ド ク ラ ウ ド ベンダーにて運用、ネット ワークを介してサービス提供 パブリック クラウド 自社マシン室・自社データセ ンターで運用・サービス提供 プライベート クラウド 5つの必須の特徴 人的介在を排除 無人 システム TCOの削減 人的ミスの回避 変更への即応 ソ フ ト ウ ェ ア 化 さ れ た イ ン フ ラ ス ト ラ ク チ ャ 調 達 の 自 動 化 運 用 の 自 動 化 オンデマンド・セルフサービス 幅広いネットワークアクセス 迅速な拡張性 サービスの計測可能・従量課金 リソースの共有 注:SaaSやPaaSの場合、絶対条件ではない。
  55. 55. 仮想化とクラウド(IaaS)との違い 仮想化 運 用 管 理 調 達 インフラに関わるシステム資源を ソフトウェアの定義・設定により調達、構成変更 調達機能と 運用管理機能の 連携と自動化 個別対応 自動化/人的作業 システム資源の利用効率向上 人的作業の負担軽減 調達・変更の俊敏性と生産性向上 仮想化 クラウド(IaaS) 個別対応 自動化/人的作業
  56. 56. ハイブリッド・クラウドとマルチ・クラウド クラウド管理プラットフォーム オンプレミス(自社構内) データセンタ(自社設備) データセンタ(他社設備) コロケーション/ホスティング パブリック・クラウド パブリック・クラウド ホステッド プライベート クラウドハイブリッド・クラウド マルチ・クラウド インターネット/VPN/専用線 個別専用システム ハイブリッド・クラウド マルチクラウド
  57. 57. クラウドの分類と関係 個別システム ホステッド プライベート クラウド SaaS(Software as a Service) PaaS(Platform as a Service) IaaS(Infrastructure as a Service) SaaS PaaS IaaS プライベート・クラウド パブリック・クラウド/クラウド事業者資産を使用 オンプレミス・システム/自社資産として所有 ハイブリッド・クラウド プライベートとパブリックの連係・組合せ マ ル チ ・ ク ラ ウ ド 複 数 の パ ブ リ ッ ク を 連 係 ・ 組 合 せ
  58. 58. オンプレとパブリック・クラウドの関係の推移 SaaS SaaS IaaS SaaS PaaS IaaS 個別業務システム 個別業務 システム クラウド アプライアンス 物理と仮想の混在環境 コモディティはクラウド 主に仮想環境 一部IaaSに移管 基本はクラウド 低遅延が求められる システムはオンプレ PaaS/CaaS/FaaS 主流 AWS Outposts Azure Stack HCI Google On-prem など Vmware ESXi Microsoft Hyper-v KVM など Vmware ESXi Microsoft Hyper-v KVM など CaaS FaaS パブリック クラウド オンプレミス
  59. 59. AWS Outposts の仕組み VPC Subnet Subnet Subnet AZ AZ AWS Outposts Nitro Hypervisor Amazon EC2、EBS、ECS、EKS、 EMR、Amazon RDS for PostgreSQL/MySQL、Amazon S3 ネットワーク(Direct Connect) AZ(Availability Zone):設備の構成単位。各AZは一つあるいは複数のデータセンターから成り、AZ同士は地震や台風などで同時に被災しにくいよ うに、ある程度距離を離して設置。AWSの東京リージョンは4つのAZで構成する。 AWSコンソールから構成パ ターン・カタログから注文する と2週間程度で24インチラック に収めた機器一式が届けられる。 AWSのスタッフがラックを設 置し、電源とネットワークを接 続すれば、使い始められる。 AWSがリモートで 運用。ソフトの アップグレードや パッチ適用は基本 的に無停止。仮想 マシンの再起動が 必要な場合は、そ の旨の通知 マネージメント コンソール  低遅延処理  ローカルでの 大量データ処理 AWS Region(地域の単位 例:東京) Vmware Cloud for AWS Outopsts もある
  60. 60. サーバーレス または FaaS Serverless or Function as a Service
  61. 61. サーバーレスの仕組み ブラウザからのアクセス センサーからの発信 異常データの送信 タイマーによる起動 プログラムの実行 データベース・アクセス 機器の制御 レポートの作成 メールによる通知 イベント 処理 リソース サービス イベント サービス イベント
  62. 62. システムの役割とこれからのトレンド ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ サービス・プロダクト、SCMなど 財務会計、経理、オフィスなど 戦略的アプリケーション 汎用的アプリケーション 独自性の追求と 他社との差別化 開発・運用負担と コスト負担の軽減 スピード × アジリティ × スケーラビリティ インフラ & プラットフォーム FaaS/PaaS/IaaSなど クラウド化 × 自動化
  63. 63. クラウド・サービスの区分 自社所有 IaaS 仮想マシン CaaS PaaS FaaS ユーザー企業が管理 ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS SaaS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ IaaS ベアメタル クラウドサービス事業者が管理 連携機能 CaaS PaaS FaaS SaaS
  64. 64. 変わる情報システムのかたち 戸建・定住 新築 建売り 建設業 一括売り切り 住み替え リフォーム 賃貸 サービス業 継続支払い
  65. 65. クラウド・サービスのポジショニング 65 https://www.srgresearch.com/articles/incremental-growth-cloud-spending-hits-new-high-while-amazon-and-microsoft-maintain-clear-lead-reno-nv-february-4-2020
  66. 66. サイバー・セキュリティ
  67. 67. パスワード認証のリスク ID/パスワードによる認証: 利用している本人が本人であることを証明するための仕組み ID/パスワードを搾取 ファイヤ ウォール 社内 ネットワーク VPN 1. 複雑なパスワードを使う  文字数を長くする。  文字の種類を増やす。英字(大文字、小文 字)、数字、特殊文字を組み合わせる。 2. 定期的に変更する  3カ月に一度変更する。 3. 一度使ったパスワードは使わない  過去3回までに使ったパスワードは使えない。  一度使ったパスワードは二度と使えない。 「複雑なパスワード」と「定期的なパスワード変更」は意味がない ID/パスワードが簡単に使えない 人間の記憶力に依存しまた再利用が可能なため  一人当たり平均27個のオンラインアカウントを保持 している  それぞれのアカウントのパスワードを複雑化し、全 てのアカウントに紐づいているパスワードを違うも ので設定し、覚えておくということができない。  毎日アクセスするために、「覚えやすい簡単なパス ワードにする」「同じパスワードを使い回す」「メ モを書いておく」 ID/パスワード・VPN・ ファイヤウォールが役立たない
  68. 68. 本人認証の方法 知識認証 What you know? 所持認証 What you have? 生体認証 What you are? ID/パスワード など ICカード ワンタイムパスワード用トークン 携帯電話(デバイス)認証 など 指紋認証 顔認証 静脈パターン認証 虹彩認証 声紋認証 網膜認証 など 認証方式 方法例 組合せの例 1234 暗証番号 銀行カード 静脈認証
  69. 69. FIDO2による認証プロセス サービスを使いたいので デバイス(PCやスマホ)などを登録したいと通知 チャレンジ 12We5fqE08 5xO7QpWz9 チャレンジを送る(ユーザー専用受付番号のような役割) 秘密鍵 公開鍵 チャレンジ 12We5fqE08 5xO7QpWz9 秘密鍵で電子署名 チャレンジ 12We5fqE08 5xO7QpWz9 公開鍵 署名を検証 秘密鍵で署名された チャレンジを送る 公開鍵を登録 チャレンジ 12We5fqE08 5xO7QpWz9 サービスを使いたいので、ログインしたいと通知 チャレンジを送る(ユーザー専用受付番号のような役割) チャレンジ 12We5fqE08 5xO7QpWz9 秘密鍵で電子署名 チャレンジ 12We5fqE08 5xO7QpWz9 秘密鍵で署名されたチャレンジを送る 公開鍵で検証ログイン 【FIDO認証期の登録】 【サービスの利用】
  70. 70. FIDO2とSSO FIDO2認証デバイス 認証サーバー クラウド・サービス Azure ADなど リスク軽減 パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行う ため、リスクが軽減する。 コスト削減 「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘 れによる新しいパスワードの設定」などが不要となる。パスワードレスになれば、人がかける時間を削 減、漏洩による損害がなくなる。 ユーザーエクスペリエンス向上 「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンか らサービスにアクセスしようと思ってもパスワードが思い出せない」「サービスごとに文字種別や桁数 の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」「定期的な 変更で違うパスワードを設定したのはいいが、それを思い出せない」などがなくなり、利便性が向上し、 業務の生産性も向上する。
  71. 71. クラウド・サービス シングル・サインオン(SSO)システム 1/2 ID PW ID PW ID PW ID PW ID PW ID PW  ユーザーIDとパスワードが増加。利用ログはクラウド・サービスに依存し、管理者が掌握できない。  認証の強度がクラウド側に依存し、多要素認証などの導入に制限がある。  利用場所や端末を制限する機能もクラウド側に依存し、柔軟な制御が行えない。
  72. 72. シングル・サインオン(SSO)システム 2/2 クラウド・サービス SSO システムサインオン サインオン サインオン フェデレーション(認証連携)  サインオンは1種類だけ。全ての利用サービスについてのログが収集・掌握できる。  SSOシステムへの認証を強化すればクラウドサービスの認証も強化でき、多要素認証などの導入も容易。  SSOシステムにアクセス可能な範囲がクラウドサービスが利用可能な範囲となり、場所や端末による制限が柔軟にできる。
  73. 73. ゼロトラスト・ネットワーク・セキュリティ ネットワーク境界 従来のネットワークベースのセキュリティ ネットワークを突破された侵入済みの脅威に対して脆弱 ネットワーク境界は 容易に越えられる 1台を乗っ取れば 他のデバイスに 侵入拡大 社外からの ID/デバイス/データ/アプリ への攻撃に対して無防備 ファイヤー ウォール デバイス ID データ ゼロトラスト・ネットワーク・セキュリティ “ID” をセキュリティ境界とし、ネットワークに依存しない これらの信頼度に基づいて動的に認証、認可 × × × × × 自動的な分類・保護・追跡 機密情報の保護 アプリ 標的型メールの 検出と排除 メールからの保護 機密情報の保護(監視) 未許可アプリ、不正な操作の監視 なりすまし検知・防止 ID の保護 (クラウド&オンプレ) PC への侵入検知・隔離 デバイスの保護
  74. 74. Microsoft 365Security Center での対応 標的型メール受信 未知のマルウェア、フィッシング PC への 侵入行為 ID の窃取 侵入範囲の拡大 偵察 情報への 不正アクセス 被害発覚 PC への侵入検知・隔離 Microsoft Defender ATP 標的型メールの検出と排除 Office 365 ATP 自動的な分類・保護・追跡 Azure Information Protection メールからの保護 デバイスの保護 ID の保護 (オンプレミス) ID の保護 (クラウド) 機密情報の保護(監視) 機密情報の保護 なりすまし検知・防止 (クラウド) Azure Active Directory Premium なりすまし検知・防止 (オンプレミス) Azure ATP 未許可アプリ、不正な操作の監視 Cloud App Security セキュリティ統合監視:Microsoft 365 Security Center
  75. 75. ユーザーに意識させない・負担をかけないセキュリティ Security Orchestration Automation Response SOAR セキュリティ製品間の連携 手動 → 自動 自動調査&対処 MTTI Mean Time To Identify MTTR Mean Time To Remediation 自動化 SOAR
  76. 76. Microsoftのセキュリティ・プラットフォーム Azure AD Azure Sentinel Azure Sentinel : SIEM(Security Information and Event Management)。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft Cloud App Security、Azure Security Centerなどの脅威検知エンジンで収集したログ、サードパーティのセキュリティソリューションのログ、Deviceログ、Emailロ グなどを1つに集め、ビルトインされた機械学習モデルやAIを使って脅威の検知を行う Azure ADなどの様々なログから、機械学習モデル やAIを使って脅威の検知を行う ID およびアクセス管理サービス。様々なリソースへのサイ ンインとアクセスを管理し、シングルサインオン環境を提供 Azure AD : ID およびアクセス管理サービスであり、リソースへのサインインとアクセスを支援。Microsoft Office 365、Azure portal、その他何千という SaaS アプ リケーションなど、外部リソース。企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。 AD(オンサイト) Microsoft Defender ATP (オンサイト) Microsoft Defender ATP (モバイル) インターネット クラウド・サービス Microsoft Defender ATP(Advanced Threat Protection) : 企業のネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された プラットフォーム。 フェデレーション(認証連携) 同期
  77. 77. 77 ネットコマース株式会社 180-0004 東京都武蔵野市吉祥寺本町2-4-17 エスト・グランデール・カーロ 1201 http://www.netcommerce.co.jp/

×