4/25の技術ひろばのセッションのスライドです。 「クラウドサービスを利用すれば、簡単に解決できる。」 と思いがちですが、利用する際に注意したほうがいい点が ありますので、これをまとめました。 これ以外にも色々あると思いますが、 クラウドサービス検討時に参考にしていただければ幸いです。

1. クラウド時代のインターネット接続
技術ひろば.net 山田修

2. レジュメ
Office365導入時の検討事項
• 処理能力の観点から
• 防御の観点から
• 将来を見越しての認証連携
• まとめ

3. 処理能力の観点から
Office365を導入する際のはまりポイントかもしれない

4. 事の発端は、ユーザーからの要望
• メールの容量が足りないから、大きくして！
→サーバーの容量不足
• クライアントに保存すると、容量は確保できるけど。。。
→ディスク障害になったらどうしよう
Office365を導入しよう

5. Office365導入を決定し、
「さぁ、やるぞ」 と思ったら

6. いきなり、問題発覚

7. 処理能力不足
打ち合わせ中にベンダーから強烈な一言
セッション処理能力が不足するかも
• Outlook2010の場合、1クライアント7セッション程度
（Outlook2013なら、少し減るかも。）
• Office365以外にもセッションは必要

8. 実際のところどうなの？
• Powershellで確認（デモ）
• コマンド ： netstat –n
ExchangeOnlineとの通信は、443ポートを使用する
Established ＝ 通信が確立しているセッション

9. ファイアウォール、プロキシーの能力増強が必要
× クライアント数
セッション1
セッション5
セッション4
セッション3
セッション2
セッション10
・
・
・
処理能力が10倍必要になる

10. セッション数と負荷の関連
時間帯 セッション数 CPU負荷
時間帯１ 300 40％
時間帯２
ダウンロード中
60 20％
時間帯３ 40 10％
時間帯４ 350 50％
仮想サーバーでWebSecurityソフト稼働時

11. さらにセッション処理能力が必要に
• クラウドサービスの利用
（Salesforceなどのサービス）
• クラウド上のインフラ利用
（Azure、AWSなどのIaas、Paas）
• IoTの通信
（デバイスがクラウドサービスに直接アクセスする）

12. 処理能力不足をどうするか
• クラウドサービスの利用をあきらめる
→ユーザーに我慢してもらう、サーバーの増強
• セキュリティレベルを落とす
→後のセキュリティリスクの原因
• 処理能力を上げる

13. 処理能力を上げるには
• 並列処理させる
→台数を増やす
→処理が複雑
• 処理能力を高める
→高性能の機器に更新
コスト高 コストはかかるが割安
FireWall＋
WebSecurity
新設計
FireWall

14. 結局
セッション処理能力不足
→WebSecurityの
更新が必要
思わぬ出費

15. 防御の観点から
能力不足でもセキュリティレベルは下げられない

16. ファイアウォールで何を制御できる？
• 2000年頃
ファイアウォールのポートで制御
（Webの割合は、今ほど多くない。）
• 現在
ファイアウォールを通り抜けるために
443(HTTPS)、80(HTTP)ポートを使用する
→Web関連のポートなので閉じれない
（流れている中身もわからない。）

17. ポートの種類と役割
プロトコル ポート 機能
FTP TCP 20/21 ファイル送受信用
Telnet TCP 23 リモート接続用
SMTP TCP 25 メール転送
DNS TCP 53 名前解決
HTTP TCP 80 Web
POP3 TCP 110 メール受信
NTP UDP 123 時刻同期
IMAP TCP 143 メールサーバー上のメール操作
HTTPS TCP 443 Web

18. クライアントの通信の割合
75%
14%
11%
2014年度クライアント通信割合
HTTP HTTPS その他
Web関連だけで(90％)
→真面目に検討が必要
IIJのホームページより

19. どんな通信が流れている？
• 通信しているアプリケーションの監視は難しい
日立ソリューションズのホームページより

20. どんな通信が流れているか把握するには
• 通常のファイアウォールで、通信の中身の確認は難しい
• 資産管理ソフトで監視
インストールされているソフトウェア名で調べる
→専用アプリでない場合、調べられない
• Webフィルタリング
→ブロックしてはくれるが、何が流れているか
確認することは難しい

21. ポートではなく、アプリケーションで
• アプリケーション単位で制御が必要
日立ソリューションズのホームページより

22. 多層防御も考慮
ファイアウォール以外の
セキュリティ手段
• アンチウィルス
• URLフィルタリング
• 不正侵入防御（IPS）
など
ファイアウォール
URLフィルタリング
不正侵入防御
アンチウィルス
デ
ー
タ
インターネット
社内

23. 実現するには
• 単機能のサーバー（専用機）の組み合わせ
サーバー（専用機）が増える→コスト高
• UTM(統合脅威管理)
複数機能を1つにした製品→処理能力不足の可能性
• 次世代ファイアウォール（PaloAltoなど）
すべてを処理する前提で設計→処理が早い

24. ありきたりですが
機能、処理能力、費用を
考慮して検討を
能力不足の解消より、セキュリティ強化の方が伝わりやすい
当前ながら

25. 将来を見越しての認証連携
最初の選択が後々影響する可能性大

26. 2014年の年末、こんなことを聞きました
「Office365の認証は
AzureAD」

27. クラウドサービスの利用は増加の一方
• コスト削減（管理工数、サーバー更新費用）
• 利便性（社外の拠点で利用できる）
• 便利なサービス（Azure、AWSなどで提供される）
• IoTでクラウドのサーバー利用
→ Office365だけで終わらない。

28. 将来、認証サービス連携が必要になる
• ADFS on Cloud
（ソフトバンク、5000ユーザー以上、25万/月）
• ADFS on Azure
（富士ソフト、1000ユーザー以上、10万/月）
• Online Service Gate
（ソフトバンク、100ユーザー以上、18万/年～）
• ADFS（自力？）
• Azure上で安価にADFS提供（してほしい）
高いな～

29. ということで、聞いてみました。
「将来、ADFS設定の
サポートしてくれますか？」

30. 回答1 R社の場合
「当社で、ADFS設定のサポートを
しておりません。
協力業者にお願いすることに
なります。」
本命だったのに。。。

31. 回答2 F社の場合
「ADFSの設定サポートは
当社でOffice365を導入して
いただいた場合のみとなります。」
でも、Office365に本気じゃなさそう。。。

32. 回答3 O社の場合
「ADFS設定をサポート可能ですが、
当社で導入していただかないと、
Office365との連携で
障害発生時にご迷惑がかかるかと。」
言い方一つで、印象って変わるんだよね。。。

33. 事実上
ADFSの連携サポートは
Office365とセット
サポートは
必要だよな～

34. まとめ
ということで

35. クラウドサービス導入時の注意点
•ITインフラの処理能力を事前に検討
•セキュリティ強化も忘れずに
•認証サービス連携（ADFSなど）の
必要性を検討

36. 参考ページ
• 日立ソリューションズのパロアルトのページより
http://www.hitachi-solutions.co.jp/paloalto/sp/products/solution/control.html
• IIJのブロードバンドトラフィックレポートより
http://www.iij.ad.jp/company/development/report/iir/024/02_04.html