Approach to Establish Hybrid Cloud Services 要 旨 キーワード プライベートクラウド パブリッククラウド デザインパターン ハイブリッドクラウド 情 報 セキュリティー 富 士 ゼロックスは2010 年 より 株 式 会 社 野 村 総 合 研 究 所 (NRI)の 構 築 提 供 するプライベートクラウド 基 盤 (NRIプライベートクラウドサービス mcanvas )を 活 用 し 数 々のソリューション サー ビスを 提 供 してきた 一 方.comや Microsoft を 代 表 するパブリッククラウドの 技 術 革 新 は 目 覚 ましく 我 々としてよりソリューション サービスを 迅 速 にお 客 様 に 提 供 していくために プラ イベートクラウドとパブリッククラウドの 両 方 の 良 い 機 能 を 活 かしたハイブリッドクラウドの 基 盤 を 構 築 し 運 用 を 開 始 した 本 論 文 では 我 々が 構 築 したハイブリッドクラウド の 特 徴 と またその 上 で 迅 速 にソリューション サー ビスを 提 供 するための 手 法 としての 富 士 ゼロックス クラウドデザインパターンの 確 立 と 実 施 について 述 べる Abstract Keywords private cloud, public cloud, design patterns, hybrid cloud, information security Since 2010, Fuji Xerox has been utilizing Nomura Research Institute s (NRI) private cloud service (mcanvas) to offer various types of solutions and services. At the same time, we have established and are now operating hybrid cloud services that take advantage of the benefits of both private and public clouds. We established these hybrid cloud services to quickly provide solutions and services to customers, and thus compete with the fast-growing public cloud technology developed by such companies as and Microsoft. This paper highlights the features of the hybrid cloud services that we have built. It also introduces the Fuji Xerox Cloud Design Pattern that we have created and implemented as a way to provide our solutions and services in a timely manner. 執 筆 者 小 原 裕 美 (Hiromi Ohara) ソリューション サービス 開 発 本 部 ソリューション 開 発 部 (Solutions Development, Solution Service Development Group) 88 富 士 ゼロックス テクニカルレポート No.24 2015
1. はじめに クラウドコンピューティングとは インター ネットを 通 じて 提 供 されるサービスやストレー ジなどのコンピューターリソースを ユーザー が 特 にその 所 在 を 意 識 することなく 利 用 できる というコンセプトのことを 示 す その 中 で プライベートクラウドとは 企 業 が 企 業 内 でクラウドコンピューティングのシス テムを 構 築 し 企 業 内 の 部 門 やグループ 会 社 な どに 対 してクラウドサービスを 提 供 する 形 態 の ことを 示 す 富 士 ゼロックスは 2010 年 より 株 式 会 社 野 村 総 合 研 究 所 (NRI)が 提 供 するプ ライベートクラウド 基 盤 (NRIプライベートク ラウドサービス mcanvas )を 利 用 してプラ イベートクラウドを 運 用 している プライベートクラウドの 特 徴 は 自 社 内 のシ ステムでクラウドサービスを 提 供 することで コンピューターリソースを 柔 軟 かつ 効 率 的 に 割 り 当 てたり 共 有 したりすることが 期 待 できるう えに 自 社 内 のクローズドなシステムとなるた め パブリッククラウドに 比 べて 自 社 のセキュリ ティーポリシーの 実 現 が 図 りやすい 利 点 がある 一 方 パブリッククラウドとは クラウドコ ンピューティングによって 運 用 されるサービス のうち 多 種 多 様 な 企 業 や 組 織 あるいは 個 人 といった 不 特 定 多 数 の 利 用 者 を 対 象 に 広 く 提 供 されている 形 態 のことを 示 す 特 定 の 利 用 者 を 対 象 として 提 供 されるプライベートクラウド の 対 比 として 利 用 される パブリッククラウド として 提 供 されているサービスの 例 としては.comの Web Services TM (AWS) やMicrosoft の Microsoft Azure TM などを 挙 げることができる 2. プライベートクラウド 活 用 での 利 点 と 制 約 プライベートクラウドを 活 用 することで す でに 存 在 しサービス 提 供 をしているシステムに とって コンピューターリソースを 柔 軟 かつ 効 率 的 に 割 り 当 てたり 共 有 したりすることが 可 能 となった また 当 社 における 情 報 セキュリ ティーポリシーに 基 づく 運 用 を 実 施 できる 一 方 ビジネス 拡 大 に 向 けたイノベーション を 創 出 するための 新 サービスにとっては 必 要 なインフラ 構 成 要 素 であっても サービス 撤 退 リスクを 検 討 したときに 新 しいがゆえに 個 別 設 計 になってしまい 他 の 既 存 サービスへの 転 用 が 困 難 なケースがあった また 新 しいサービスや 新 しいバージョンの 開 発 中 やサービス 評 価 期 間 中 など 本 番 環 境 と IAM AWS CloudFormation Deployment & Management CloudWatch 運 用 で 利 用 SQS Application CloudFront SES PaaSとして 利 用 Compute Storage DataBase Auto Scaling EC2 S3 EBS Networking Glacier RDS DynamoDB IaaSとして 利 用 Route 53 VPC Elastic Load Balancing AWS Direct Connect Global Physical Infrastructure Geographical Regions Availability Zones Edge Locations 図 1 Web Services 富 士 ゼロックス テクニカルレポート No.24 2015 89
同 等 設 備 を 常 に 用 意 することは 新 しいサービ スにとっては 高 コストになりがちであった ま た 新 しいサービスは サービスの 成 長 のスピー ドが 速 くないのが 一 般 的 であり 成 長 予 想 に 対 応 する 事 前 準 備 に 手 間 がかかる 場 合 や またイ ベントによるピーク 設 計 が 必 要 なときにも ど うしてもコンピューターリソースが 足 りなく なった 場 合 のリスク 対 応 が 優 先 となり 高 コス トになりがちであった 3. パブリッククラウド 活 用 での 利 点 と 制 約 パブリッククラウドの 代 表 の1つである AWSとは.comが2006 年 7 月 に 開 始 したITインフラのクラウドサービスである 世 界 を11のリージョンに 分 けてサービスを 提 供 している ユーザーは ITインフラを 所 有 す ることなく 提 供 されているサービスや 機 能 を 利 用 することで サーバーやストレージの 調 達 や 増 強 / 増 設 ネットワークの 構 築 / 組 み 換 え を 容 易 に 行 うことができる 現 在 仮 想 ネット ワークや 仮 想 マシンを 含 め 40 種 類 以 上 のサー ビスや 機 能 が 提 供 されており 新 規 サービスや 新 規 機 能 も 日 々 増 え 続 けている Infrastructure as a Service ( IaaS ) と Platform as a Service(PaaS)の 代 表 的 な 提 供 事 業 者 である AWSの 代 表 的 なサービスの 一 覧 1) を 図 1に 示 す パブリッククラウドの 利 点 は 必 要 な 量 だけ 短 期 間 に 用 意 することが 可 能 なため 初 期 導 入 コ ストを 低 く 抑 えられることにある また 利 用 した 分 だけ 料 金 を 支 払 えばよい(サービスの 多 くが 従 量 課 金 )ので スモールスタートで 新 し いサービスの 準 備 を 進 めることも 可 能 である また コンピューターリソース 不 足 のリスク 回 避 のためにピーク 設 計 に 合 わせてリソースを 確 保 する 必 要 がない 一 方 AWSはSLA(Service Level Agreement:サービス 事 業 者 が 提 供 するサービ スの 品 質 を 定 量 的 な 指 標 によってあらかじめ 明 示 する 品 質 保 証 契 約 )は 世 界 共 通 であり 当 社 のポリシーに 合 わせた 専 用 のSLAを 用 意 する ことはできない また AWSの 各 サービスで SLAは 異 なる サービス 機 能 の 存 続 はサービス 事 業 者 の 意 向 により 決 定 され ベンダーロック インの 可 能 性 と サービス 事 業 者 の 存 続 のリス クを 受 けることになる また 何 かAWSのサー ビスで 障 害 が 発 生 した 場 合 その 情 報 は 基 本 的 に 非 公 開 である なお 可 用 性 の 問 題 が 発 生 した 場 合 も 広 域 障 害 ( 複 数 リージョンにまたがる) 以 外 は 障 害 扱 いされない サーバー(Compute) 仮 想 マシンを 必 要 構 成 にてプライベートは1カ 月 単 位 パブリックは1 時 間 単 位 で 提 供 パブリッククラウド Powered by AWS TM プライベートクラウド Powered by mcanvas ストレージ プライベートはNFSの 共 用 ストレージ パブリックは AWSのS3 EBSサービス 等 にて 提 供 AWS TM Direct Connect ネットワーク ニーズに 合 わせたネットワーク 環 境 の 提 供 バックアップ ハイブリッドクラウドサービス プライベートではニーズに 合 わせたバックアップ 運 用 の 提 供 セキュリティー 富 士 ゼロックスの 情 報 セキュリティーポリシーに 準 拠 した うえで さまざまなセキュリティーソリューションの 提 供 運 用 さまざまな 運 用 監 視 を 提 供 図 2 ハイブリッドクラウドサービス Hybrid cloud services 90 富 士 ゼロックス テクニカルレポート No.24 2015
4. 富 士 ゼロックスソリューション サービスにとって 必 要 なクラウド 当 社 のソリューション サービスにとって 当 社 の 情 報 セキュリティーポリシー2) に 基 づき 最 大 のアジリティ( 俊 敏 性 )と 最 良 のサービス 提 供 を 可 能 にするクラウドサービスが 必 要 であ る この 条 件 を 満 たしていくために 当 社 の 情 報 セキュリティーポリシーに 基 づく 運 用 が 実 施 可 能 なプライベートクラウドと スモールス タートが 可 能 であり 目 的 に 応 じて 必 要 な 量 だ けをコントロールできるパブリッククラウドの の 両 方 の 利 点 を 兼 ね 備 えた ハイブリッドクラ ウド 基 盤 の 構 築 と 運 用 を 実 施 した 今 回 構 築 し たハイブリッドクラウドの 概 要 を 図 2に 示 す 5. 富 士 ゼロックスクラウドデザイン パターン 単 純 なハイブリッドクラウド 基 盤 の 仕 組 みだ けの 提 供 だけでは ソリューション サービス の 開 発 部 門 にとっては 十 分 活 用 することはで きない たとえば 提 供 するアプリケーション は 変 わらないことを 前 提 に 静 的 な 視 点 でコス トを 考 えてしまうとパブリッククラウドのコス トは 高 く 見 える しかしそのような 弾 力 性 のな いタイプのアプリケーションは そもそもパブ リッククラウド 向 けではなくプライベートクラ ウドを 利 用 すればよいし また 弾 力 性 を 必 要 と するアプリケーションは パブリッククラウド を 使 えばよい しかし 実 際 に 利 用 する 研 究 開 発 部 門 が プライベートクラウドの 利 点 を 活 か すケースやパブリッククラウドの 利 点 を 活 かす ケースの 事 例 を 知 っていないと また 利 用 経 験 がないと ハイブリッドクラウド 基 盤 の 特 長 を 活 用 できるようになるまでには 時 間 がかかって しまう そこで クラウドを 活 用 した 商 品 開 発 技 術 開 発 におけるノウハウをパターン 化 し 共 有 する ことを 目 的 として 富 士 ゼロックスクラウドデ ザインパターンを 同 時 に 提 供 した パターン 化 することで 問 題 課 題 の 抽 象 度 が 上 がり 適 用 できる 事 業 領 域 を 広 げることができる Cloud Design Pattern(CDP) 3) はクラ ウドならではのノウハウをパターン 化 したもの であり さらにAWSで 適 用 するにはどうするか を 説 明 したAWSクラウドデザインパターン (AWS Cloud Design Pattern 略 して AWS-CDP) 4) も 提 供 している これまで 多 く のクラウドアーキテクトたちが 発 見 してきた もしくは 編 み 出 してきた 設 計 運 用 のノウハウ のうち クラウド 上 で 利 用 が 可 能 なものをクラ ウドデザインのパターンという 形 式 で 一 覧 化 し 暗 黙 知 から 形 式 知 に 変 換 したものである この 思 想 表 現 方 法 をもとに 当 社 の 情 報 セキュリ ティーポリシーに 合 わせたうえで 課 題 などを 解 決 するパターンを 集 約 し 展 開 したものを 富 士 ゼロックスクラウドデザインパターン(Fuji 富 士 ゼロックスにおけるクラウド 利 活 用 シナリオ #A1 パターン 化 アプリケーションパターン #An アプリケーションパターン アプリサーバーやウェブ サーバーなどサービス 提 供 に 必 要 となる 構 成 を 含 む 調 整 ミドルレイヤーパターン #M1 #M2 #M3 パターン 化 #Mn 富 士 ゼロックス 情 報 セキュリティーポリシーに 基 づく データ 配 置 に 関 する 基 本 的 な 考 え 方 ミドルレイヤーパターン ネットワークセグメントの 境 界 に 注 目 し データ 配 置 に 関 する 基 本 的 な 考 え 方 を 考 慮 した 構 成 を 含 む 図 3 富 士 ゼロックスクラウドデザインパターン Fuji Xerox Cloud Design Pattern 富 士 ゼロックス テクニカルレポート No.24 2015 91
Xerox CDP)と 呼 ぶ 図 3に Fuji Xerox CDPの 概 念 図 を 示 す こ れは アプリケーションパターンと ミドルレ イヤーパターンの2つの 層 から 構 成 されている まず 当 社 の 情 報 セキュリティーポリシーに 沿 った 運 用 を 可 能 にするために 扱 うデータの 重 要 度 に 応 じたリスクレベルが 規 定 されている ので このレベルの 考 え 方 をもとに リスクレ ベルに 応 じてハイブリッドクラウド 内 部 をセグ メント 化 し セグメントごとにそのリスクレベル で 対 応 可 能 なデータを 配 置 することを 推 奨 する しかし そのセグメントにデータを 配 置 したか らといって 情 報 セキュリティーの 脅 威 がなく なるという 意 味 ではなく 脅 威 から 導 き 出 され るリスクに 応 じてデータ 配 置 を 行 うことを 意 味 している したがって セキュリティー 脆 弱 性 対 応 施 策 はセグメントに 合 わせて 別 途 必 要 とな る 図 4に セグメントエリアを 示 す 図 4に 示 すようにお 客 様 先 の 環 境 からハイブリッド 環 境 のゾーンを 定 義 し ゾーン 間 での 通 信 について パターン 化 する 5.1 ミドルレイヤーパターン ミドルレイヤーパターンは アプリケーショ ンパターンを 実 装 する 構 成 を ゾーン 間 通 信 (プ ロトコルフロー)まで 分 解 したものである 分 解 することで ゾーン 間 通 信 のみに 着 目 するこ とができ リスク 評 価 の 論 点 を 絞 ることができ る また ゾーン 間 通 信 まで 分 解 していること で 再 利 用 性 が 生 まれ 複 数 のアプリケーション パターンの 構 成 要 素 にできる このパターンには どのゾーン から どのゾーン へのア クセスなのか 通 信 プロトコルは 何 か ゾーン 間 を 通 るデータのリスクレベルは 何 か 永 続 化 するデータはあるか 制 約 条 件 は 何 か などに 着 目 し パターン 化 している パターンの 一 例 を 次 に 示 す Zone1からZone3へのパターン お 客 様 環 境 からパブリッククラウドのAWS サービスへのアクセス プロトコルは HTTP/HTTPS データレベル1 このようなゾーン 間 のパターンを 現 時 点 で 25パターン 用 意 している Zone1 Zone2 Customer Internet Zone3 Zone6 Segment Level1 Zone4 Segment Level2 Zone5 Segment Level3 ハイブリッドクラウド 基 盤 富 士 ゼロックス 図 4 セグメントとゾーン Segments and zones 92 富 士 ゼロックス テクニカルレポート No.24 2015
5.2 アプリケーションパターン アプリケーションパターンは ユースケース ごとの 課 題 を 解 決 する 方 法 を 実 利 用 に 適 切 な レベルまで 一 般 化 して 表 現 したものである AWS Cloud Design Pattern 4) や AWSリ ファレンスアーキテクチャー5) にて 提 供 されて いるパターンに 加 え プライベートクラウドの 活 用 や 当 社 の 情 報 管 理 ポリシーに 準 拠 するため に データ 処 理 方 式 業 務 運 用 システム 運 用 の 視 点 から 次 の18パターンを 用 意 している a) データ 処 理 方 式 オンライン 処 理 (コンテンツ 参 照 処 理 ) オンライン 処 理 (コードリポジトリー) メール 送 信 処 理 一 部 機 能 処 理 静 的 コンテンツストア(プライベートパブ リック) 社 外 からの 時 刻 同 期 社 内 からの 時 刻 同 期 b) 業 務 運 用 バックオフィス 認 証 (パブリック) バックオフィス 認 証 (プライベート) c) システム 運 用 オペレーション 死 活 監 視 パッチ 適 用 アップデート 時 のAPI 実 行 (プライベート) バックアップ&リカバリ バックアップ(パブリックプライベート) VM Import(オンプレミスパブリック) VM Export(パブリックオンプレミス) d) その 他 S3ストア 条 件 (パブリック) サービス 技 術 は 不 可 欠 である 今 後 クラウド 技 術 者 の 社 内 コミュニティーを 立 ち 上 げ Fuji Xerox CDPの 利 活 用 を 促 して このハイブリッ ドクラウド 基 盤 を 運 用 し 活 用 していきたい 7. 商 標 について Web Services Powered by Web Services ロゴ およびかか る 資 料 で 使 用 されるその 他 のAWS 商 標 は 米 国 その 他 の 諸 国 における.com, Inc.またはその 関 連 会 社 の 商 標 です AWS 商 標 使 用 ガイドライン 12. 権 利 帰 属 http://aws.amazon.com/jp/trademark -guidelines/ Arureは 米 国 Microsoft Corporationの 米 国 日 本 および 他 の 国 における 登 録 商 標 です その 他 の 商 品 名 会 社 名 は 一 般 に 各 社 の 商 号 登 録 商 標 または 商 標 です 8. 参 考 文 献 1) J. Varia: Architecting for the Cloud: Best Practices, AWS Whitepaper, (2010). 2) 富 士 ゼロックス, 情 報 セキュリティ 報 告 書 2014 年 度 : http://www.fujixerox.co.jp/company/pu blic/i_security/doc/i_security2014.pdf. 3) 玉 川 憲, 片 山 暁 雄, 鈴 木 宏 康 : Web Services クラウドデザインパター ン 実 践 ガイド, 日 経 BP 社, (2012). 4) 玉 川 憲, 片 山 暁 雄, 鈴 木 宏 康 : Web Services クラウドデザインパターン: http://aws.clouddesignpattern.org. 5) AWS リファレンスアーキテクチャ: http://aws.amazon.com/jp/architecture/ 6. おわりに お 客 様 のニーズは 日 々 変 化 している それゆ えに ソリューション サービスを 実 現 してい くには アジリティ( 俊 敏 性 )のある 対 応 を 求 められており これを 実 現 するにはクラウド 筆 者 紹 介 小 原 裕 美 ソリューション サービス 開 発 本 部 ソリューション サービス 開 発 部 第 2SPF 開 発 センターに 所 属 専 門 分 野 : 情 報 処 理 富 士 ゼロックス テクニカルレポート No.24 2015 93