ハイブリッド・クラウドの詳細を探る: 第 4 回 実装に関する考慮事項

ハイブリッド・クラウドを実際に実装、管理、保護するために何が必要かを学びましょう。この連載ではこれまで、ハイブリッド・クラウド、XaaS (Every Component as a Service)、ユビキタスなサービスの提供、すべてを効果的かつセキュアに動作させるために必要な機能である IWM (Intelligent Workload Management) などのメリットについて説明してきました。今回の記事はハイブリッド・クラウドに関する連載の最終回です。

Grace Walker, IT Consultant, Walker Automated Services

イリノイ州シカゴにある Walker Automated Services の共同経営者である Grace Walker は、さまざまな経歴と幅広い経験を持つ IT コンサルタントです。IT 業界では、マネージャー、アドミニストレーター、プログラマー、インストラクター、ビジネス・アナリスト、テクニカル・アナリスト、システム・アナリスト、Web 開発者としての経歴を持ち、その分野は通信、教育、金融サービス、ソフトウェアなど多岐に渡ります。



2012年 6月 28日

ハイブリッド・クラウドを実装することは、ハイブリッド・クラウドへの投資の真価が損なわれるリスクや、企業が一層不安定な状況に陥るリスクを孕んでいます。何を実装する場合も同じですが、ハイブリッド・クラウドを稼働状態にし、適切な機能、セキュリティー、信頼性を確保するには、いくつかの重要な事項を注意深く考慮する必要があります。ハイブリッド・クラウドが効果的に機能するためには、それまで構築されてきたサイロを解消し、BSM (Business Service Management) と ITSM (IT Service Management) の両方に共通の手段を提供する必要があります。そのためには、ガバナンス・ポリシーをインテリジェントに構築し、厳格なコンプライアンスを維持しつつシステムとシステム・パフォーマンスを管理する必要があります。

ITaaS (IT as a Service) を実装することにより、IT は真のビジネス・パートナーとなる必要があります。ITaaS を実装するためには、IT プロセスを以下のように設計する必要があります。

  • サービス・プロバイダーとしての心構えを持つ
  • ビジネス・ニーズに即応するアジャイルな手法を開発する
  • クラウドに対するゲートウェイとして機能することにより、Software as a Service のサイロとクラウドのアイランドが作られてしまう状況を防ぐ
  • セキュリティーとコンプライアンスのパートナーとして役割を担い、社内とサードパーティー・サプライヤー両方のサービスを常に評価、精査する
  • BSM ポリシーと ITSM ポリシーをクラウドに拡張することにより、サイロを解消する
  • 企業の財務を健全に保つ上で重要な経済要因を認識して理解する

結局のところ、IT は企業の価値を創造するものでなければならず、クラウドへの移行が適切に調整、制御、管理されていない場合に生じうる混乱を防ぐものでなければなりません。それと同時に、IT は革新と最適化を通じてビジネス価値を高める余地を提供する必要があります。この厳しい条件を巧みにクリアすることで、大きな価値を企業にもたらすことができます。

ハイブリッド・クラウドを実装する上での重要なフェーズ

ハイブリッド・クラウド・ソリューションのデプロイメントを成功させるには、あらゆる潜在的問題を理解し、それらの問題に対する計画を立てることが非常に重要です。危険を避けるために、IT 部門とビジネス部門の利害関係者は密接に協力し、ビジネスの目標を明確に記述し、プロジェクトのスコープを詳細に規定し、マイグレーションのガイドラインを明確に記述する必要があります。これらの課題を実行するために、実装チームはマイグレーションに関する多くの側面について注意深く検討し、すべての利害関係者に対して情報提供を徹底し、合意を得られるようにする必要があります。

作業を始める前に、以下の事項を徹底する必要があります。

  • ソリューションの対象となるビジネス・ニーズを記述する
  • クラウドへのマイグレーションを促す動機 (新しい機能やアプリケーション、既存のソリューションの移行など) を文書化する
  • 実現されるソリューションの本質的な性質を理解する (そのソリューションは独立して機能するのか、それとも他のシステムと連携して機能するのか)
  • 新しいソリューションを利用するユーザーの数とタイプ、また彼らをどの程度サポート、トレーニングする必要があるかを判断する
  • ソリューションの実際のコストを、単に実装だけではなくライフサイクル全体を含めて把握する
  • 使用量に応じて支払う新しいモデルによる日々のキャッシュフローへの影響を計算する

実装プロセスの構成は、計画フェーズ、実行フェーズ、監視フェーズ、評価フェーズに分ける必要があります。計画フェーズでは、ビジネスを推進する重要な役割を担うものを定め、ビジネスの目標を正確に記述し、プロジェクト計画の概要を示す必要があります。また、IT 部門とビジネス部門の利害関係者によるチームを編成し、プロセスを監督する必要があります。実行フェーズでは、スコープ・クリープが生じないように目を光らせつつ、計画フェーズで確立されたガイドラインをベースに計画を実行する必要があります。いったんシステムを確立できたら、適切なパフォーマンスと投資収益率 (ROI) が確実に得られるように、常にシステムの監視と評価を行う必要があります。


ガバナンス

ハイブリッド・クラウドのガバナンスは、可用性、セキュリティー、コンプライアンスに関連するポリシーを扱わなければならない一方、企業の全般的な IT の目標や、戦略的な目標全体と厳密に調和している必要があります。ガバナンスはポリシーを作成するプロセスであり、このプロセスを通じて、常に変化と進化を続ける環境におけるリスクと可能性を評価する必要があります。これらのポリシーによってクラウド・サービスとデータを提供する方法と提供する場所を明確にし、実行時にはポリシーを追跡して施行する必要があります。

ガバナンス・ポリシーには、設計時のガバナンスと実行時のガバナンスの両方を含む必要があります。設計時のガバナンスは開発フェーズに焦点を絞り、主に社内の懸念事項に集中的に対応します。実行時のガバナンスは、社内および社外の両方で利用可能なサービスに関するアクセスの規制、セキュリティー、パフォーマンスなどのポリシーに焦点を絞ります。これらのポリシーは、以下の点を考慮して設計する必要があります。

  • ロール・ベースのアクセス: 誰がシステムにアクセスでき、その人達に何が許可されるのかを制御できること (この中には、クラウド・アセットのデプロイや管理をできるのは誰か、といったことも含まれている必要があります)。
  • 監視用メトリクス: アプリケーションのパフォーマンスや、その他ビジネスに不可欠な重要業績指標 (KPI) を評価できること。
  • サービス・レベル・アグリーメント (SLA): アプリケーションとインフラストラクチャーの両方に対するサービス・レベルが確立されていること。
  • サービス品質: サービス提供に関するベンチマークを提供できること。

ハイブリッド・クラウドを管理するためには、さまざまなツールやツールの管理プロセスで構成される包括的なフレームワークを実装する必要があります。最終的な分析として、最適な価値と使いやすさを達成できるかどうかは、その企業特有のガバナンス構造が効果的にデプロイされるかどうかにかかっています。このことは、IT リソース投資や関連する人的リソース投資に対して望ましい成果を実現する上で重要です。

仲介離れ

ガバナンスに関する非常に大きな 1 つの問題が「仲介離れ」、つまり IT 部門がバイパスされてしまうことです。クラウドにより、辛抱が足りない上に十分な知識に欠ける IT ユニットやビジネス・ユニットのメンバーが完全に IT 部門を回避し、独自のソリューションを非常に容易に作成できてしまいます。締め切りが迫る中、クレジットカードを手にした誰かが計算処理能力を求めて Amazon にアクセスし、素早くプロジェクトを完成させることで、すべては特に問題ないように見えます。あるいは、あるビジネス・ユニットが、現状では社内にないソフトウェアを必要とし、そのビジネス・ユニットのメンバーが最終期限日に迫っている (釈明は絶対に受け入れられず、延長も絶対に許されない) という場合もあります。彼らはすぐにクラウドにアクセスし、そのソフトウェアを使用してプロジェクトを完成させ、納入します。この場合も、すべては特に問題ないように見えます。しかし、彼らは組織のガバナンスやセキュリティーの対象範囲外にあるクラウドに痕跡を残しています。これは危険であり、最終的に致命的な結果になる可能性があります。また、仲介離れによってサイロが強化され、クラウドのアイランドが作られてしまいます。結局、こうした方法はガバナンスとコンプライアンスを混乱させ、データが消失する可能性や悪意のある侵入を招く可能性をもたらします。

仲介離れを解決するためには、ポリシーを適切に作成するだけではなく、効果的なコミュニケーションを行う必要があります。IT 部門は仲介離れを完全になくすために、入念に検証済みでユーザーが安全にアクセスできるものとして承認されたクラウド・サービス・プロバイダーのカタログ、つまりポートフォリオを提供する必要があります。組織全体がガバナンス・ポリシーを認識して遵守し、常に組織のゲートウェイとしての IT 部門の役割を受け入れる必要があります。ITaaS を設計する目的は、連携するため、そして作業を促進するためであることを忘れないでください。

変更管理

変更管理も問題の 1 つです。クラウドではどのように変更管理を行うのでしょう。ファイアウォールの背後では、組織全体で理解され、合意されているタイムテーブルとスケジュールに従ってアプリケーションのアップグレードのデプロイメントを管理することができます。またデプロイメントの前にテストを実行し、アップグレードや変更が企業の運営に支障を及ぼさないことを確認することができます。

ハイブリッド・クラウドを実装する場合には、あらゆるレベルのバージョン管理に対応し、SLA に規定された、システム、社内プロセス、インフラストラクチャーの確実な動作、そしてポリシーを維持する必要があります。SLA のこの部分を作成することは重要です。これらの変更を管理するためにはルールが必要であり、変更を実装する前に、それらのルールに関して皆さんとサービス・プロバイダーとが合意しておく必要があります。レガシー・アプリケーションも確実に動作するように、これらのルールには、複数のバージョンを使用できるという条項を含める必要があります。

データ管理

クラウドに送信されるデータは暗号化する必要があります。暗号化により、サービス・プロバイダーのスタッフや悪意のあるサーバーからは皆さんのデータにアクセスできなくなります。また暗号化により、破棄されたストレージ・デバイスにデータの痕跡が残っている場合にも、そのデータを読むことはできなくなります。


ネットワークの接続性

ハイブリッド・クラウドはサービス・モデルとデプロイメント・モデルの組み合わせです。プライベート・クラウドの場合には、企業もプロバイダーも同じネットワーク境界内にあります。パブリック・クラウドの場合には、企業とプロバイダーは別のネットワークに属しています。ハイブリッド・クラウドでは、企業のネットワークをプロバイダー内にまで拡張する必要や、プロバイダーのネットワークを企業内にまで拡張する必要があるかもしれません。要は、企業もサービス・プロバイダーも、自らのネットワークの一部を相手に公開する必要がある、ということです。この、ハイブリッド・クラウドによる新たな課題に対応するには、ネットワーク・アーキテクチャーをより柔軟にし、ネットワーク・サービスを場所とは無関係なものにし、リソースの抽象化によって自動プロビジョニングを容易にする必要があります。

帯域幅

ハイブリッド・クラウドの接続性の能力はクラウド・サービスを採用して継続的に使用する上での中心要素であり、帯域幅はクラウド・サービスの提供に関する不可欠の要素です。いかにタイムリーにデータを提供できるかによってデータの価値が決まるため、帯域幅ポリシーは重要です。

ハイブリッド・クラウドには、帯域幅を認識するシステムが必要です。予想されるデータ量をベースに帯域幅を決める必要がありますが、帯域幅の計算は難しく、また帯域幅を過大に見積もるとコストが高くなります。そこで帯域幅をスケーラブルにし、ネットワーク・リソースを効率的に使用できるようにします。帯域幅をスケーラブルにすることにより、セキュリティーやアーキテクチャーの柔軟性を犠牲にすることなく、需要の変化に素早く対応することができます。

レイテンシー

レイテンシーも接続性の問題です。ユーザー、アプリケーション、データが世界中に分散されている場合、そのことがアプリケーションの信頼性やパフォーマンスに影響を及ぼす可能性があります。パフォーマンスに関して言えば、クラウドとエンド・ユーザーとの間に何ミリ秒かの遅延があると、ビジネスのコストに影響する可能性があります。エンド・ユーザーは迅速な応答を期待し、迅速に応答が得られない場合には、彼らはそのアプリケーションを受け入れません。

パフォーマンスを評価する場合には、クラウド・インフラストラクチャーとネットワークの両方を考慮する必要があります。どちらの役割も重要であり、エンド・ユーザーに受け入れられる、という点でクラウドのデプロイメントが成功するかどうかは、この両方にかかっています。物理法則を克服することはできず、レイテンシーには距離とルーターのホップ数が影響するので、クラウドを評価するプロセスの初期段階で遅延の問題をテストすることが重要です。クラウド・インフラストラクチャーの場所を適切に選定することが第一歩です。クラウドとエンド・ユーザーとの間の距離を短くすることに集中してください。そうすることでレイテンシーを小さくすることができ、アプリケーションのパフォーマンスを高めることができます。ハイブリッド・クラウドとレイテンシーの問題を検討する際に重視しなければならないのは、1 にも 2 にも 3 にもクラウド・インフラストラクチャーの場所なのです。

ファイアウォール

ファイアウォールについても検討する必要があります。理想的な方式は、クラウド・ベースの WAF (Web Application Firewall) を使用することです。クラウド・ベースのファイアウォールは、アプリケーションを拡張する場合でも、ハードウェアやソフトウェアの変更が必要なく、拡張の影響を受けることがありません。脅威を検出した場合でも、クラウド・ベースの WAF は集中管理されているため、サービスを利用しているすべてのテナントの間でそれを共有することができ、検出率を高められる上、フォルス・ポジティブを減らすこともできます。クラウド・サービスはニーズに応じて拡大、拡張され、エラスティック (弾力的) でスケーラブルなソリューションを提供します。BYOD (Bring Your Own Device) が採用され、モバイル機器を使用して在宅勤務も行われるようになると、ファイアウォール管理の負担が指数関数的に増すことは容易に理解することができます。


アクセス制御

ハイブリッド・クラウドの成功を判断する上で、包括的な IAM (Identity and Access Management) を採用しているかどうかは極めて重要な要素です。IAM はデータをセキュアに維持する上で重要な役割を担うことに加え、厳格なコンプライアンスを実現するためのカギでもあります。コンプライアンスのためには、誰にアクセスが許可されているかと、ロールに関するセキュリティーについて明示する必要があるだけではなく、アクセスを許可された後のユーザーのアクションを追跡する必要もあります。

SIEM (Security Information and Event Management) 技術を使用することで、IAM のユーザー管理とロール管理を改善することができます。SIEM によって、IAM を単体で使用する場合よりも詳細な例外監視や監査を行えるようになり、ログやレポートの作成も一貫性のあるユーザー・インターフェースで行えるようになります。

この方式は、組織面や経済面での構造の変更が必要な場合にもメリットがあります。今日では、経済モデルやビジネス・モデルの変更は、新しいモデルについて考えるのと同じ速さで頻繁に行われます。ID に基づいてサービスを提供するクラウドでは、ビジネス・プロセスを詳細に把握することができ、イベントに基づいてリアルタイムの情報を収集できるため、方向性の素早い変更が容易にできる一方、作業の区分を明確に把握することができます。

マルチテナンシー

ハイブリッド・クラウドを実装するということは、その企業がマルチテナンシー環境であるかもしれないということです。マルチテナンシーというのは、処理能力、ストレージ、ネットワーキングなどのリソースを複数のテナント間で共有することです。この場合、企業は企業情報のセキュリティー、そしてシステムにアクセスするための鍵のセキュリティーを確実にする必要があります。マルチテナンシー環境でセキュリティーの適切な管理を保証するためには、サービス・プロバイダーを調査し、彼らがどのようにマルチテナンシー環境を構成するかについて確認する必要があります。例えばマルチテナンシー環境では、どのテナントも、他のテナントに割り当てられたリソースにアクセスしてはならず、そうしたリソースの存在を知ることも許されません。サービス・プロバイダーのユーザーは、どのようにセキュリティーが実装されているかを確認し、その実装方法が有効であるかどうかを検証する必要があります。

マルチテナンシー環境に適用されるセキュリティーはロール・ベースでなければなりません。セキュアな管理機能によってリソースを割り当て、サービス・プロバイダーの管理者にはリソースの内容がまったく見えないようにする必要があります。サービス・プロバイダーの管理者は追加リソースのセットアップ、デプロイメント、割り当てを行える必要がありますが、ある 1 つのテナントの環境で機能を実行することはできません。

企業の管理者もロール・ベースで作業を行わなければなりません。管理者は、その企業の管理ロールとアクセス・ロールを該当者に割り当てられる必要があります。

VPN トンネル

ハイブリッド・クラウド内でデータをセキュアに維持するためには、プライベート・クラウド・サービスとパブリック・クラウド・サービスとの間で VPN (Virtual Private Network) トンネルを使用します。VPN トンネルにより、セキュアな接続が実現され、1 つのユーザー名とパスワードを使用して一連のクラウド・アセットにアクセスすることができます。VPN の通信では、インターネットなどの一般に利用可能なアセットを使用してハイブリッド・クラウドのデータを移動します。このプロセスでは暗号化アクセス・モードと、2 つの鍵で暗号化する SSL プロトコルを使用します。

皆さんが設定するアクセス制御が皆さんのユーザーのみに関係するわけではないことを頭に入れておいてください。皆さんのクラウド・ベンダーも皆さんのサーバーにアクセスすることができます。そのため、皆さんが設定したアクセス・ポリシーにクラウド・ベンダーが従っているかどうかを確認する必要があります。


まとめ

企業が今日の市場の急速な変化に迅速に対応する上で、ハイブリッド・クラウドは最もコスト効果が高く、最も効率的な手段です。ハイブリッド・クラウドは、オンプレミスのソリューションのみを使用する場合には達成不可能な ROI を実現します。このパラダイムには新たなリスクがありますが、適切なガバナンスと監視により、それらのリスクを軽減することができます。今回の記事で、このハイブリッド・クラウドに関する連載は終わります。最後まで読んでくださった皆さんに感謝いたします。

参考文献

学ぶために

製品や技術を入手するために

  • 皆さんの目的に最適な方法で IBM 製品を評価してください: 製品の試用版をダウンロードする方法、オンラインで製品を試す方法、クラウド環境で製品を使う方法、あるいは SOA Sandbox で数時間を費やし、サービス指向アーキテクチャーの効率的な実装方法を学ぶ方法などがあります。

議論するために

  • developerWorks コミュニティーに参加してください。ここでは他の developerWorks ユーザーとのつながりを持てる他、開発者によるブログ、フォーラム、グループ、ウィキを調べることができます。

コメント

developerWorks: サイン・イン

必須フィールドは(*)で示されます。


IBM ID が必要ですか?
IBM IDをお忘れですか?


パスワードをお忘れですか?
パスワードの変更

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


お客様が developerWorks に初めてサインインすると、お客様のプロフィールが作成されます。会社名を非表示とする選択を行わない限り、プロフィール内の情報(名前、国/地域や会社名)は公開され、投稿するコンテンツと一緒に表示されますが、いつでもこれらの情報を更新できます。

送信されたすべての情報は安全です。

ディスプレイ・ネームを選択してください



developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

必須フィールドは(*)で示されます。

3文字から31文字の範囲で指定し

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


送信されたすべての情報は安全です。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Cloud computing
ArticleID=822571
ArticleTitle=ハイブリッド・クラウドの詳細を探る: 第 4 回 実装に関する考慮事項
publish-date=06282012