LiBRA 07.2020 / ITソリューション塾・第34期 SDI
•
0 gostou•2,776 visualizações
https://libra.netcommerce.co.jp/
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a LiBRA 07.2020 / ITソリューション塾・第34期 SDI
Semelhante a LiBRA 07.2020 / ITソリューション塾・第34期 SDI (20)
Mais de Masanori Saito
Mais de Masanori Saito (20)
LiBRA 07.2020 / ITソリューション塾・第34期 SDI
- 6. 仮想 virtual 表面または名目上はそうでないが 実質的には本物と同じ 本来の意味 「仮想化」の本当の意味 本来の意味 仮想化 Virtualization 物理的実態とは異なるが、 実質的には本物と同じ機能を実現する仕組み 日本語での語感 虚像の〜 実態のない〜 It was a virtual promise. (約束ではないが)実際には約束も同然だった。 He was the virtual leader of the movement. 彼はその運動の事実上の指導者だった。
- 8. 物理資源・物理機械 サーバーの仮想化 ストレージの仮想化 Java仮想マシン データベースの仮想化 パーティショニング 分 割 アグリゲーション 集 約 エミュレーション 模 倣 仮想化 (Virtualization) ひとつの物理資源を 複数の仮想資源に分割 複数の物理資源を ひとつの仮想資源に分割 ある物理資源を 異なる資源に見せかける 仮想化の3つのタイプ
- 11. ソフトウェア化とはどういうことか(1) 掃除 機能 掃除 機械 レンジ 機能 レンジ 機械 テレビ 機能 テレビ 機械 作表 機能 文書作成 機能 会計管理 機能 汎用機械 オペレーティング・システム(OS) 家電製品 コンピュータ 専用一体 専用一体 専用一体 ソフトウェア Software ハードウェア Hardware
- 14. Infrastructure as a Code
- 15. Infrastructure as Code 仮想サーバー 物理サーバー 仮想ストレージ 物理ストレージ 仮想ネットワーク 物理ネットワーク 使用するシステム構成 リソース・プール(物理リソース)プログラムによる定義 Infrastructure as Code 全てのシステム構成をソフトウェアで定義できる インフラの構築や運用管理での属人化による「暗黙知」をなくし ノウハウの蓄積や自動化を容易にする
- 16. Infrastructure as Code 業務処理ロジックの プログラミング 日本語などの自然言語で 運用手順書の作成 人手による 運用管理 日本語などの自然言語で システム構成図作成 人手による システム構築 従来の手順 属人化による「暗黙知」化 人手の介在によるミスやスピードの制約 業務処理ロジックの プログラミング 運用手順の プログラミング システム構成の プログラミング 運用管理の 自動化 システム構成 の自動化 これからの手順 全手順のコード化によるノウハウの継承 開発〜本番の高速化と変更の俊敏性
- 17. Infrastructure as Codeの特徴(1) 17 環境構築手順書 ① AをBする。 ② CをDにする。 ③ FをGにする。 ・・・ +#!/bin/sh+yum install -y httpd httpd- devel php php- mbstring php-pdo php-mysql mysql- インフラ設定インフラ構築手順作成 環境構築手順書 1 ① AをBする。 ② CをDにする。 ③ FをZにする。 ・・・ 環境構築手順書 2 ① AをBXする。 ② CをDYにする。 ③ FをZにする。 ・・・ 環境構築手順書 3 ① AをBXする。 ② CをDYにする。 ③ FをGZにする。 ・・・ +#!/bin/sh+yum install -y httpd httpd- devel php php- mbstring php-pdo php-mysql mysql- 手作業で作業ミスが心配 変更を繰り返すと管理が大変 実際の環境と履歴が一致しない 対象が増えると管理しきれない 設定に手間がかかる テスト・確認が複雑
- 18. Infrastructure as Codeの特徴(2) 18 変更履歴 ① XXXXXXXXX ② XXXXXXXXX ③ XXXXXXXXX ・・・ クラウド個別システム × × システム資源が物理的に固定さ れるので、インフラ構築はその 制約の下で行われる。 物理サーバーを構成変更しなが ら使い続ける。 システム資源が仮想化されるの で、インフラ構築に物理的な制 約をうけることはない。 仮想サーバーの追加・破棄を頻 繁に繰り返すことができる。 変更履歴を管理 動作している状態を管理 構成は不変 Imutable Infrastructure構成は変化し続ける
- 19. Infrastructure as Codeを実現するソフトウェア 19 仮想マシン 仮想マシン 仮想マシン Orchestration: 複数サーバーの管理を自動化 Configuration: OSやミドルウェアの設定を自動化 Bootstrapping: OSの起動を自動化 OS OS OS Virtualization: 仮想マシンの構築・起動 ミドルウェア アプリケーション OSや仮想化ソフトウェアのインストール/設定作業を自動化 データベースサーバ/Webサーバ/監視エージェントなどのミドル ウエアのインストールやバージョン管理、OSやミドルウエアの設定 ファイルや、OSのファイアウォール機能などの設定などを自動化 複数台のサーバ群を監視し、新しいサーバをシステムに登録したり、 障害のノードをシステムから取り除いたり、サーバへのアプリケー ションのデプロイをサポート KickStart
- 20. 仮想化の種類
- 22. システム利用形態の歴史的変遷 OSOS AP AP APAP AP AP 3 2 1 1950年代〜/バッチ 1960年代〜/タイムシェアリング メインフレーム メインフレーム ミニコン OS AP AP AP OS OS VM VM VM 1970年代〜/仮想化(仮想マシン) メインフレーム ミニコン OS AP AP AP OS OS 1980年代〜/分散化 ミニコン PCサーバー OS AP AP AP OS OS VM VM VM 2000年代〜/仮想化(仮想マシン) PCサーバー クラウド (IaaS) OS AP 設定 AP 設定 AP 設定 コンテナ コンテナ コンテナ 2015〜/コンテナ PCサーバー クラウド (PaaS) メインフレームの時代 オープン・システムの時代クラウドの時代
- 24. サーバー仮想化とコンテナ OS ハードウェア ハイパーバイザー 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ サーバー仮想化 ハードウェア コンテナ管理ソフトウエア OS ミドルウェア アプリ ミドルウェア アプリ ミドルウェア アプリ コンテナ コンテナ コンテナ コンテナ ライブラリ 環境変数 ライブラリ 環境変数 カーネル カーネル カーネル カーネル ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 隔離されたアプリケーション実行環境を提供(クラッシュの分離、独自のシステム管理とユーザー・グループ) 実行イメージのスナップショットをパッケージとしてファイルにして保存できる アプリケーションに加えて仮想マシン・OS の実行イメージを持つ必要がある アプリケーションとOSの一部 の実行イメージを持つ必要がある デプロイするサイズ 大きい 起動・停止時間 遅い デプロイするサイズ 小さい 起動・停止時間 早い 異なるOS 可 異なるOS 不可 メモリーやディスクの消費量が大きい = リソース効率が悪い メモリーやディスクの消費量が大きい = リソース効率が良い 構成の自由度が高い 異なるOS・マシン構成を必要とする場合など 軽量で可搬性が高い 実行環境への依存が少なく異なる実行環境で稼働させる場合など サンド・ボックス化 Sand Box
- 27. デスクトップ仮想化とアプリケーション仮想化 ネットワーク 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 メモリーストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 画面表示 仮想PC サーバー PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 仮想PC メモリーストレージ OS プロセッサー サーバー ターミナル・モニター 文書 作成 表 計算 プレゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 入出力操作 通信 クライアントPC 文書作成 画面表示 デスクトップ仮想化 アプリケーション仮想化
- 28. シンクライアント ネットワーク 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 メモリーストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー PC用OS (Windows7など) PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 仮想PC 仮想PC 仮想PC サーバー ストレージ 文書作成 表計算 プレゼン ・・・ 入出力操作 通信 アプリケーション PC / Windows・Mac OS など 画面表示 データとプログラムの保管 プログラムの実行 は、PC内にて処理 データとプログラムの保管 プログラムの実行 は、サーバー内にて処理 シンクライアントは 画面表示と入出力操作
- 29. Chromebook インターネット データ 文書作成 表計算 プレゼン ・・・ ブラウザ 画面表示・入出力操作 通信 画面表示・入出力操作 通信 オフィス・アプリ データ 文書作成 表計算 プレゼン ・・・ オフィス・アプリ クラウドサービス Google Apps for workなど ブラウザ 文書作成 表計算 プレゼン ・・・ PC / Windows・Mac OS など Chromebook / Chrome OS
- 31. ストレージ仮想化 2TB 実データ 3TB 実データ 5TB 実データ 10TB 10TB 10TB 仮想ストレージ ブロック仮想化 10TB 実データ 30TB ストレージ(ハードウェア) 8TB 7TB 5TB 未使用領域 20TB ボリュームの仮想化 10TB 10TB 10TB 仮想ストレージ シンプロビジョニング 10TB 実データ 30TB ストレージ(ハードウェア) 容量の仮想化 未使用領域 0TB 必要な時に 追加 2TB 実データ 3TB 実データ 5TB 実データ 8TB 7TB 5TB 仮想ストレージ 重複排除 ストレージ(ハードウェア) データ容量の削減 D A B C E F A B ファイル 2 ファイル1 D A B C E F重複データ を排除
- 34. 異なる文化の2つのクラウド戦略 コスト削減のためのクラウド 競争力強化のためのクラウド 生産性向上・納期短縮・コスト削減 投資負担の軽減 運用管理負担の軽減 高い運用品質の維持 コスト削減 資産固定化の回避 最新技術の活用 俊敏性の実現 投資対効果 差別化・競争力・変化への即応力 既存システムのIaaS移行 運用管理の自動化 開発と運用の順次化 コンテナ×Kubernetes PaaS×サーバーレス 開発と運用の同期化 クラウド・リフト 戦略 クラウド・ネイティブ 戦略 守りの文化 by 情報システム部門 攻めの文化 by 事業部門・経営直下 両者は異なるクラウドであることを前提に考える 予算と人材と戦略の一体化と適切な配分
- 35. 銀行システムにおけるクラウド活用の動き 日本ユニシスとマイクロソフト、「BankVision on Azure」実現に向け共同プロジェクトを開始 2018年3月23日 日本ユニシス株式会社と日本マイクロソフト株式会社 は23日、日本ユニシスのオープン勘定系システム 「BankVision」の稼働基盤として、Microsoft Azureを 採用するための取り組みを推進するため、共同プロ ジェクトを4月から開始すると発表した。 いかに費用を抑え、最新技術も取り入れた上で短期間 でのシステム開発を行うかという課題に対応するため、 クラウドを選択。現在はクラウド最大手の米アマゾン ウェブサービスと組み、業務システムの一部から移行 を進めている。 5年間で100億円のコスト削減 1000超のシステムの約半分をクラウド化 週刊ダイヤモンド 2017.5.17 https://diamond.jp/articles/-/128045
- 37. クラウド・バイ・デフォルト原則 政府情報システムにおけるクラウドサービスの利用に係る基本方針(案) クラウド・バイ・デフォルト原則(クラウドサービスの利用を第一候補) 政府情報システムは、クラウドサービスの利用を第一候補として、その検討を行う 情報システム化の対象となるサービス・業務、取扱う情報等を明確化した上で、メリット、開発の規模及び経費等を基に検討を行う https://www.kantei.go.jp/jp/singi/it2/cio/dai77/siryou.html Step0:検討準備 クラウドサービスの利用検討に先立ち、対象となるサービス・業務及び情報といった事項を可能な限り明確化する。 Step1:SaaS(パブリック・クラウド)の利用検討と利用方針 サービス・業務における情報システム化に係るものについて、その一部又は全部が SaaS(パブリック・クラウド)により提供されてい る場合(SaaS(パブリック・クラウド)の仕様に合わせ、サービス・業務内容を見直す場合も含まれる。)には、クラウドサービス提 供者が提供する SaaS(パブリック・クラウド)が利用検討の対象となる。 Step2:SaaS(プライベート・クラウド)の利用検討 サービス・業務における情報システム化に係るものについて、その一部又は全部が、府省共通システムの諸機能、政府共通プラット フォーム、各府省の共通基盤等で提供されるコミュニケーション系のサービスや業務系のサービスを SaaS として、当該サービスが利用 検討の対象となる。 Step3:IaaS/PaaS(パブリック・クラウド)の利用検討と利用方針 SaaS の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、民間事業者が提供する IaaS/PaaS(パブリック・クラウド)が利用検討の対象となる。 Step4:IaaS/PaaS(プライベート・クラウド)の利用検討 IaaS/PaaS(パブリック・クラウド)の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、 サーバ構築ができる政府共通プラットフォーム、各府省独自の共通基盤等を IaaS/PaaS として、当該サービスが利用検討の対象となる オンプレミス・システムの利用検討
- 38. 政府の基盤システム Amazonへ発注 38 人事・給与や文書管理など各省共通 の基盤システムをAWSに発注。 整備・運用にかかる費用は2026年度 までで300億円を超える見通し。 政府は各省庁のシステムについて4〜 8年で原則クラウドにする方針を打ち 出している。 目的は、コストの大幅減と、最新の デジタル技術の取り込みにつなげる ため。 自前で管理する手間が減り、人員の 効率的な配置など生産性の向上も見 込める。 https://www.nikkei.com/article/DGXMZO55498840R10C20A2MM8000/ 2020.02.12
- 41. 店舗入力 ダウンロード イベント ログイン画面 店頭用入力画面 集計ファイル作成画面 ダッシュボード画面 イベント用入力画面 Write Write Read Read 認証されたユーザのみ アクセス可能なページ 評価対象としたアプリケーション/処理フロー よ く あ り が ち な webシステム
- 42. 構築事例:従来型のWebアプリケーション・アーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 EC2 EC2 EC2 冗長化 冗長化EC2 EC2 Web AP DB死活監視 DNS DNSのセットアップが必要 APはそのまま移行。ただし、セッション管理等、一部改修が 必要な場合がある。 ミドルウェアが必要 (Oracle、 SQLServer、死活監視ソフト等の購入) DBMSのセットアップが必要 EC2:1台 365日24時間稼働:$175.2 EC2:9台 365日24時間稼働:$1576.8 ELB:1台 365日24時間稼働:$236.52+α ELB:2台 365日24時間稼働:$473.04+α リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB 年間:約$2049.84 約254,980円 ※2015/3/20時点
- 43. 構築事例:AWSサービスを活かしたアーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 冗長化 Web AP DB DNS Route 53に 設定するのみ 死活監視のソフトウェア不要 基本的に無料/アラーム設定でメール通知 DBMSはインストール不要 Oracle、SQL Server等のライセンス料込 EC2の接続先を変更するだけ 冗長構成はMulti-AZを選択するのみ EC2:4台 365日24時間稼働:$700.8 ELB:2台 365日24時間稼働:$473.04+α RDS: 365日24時間稼働:$455.52 Route53: 1年間:$26.4(最少) リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB <RDS> インスタンスタイプ: t2.micro (最少) 年間:約$1655.76 約198,691円 Cloud Watch Route 53 RDS(Master) RDS(Slave) DynamoDB セッション 管理 ※2015/3/20時点
- 44. 構築事例:AWSサービスを最大限活かしたアーキテクチャ Internet クライアント Cloud Front 画面表示は、 クライアント側 アプリ メールサーバー不要 冗長構成、拡張・データ再配置 はAWS任せ リージョン:東京 <S3> 料金:$0.0330/GB +リクエスト数+データ転 送量 <CloudFront> 料金:$7.2/年 (試算した結果) <Lambda> 料金:$0 <DynamoDB> 料金:$0 (試算した結果) 年間:約$7.56 約907円 Cloud Watch JavaScript 入力ページ(HTML) コンテンツ 非公開コンテンツ Log等 S3 DynamoDB Lambda Node.js テーブル Cognito Webサーバー機能 3箇所以上で自動複製、容量無制限 キャッシュ SSL証明書 任意のタイミングで処理実行 負荷分散、障害対策はAWS任せ AWS認証 アプリ認証 SignedURL発行 サーバ側アプリ ※2015/3/20時点 ※条件によって料金は異なります
- 46. システムの役割とこれからのトレンド ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ サービス・プロダクト、SCMなど 財務会計、経理、オフィスなど 戦略的アプリケーション 汎用的アプリケーション 独自性の追求と 他社との差別化 開発・運用負担と コスト負担の軽減 スピード × アジリティ × スケーラビリティ インフラ & プラットフォーム FaaS/PaaS/IaaSなど クラウド化 × 自動化
- 50. ネットワーク インターネットや専用回線 コレ一枚でわかるクラウド・コンピューティング インフラストラクチャー プラットフォーム アプリケーション 計算装置 記憶装置 ネットワーク データ ベース 運用管理 プログラム 実行環境 プログラム 開発環境 認証管理 電子 メール SNS 新聞 ニュース ショッピング 金融取引 財務 会計 施設や設備
- 54. セルフ・サービス・ポータル 調達・構成変更 サービスレベル設定 運用設定 ・・・ 数分から数十分 直近のみ・必要に応じて増減 経費・従量課金/定額課金 クラウド システム資源のECサイト 見積書 契約書 メーカー ベンダー サイジング 調 達 費 用 数週間から数ヶ月 数ヶ月から数年を想定 現物資産またはリース資産 従来の方法 調達手配 導入作業
- 55. 「自家発電モデル」から「発電所モデル」へ 工場内・発電設備 設備の運用・管理・保守は自前 需要変動に柔軟性なし 電力供給が不安定 自前で発電設備を所有 工場内・設備 電 力 電力会社・発電所 大規模な発電設備 低料金で安定供給を実現 設備の運用・管理・保守から解放 需要変動に柔軟に対応 工場内・設備 送電網 データセンター 大規模なシステム資源 低料金で安定供給を実現 設備の運用・管理・保守から解放 需要変動に柔軟に対応 システム・ユーザー デ ー タ ネットワーク
- 59. 徹底した標準化 大量購入 負荷の平準化 APIの充実・整備 セルフサービス化 機能のメニュー化 クラウド・コンピューティングのビジネス・モデル クラウド・コンピューティング オンデマンド 従量課金 自動化・自律化 システム資源 の共同購買 サービス化 低コスト 俊敏性 スケーラビリティ SDI (Software Defined Infrastructure)
- 60. IT活用適用領域の拡大 難しさの隠蔽 システム資源 エコシステム クラウドがもたらしたITの新しい価値 クラウド・コンピューティング IT利用のイノベーションを促進 ビジネスにおけるIT価値の変化・向上 新たな需要・潜在需要の喚起 モバイル・ウェアラブル ソーシャル 人工知能 ビッグデータ IT利用者の拡大 IoT ロボット 価格破壊 サービス化
- 63. クラウドの定義/サービス・モデル (Service Model) アプリケーション ミドルウェア オペレーティング システム インフラストラクチャ PaaS Platform as a Service Infrastructure as a Service Software as a Service SaaS Salesfoce.com Google Apps Microsoft Office 365 Microsoft Azure Force.com Google App Engine Amazon EC2 IIJ GIO Cloud Google Cloud Platform アプリケーション ミドルウェア & OS 設備 & ハードウェア プ ラ ッ ト フ ォ ー ム IaaS
- 64. XaaSについて a a S s ervice サービス としての 〜 効用や満足などを提供する 形のない労働や役務のこと 〜 物理的実態/形あるモノの提供を伴わなわずに 機能や性能を提供して対価を受け取るビジネス IaaS PaaS SaaS Software(アプリケーションのこと) の機能や性能を提供するサービス Platform(OSやミドルウェアのこと) の機能や性能を提供するサービス Infrastructure(ハードウェアや設備のこと) の機能や性能を提供するサービス サブスクリプション または従量課金など サービス設備や機材は サービス事業者の資産 オンライン・サービス /クラウド・サービス DaaS Desktop(PC画面/PCでできること) を提供するサービス MaaS Mobility(移動する) ための手段を提供するサービス CaaS Communication(会議やチャットのこと) の機能を提供するサービス
- 65. クラウド・サービスの区分 自社所有 IaaS 仮想マシン CaaS PaaS FaaS ユーザー企業が管理 ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS SaaS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ IaaS ベアメタル クラウドサービス事業者が管理 連携機能 CaaS PaaS FaaS SaaS
- 66. ハイブリッド・クラウド 複数企業共用 パブリック・クラウド クラウドの定義/配置モデル (Deployment Model) プライベート・クラウド 個別企業専用 個別・少数企業 不特定・複数企業/個人 LAN LAN インターネット 特定企業占有 ホステッド・プライベート・クラウド 固定割当て LAN 専用回線・VPN LAN
- 70. クラウドに吸収されるITビジネス 70 アプリケーション・ビジネス • ビジネス開発 • システムの企画 • システム設計 • プログラム開発・テスト • 開発・テスト環境の構築 • 本番実行環境の構築 • セキュリティ対策 • 運用管理 • トラブル対応 ネットワーク・ビジネス • ネットワークの設計 • ネットワーク機器の導入・設定 • セキュリティ対策 • 監視・運用管理 • トラブル対応 インフラ・ビジネス • インフラの設計 • インフラ機器の導入・設定 • セキュリティ対策 • 監視・運用管理 • トラブル対応 クラウド・データセンター内 ネットワーク クラウド・データセンター間 バックボーンネットワーク 5G通信網のタイムスライス SIMによる閉域網 サーバーレス/FaaS・PaaS コンテナ運用・管理マネージドサービス SaaS Google GKE Azure AKS AWS Outposts Google On-prem Microsoft Azure Stack オンプレミス型マネージド・システム アジャイル 開発 DevOps
- 71. オンプレとパブリック・クラウドの関係の推移 71 SaaS SaaS IaaS SaaS PaaS IaaS 個別業務システム 個別業務 システム クラウド アプライアンス 物理と仮想の混在環境 コモディティはクラウド 主に仮想環境 一部IaaSに移管 基本はクラウド 低遅延が求められる システムはオンプレ PaaS/CaaS/FaaS 主流 AWS Outposts Azure Stack HCI Google On-prem など Vmware ESXi Microsoft Hyper-v KVM など Vmware ESXi Microsoft Hyper-v KVM など CaaS FaaS パブリック クラウド オンプレミス
- 72. AWS Outposts の仕組み VPC Subnet Subnet Subnet AZ AZ AWS Outposts Nitro Hypervisor Amazon EC2、EBS、 ECS、EKS、EMR、 Amazon RDS for PostgreSQL / MySQL、 Amazon S3 ネットワーク(Direct Connect) AZ(Availability Zone):設備の構成単位。各AZは一つあるいは複数のデータセンタから成り、AZ同士は地震や台風などで同時に被災しにくいよう に、ある程度距離を離して設置。AWSの東京リージョンは4つのAZで構成する。 AWSコンソールから構成パ ターン・カタログから注文する と2週間程度で24インチラック に収めた機器一式が届けられる。 AWSのスタッフがラックを設 置し、電源とネットワークを接 続すれば、使い始められる。 AWSがリモートで 運用。ソフトの アップグレードや パッチ適用は基本 的に無停止。仮想 マシンの再起動が 必要な場合は、そ の旨の通知 マネージメント コンソール 低遅延処理 ローカルでの 大量データ処理 AWS Region(地域の単位 例:東京) Vmware Cloud for AWS Outopsts もある
- 74. まとめ:インフラとクラウド 社会の不確実性が”メチャメチャ”増大している 直近の社会・経済・政治の変化がまったく予測できない。 想定外の競争相手が、異業種から突然やってくる。 顧客の好み・関心事・判断基準がどんどん変わる。 企業が生き残り、事業を継続するには、 圧倒的なビジネス・スピードを持たなくてはならない インフラやプラットフォームの調達・変更・廃棄が直ぐにできるようにする。 インフラやプラットフォームの構築や運用の負担を減らす。 アプリケーションの開発や運用に人的・資金的資源を集中させる。 ソフトウエア化されたインフラ クラウド・コンピューティング
- 76. サイバー・セキュリティ対策とは サイバー・セキュリティ:IT機器やソフトウェア、ネットワークなどのサイバー領域に おいて、下記の「情報セキュリティの3要件(CIA)」を確保すること。 機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にア クセスできる状態を確保すること 完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること 可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断すること なく、情報及び関連資産にアクセスできる状態を確保すること インシデント発生の抑制 インシデント発生時の被害最小化インシデント サイバー領域において、 企業や組織を脅かす行為 サイバー・セキュリティ対策 3要件(CIA)を確保する対策
- 78. サイバー・セキュリティ対策の実践 78 事故の発生 事故の影響 受容 脅威 ぜい弱性 機密性 完全性 可用性対策 受容レベル 説明責任 コスト 影響 どこまでやればよいのかを? 対策コスト負担 3要件への影響 業務の受容レベル 最適な組合せ 情報セキュリティの3項目 機密性:情報を盗まれない。 完全性:情報をデタラメな内容に書き換えられない。 可用性:システムを停止・破壊され業務継続を妨げられない。
- 79. パスワード認証のリスク 79 ID/パスワードによる認証: 利用している本人が本人であることを証明するための仕組み ID/パスワードを搾取 ファイヤ ウォール 社内 ネットワーク VPN 1. 複雑なパスワードを使う 文字数を長くする。 文字の種類を増やす。英字(大文字、小文 字)、数字、特殊文字を組み合わせる。 2. 定期的に変更する 3カ月に一度変更する。 3. 一度使ったパスワードは使わない 過去3回までに使ったパスワードは使えない。 一度使ったパスワードは二度と使えない。 「複雑なパスワード」と「定期的なパスワード変更」は意味がない ID/パスワードが簡単にる 人間の記憶力に依存しまた再利用が可能なため 一人当たり平均27個のオンラインアカウントを保持 している それぞれのアカウントのパスワードを複雑化し、全 てのアカウントに紐づいているパスワードを違うも ので設定し、覚えておくということができない。 毎日アクセスするために、「覚えやすい簡単なパス ワードにする」「同じパスワードを使い回す」「メ モを書いておく」 ID/パスワード・VPN・ ファイヤウォールが役立たない
- 80. サイバーセキュリティ対策の構造 80 情報保護:情報資産・システム資産を守る 安心・安全が保証された業務プロセスを作る・維持する 説明責任:あらゆる行動を説明する 個人のIDに紐付けられた全ての行動を記録する 認 可認 証識 別 マルウェア・ウイルス 不正侵入 システム破壊 従業員に負担をかけず、安全・安心に業務ができる環境を提供する セキュリティに関わる事故や不正の責任から従業員を解放する 業績向上 効率よく効果的に 業務を遂行し 事業の成果に貢献する 的確な経営判断 経営状況が正確 かつタイムリーに 報告・見える化される 手段 手段 目的 脆 弱 性 対 策 認 証 管 理 対 策 事業継続:事業を止めない/被害を限定する
- 81. 本人認証の方法 81 知識認証 What you know? 所持認証 What you have? 生体認証 What you are? ID/パスワード など ICカード ワンタイムパスワード用トークン 携帯電話(デバイス)認証 など 指紋認証 顔認証 静脈パターン認証 虹彩認証 声紋認証 網膜認証 など 認証方式 方法例 組合せの例 1234 暗証番号 銀行カード 静脈認証
- 82. クラウド・サービス シングル・サインオン(SSO)システム 1/2 ID PW ID PW ID PW ID PW ID PW ID PW ユーザーIDとパスワードが増加。利用ログはクラウド・サービスに依存し、管理者が掌握できない。 認証の強度がクラウド側に依存し、多要素認証などの導入に制限がある。 利用場所や端末を制限する機能もクラウド側に依存し、柔軟な制御が行えない。
- 83. シングル・サインオン(SSO)システム 2/2 クラウド・サービス SSO システムサインオン サインオン サインオン フェデレーション(認証連携) サインオンは1種類だけ。全ての利用サービスについてのログが収集・掌握できる。 SSOシステムへの認証を強化すればクラウドサービスの認証も強化でき、多要素認証などの導入も容易。 SSOシステムにアクセス可能な範囲がクラウドサービスが利用可能な範囲となり、場所や端末による制限が柔軟にできる。
- 85. FIDO2とSSO 85 FIDO2認証デバイス 認証サーバー クラウド・サービス Azure ADなど リスク軽減 パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行う ため、リスクが軽減する。 コスト削減 「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘 れによる新しいパスワードの設定」などが不要となる。パスワードレスになれば、人がかける時間を削 減、漏洩による損害がなくなる。 ユーザーエクスペリエンス向上 「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンか らサービスにアクセスしようと思ってもパスワードが思い出せない」「サービスごとに文字種別や桁数 の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」「定期的な 変更で違うパスワードを設定したのはいいが、それを思い出せない」などがなくなり、利便性が向上し、 業務の生産性も向上する。
- 87. Microsoft 365Security Center での対応 87 標的型メール受信 未知のマルウェア、フィッシング PC への 侵入行為 ID の窃取 侵入範囲の拡大 偵察 情報への 不正アクセス 被害発覚 PC への侵入検知・隔離 Microsoft Defender ATP 標的型メールの検出と排除 Office 365 ATP 自動的な分類・保護・追跡 Azure Information Protection メールからの保護 デバイスの保護 ID の保護 (オンプレミス) ID の保護 (クラウド) 機密情報の保護(監視) 機密情報の保護 なりすまし検知・防止 (クラウド) Azure Active Directory Premium なりすまし検知・防止 (オンプレミス) Azure ATP 未許可アプリ、不正な操作の監視 Cloud App Security セキュリティ統合監視:Microsoft 365 Security Center
- 88. Microsoftのセキュリティ・プラットフォーム Azure AD Azure Sentinel Azure Sentinel : SIEM(Security Information and Event Management)。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft Cloud App Security、Azure Security Centerなどの脅威検知エンジンで収集したログ、サードパーティのセキュリティソリューションのログ、Deviceログ、Emailロ グなどを1つに集め、ビルトインされた機械学習モデルやAIを使って脅威の検知を行う Azure ADなどの様々なログから、機械学習モデル やAIを使って脅威の検知を行う ID およびアクセス管理サービス。様々なリソースへのサイ ンインとアクセスを管理し、シングルサインオン環境を提供 Azure AD : ID およびアクセス管理サービスであり、リソースへのサインインとアクセスを支援。Microsoft Office 365、Azure portal、その他何千という SaaS アプ リケーションなど、外部リソース。企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。 AD(オンサイト) Microsoft Defender ATP (オンサイト) Microsoft Defender ATP (モバイル) インターネット クラウド・サービス Microsoft Defender ATP(Advanced Threat Protection) : 企業のネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された プラットフォーム。 フェデレーション(認証連携) 同期
- 89. ユーザーに意識させない・負担をかけないセキュリティ 89 Security Orchestration Automation Response SOAR セキュリティ製品間の連携 手動 → 自動 自動調査&対処 MTTI Mean Time To Identify MTTR Mean Time To Remediation 自動化 SOAR
- 90. まとめ:サイバー・セキュリティ 社会の不確実性が”メチャメチャ”増大している 直近の社会・経済・政治の変化がまったく予測できない。 想定外の競争相手が、異業種から突然やってくる。 顧客の好み・関心事・判断基準がどんどん変わる。 企業が生き残り、事業を継続するには、 圧倒的なビジネス・スピードを持たなくてはならない 「モノが主役」の時代から「サービスが主役」の時代へと変わった。 サービスはニーズや社会の変化に直ちに対応しなければ顧客を失う。 現場のニーズにジャストインタイムで対応できる開発や運用が必須。 サイバー・セキュリティ対策とは、 従業員が、安心・安全にITを最大限に活用し ビジネスの成果に結びつけるための取り組み