京都大学が構築した、既存資産を活かしたクラウド基盤

NetApp Innovation 2014 Tokyoの講演の中では、構築ノウハウも含めた総合力をアピールしていた富士通。ブースでは、その代表例として京都大学のプライベートクラウド構築事例が紹介されていた。

京都大学のプライベートクラウド事例の概要

一般に、多様な学部・研究科がそれぞれ異なる活動を行う大学では、企業に比べて導入されるサーバの数が多い。そのうえ、情報発信に力を入れている京都大学は、大学や研究科を案内するWebサイトに加え、教授や研究員、学生が発表した論文をまとめて外部に公開する「京都大学学術情報リポジトリ」も運用しており、「大小さまざまなサーバが大量に稼働する状況」(小野寺氏) にあったという。

こうしたシステムを個別に運用していては、作業面でも、ハードウェアリソース面でも効率が悪い。そうした背景から京都大学は、プライベートクラウド基盤の構築を決断した。

構築に際しては、コストを考慮し、既存の資産を極力活かす方向でアーキテクチャを検討。「FUJITSU Software ServerView Resource Orchestrator」を導入し、散在していたサーバを仮想的に集約し、リソースプール化している。

サーバは、マルチノードサーバ「PRIMERGY CX400 S1」、「PRIMERGY CX250 S1」合わせて128台で構成。ストレージには、NetAppのOEM製品で、最大ディスク容量1200TB(※)の「ETERNUS NR1000 F3240」を採用し、全体として「仮想サーバ400台以上が稼働できる環境」(小野寺氏)を構築した。

※ Data ONTAP 8.0.1利用時の最大容量値

また、ServerView Resource Orchestratorの効果は単なるサーバ集約にとどまらない。同ソフトウェアには管理を自動化する機能や、ビジュアルな管理画面も用意されており、システム管理者の作業負荷が大幅に軽減されたという。

法定停電でメールが来ない!

小野寺氏によると、京都大学のプライベートクラウド基盤構築プロジェクトでは、もう1つ大きな要件があったという。それは事業継続性の確保だ。

同大学では、「メンテナンス作業のための法定停電を年に一度実施しなければならず、そのたびにメールの配信やファイルシステムの稼働を停止せざるをえませんでした」(小野寺氏)。また、重要な研究データを扱っているにもかかわらず、バックアップ体制が万全とは言えず、災害発生時などの運用を懸念する声も上がっていたという。

こうした課題を解決するべく、京都大学では、上記のServerView Resource Orchestratorで構築したプライベートクラウド環境と併せて、富士通のデータセンターも活用している。ETERNUS NR1000 F3240をデータセンター側にも設置し、「SnapMirror」の機能を使ってデータを自動バックアップしているうえ、重要な仮想サーバに関してはデータセンター側に複製しておき、災害発生時にすぐに切替られる環境を構築した。

さらに、課題のメールシステムはデータセンター側で稼働させ、学内が停電になった際にもメールを配信できる環境を作り上げた。

小野寺氏は、「管理者とユーザーの双方の利便性が向上したほか、コスト削減にも貢献しています。システムの成熟度を大幅に向上させたプライベートクラウド構築の優れた事例ではないでしょうか」と締め括った。

ファイルサーバをベースにファイル保護を自動化

富士通のブースでは、講演で紹介された情報保護/共有ソリューション「Rightspia for Secure Documents」も展示されていた。

Rightspia for Secure Documentsは、「Active Directory Rights Management Services (ADRMS)」と連携した、ファイル保護ソリューション。ファイルサーバに設定されているACL(アクセス制御リスト)と連携することが可能であり、ファイルが格納された際、ACLに応じた権限が自動的に適用される。

富士通エフサス サービスビジネス本部 サービスインテグレーション統括部 前薗正文氏

「例えば、営業部専用のディレクトリをファイルサーバに用意し、該当ユーザー以外は閲覧を禁止するようACLを設定 しておけば、そこに格納されたファイルはすぐさま暗号化され、営業部以外のユーザーは閲覧することができません。権限保有者である営業部のユーザーがファイルサーバから持ち出してメールを誤送信してしまっても、営業部以外のユーザーは中身を確認できないので安心です」(富士通エフサス サービスビジネス本部 サービスインテグレーション統括部 前薗正文氏)

なお、ここで言う「営業部」とは、Active Directory上で設定されたユーザー属性を指している。したがって当然ながら、本人であっても自宅のPCでは開けない。

制限をかけられる操作には、閲覧、編集のみならず、印刷やコピー、保存、プログラムからのアクセスなども用意されている。コピーに制限をかけておけば、文字のコピーや画面ショットの取得も実行できなくなる。

もしユーザーが自らの端末にて同じような保護をかけようとすると、WordやExcelなどの「ファイル」メニューから「情報」⇒「文書の保護」⇒「ユーザーのアクセス制限」と選択したうえで、都度、細かい設定を付与していくことになる。この場合、ヒューマンエラーで設定が漏れる可能性もあるうえ、相応の作業時間をとられる。Rightspia for Secure Documentsによる自動化効果は決して小さくないだろう。

営業部のユーザー(クリックで拡大)

Wordファイルの基本操作はすべて可能

PDFファイルもWordファイル同様、基本操作はすべて可能

総務部のユーザー

Wordファイルの権限は閲覧のみ

PDFファイルの権限も閲覧のみ

Data ONTAPと連携、イベントを受け取り即座に反映

前薗氏によると、Rightspia for Secure Documentsには、類似製品とは大きく異なる特長が2つある。

1つは、Office文書のみならず、PDFも保護対象に加えられる点。運用の現場を見回すと、Officeドキュメントに関してはセキュリティー設定が自動化されるものの、PDFについてはユーザーが個別に設定しているという企業は少なくない。Rightspia for Secure Documentsを導入すれば、その作業も割愛できる。

もう1つは、ADRMS でお馴染みのSharePointだけでなく、NetApp製OS「Data ONTAP」を搭載したファイルサーバでも自動保護がかけられる点だ。Rightspia for Secure Documents ではData ONTAPからファイル操作のイベント通知を受け取り、即座に保護をかける仕組みになっている。

そのほか、監査ログ機能も用意されており、ファイルの認証履歴を専用のログビューアから簡単に検索することも可能という。

「情報漏洩の原因として最も多いのは、管理ミスと誤操作。Rightspia for Secure Documentsを導入すれば、例えば重要ファイルを誤送信してしまっても、受け取り手は閲覧できなくなります。ETERNUS NR1000 Series導入の際にはぜひとも検討してもらいたいですね」(前薗氏)

Rightspia for Secure Documentsの概要

参考資料