サーバの運用管理が変化を迎える中、サーバ流通時の不正プログラム混入など「サプライチェーンリスク」への懸念が高まっている。企業はサーバの運用管理をどう設計すべきか。最新技術を紹介する。
セキュリティリスクといえば、マルウェアなど悪意のあるプログラムによる攻撃や外部からの不正アクセスといったサイバー攻撃を思い浮かべる。
だが、有識者によると近年、サーバやストレージの流通段階に不正なプログラムが入り込む「サプライチェーンリスク」が浮上しているという。機器の調達において、流通の過程で部品を改造品に入れ替える手法で、これまでの対策では防ぐことが難しく、多くの企業が苦慮している。
また、このコロナ禍で企業のIT担当者は、サーバの構築や設定、構成変更、ケーブリング、電源の管理、障害対応、機器交換への立ち会いなどのサーバの運用管理をリモートからどう実施すればいいのか頭を抱えている。サーバだけでなく、ネットワーク機器の導入、構成変更においても同様だ。その上でセキュリティリスクにも対処する必要がある。
サプライチェーンリスクなどに備えつつ、リモートで高いセキュリティを確保し、適切な運用管理を実施するためにはどうすればいいのか。
デル・テクノロジーズの岡野家和氏(データーセンターコンピュート&ソリューションズ事業統括 製品本部 シニアプロダクトマネージャー)は「今後のシステム運用のカギはサーバ管理の省力化にある」と主張する。
「『Dell EMC PowerEdgeサーバ』(以下、PowerEdge)は、ビジネス環境の変化や技術の進化への対応、セキュリティといったトレンドを踏まえて開発された『モダンデータセンターの基盤』だ。PowerEdgeは優れたサーバだが、この価値をさらに引き出すのはサーバ管理機能を持つ『iDRAC』(integrated Dell Remote Access Controller)と『OpenManage Enterprise』の役目だ」(岡野氏)
iDRACはリモート管理プロセッサで、サーバ管理の自動化を実現するための機能を備えている。デル・テクノロジーズは「インテリジェントサーバの頭脳に相当する製品」と呼んでいる。リモート管理はもちろん、サーバ管理の簡素化やシステムから出力されるさまざまな情報の収集、業界標準APIを使った制御ができる。OpenManage Enterpriseはシステム管理ソフトウェアで、iDRACと連携することで、数千台規模の機器やサービスの管理を可能にする。
デル・テクノロジーズの相場宏二氏(カスタマーソリューションセンター センター長)はこう説明する。
「iDRACの最新世代『iDRAC9』の最大の特徴は『アップデート』『監視』『メンテナンス』『デプロイ』というサーバのライフサイクルを管理できることだ。ファームウェアの最新バージョン4.0(以下、iDRAC9 v4.0)からOpenManage Enterpriseとの連携を強化し、既存機能の拡張や新機能を実装している。特に注目してほしいのがiDRAC9 v4.0から強化された『セキュリティ』と『IoT(Internet of Things)、AIOps』に関する機能だ。ビジネス環境やシステム運用環境が大きく変化する中、これらを活用すれば新しい技術や新しいセキュリティ脅威にスムーズに対応できるだろう」
iDRAC9はOSの稼働状況にかかわらず、リモートから電源の管理やファームウェアアップデートなどのサーバ管理ができる。iDRAC9 v4.0はこうした基本機能を拡張する形でセキュリティを強化している。その中心となる3つの機能を紹介する。
iDRAC9は、サーバのカバーを誰かが開けるとそれを検知してアラートを自動で発信する機能を持っている。iDRAC9 v4.0からは、USBポートへのUSBデバイスの挿し込みも検知できるようにした。これにより、USB経由でランサムウェアなどの不正プログラムが侵入したり、USB経由で情報が抜き取られたりする被害を自動で防ぐことができる。
デル・テクノロジーズの工場から顧客の手元に届くまでのサプライチェーン全体において、「サーバが改ざんされていないかどうか」を電子署名で検証する。製品への異物やスパイウェアの混入といったサプライチェーンでの攻撃に対抗できる。
BIOSやファームウェアのバージョン、各構成、設定情報にロックをかける(システムロックダウンを有効にする)ことができる。設定はiDRAC9のGUI画面上のカギのアイコンをクリックするだけでいい。内部犯行の防止に有効だ。
「PowerEdgeはハードウェアやファームウェア、BIOSについてのサイバー攻撃を想定した『サイバーレジリエントアーキテクチャ』を備えており、米国の政府調達基準である『NIST SP 800シリーズ』にも準拠している。このセキュリティ機能の多くをiDRACは担っている」(岡野氏)
iDRAC9 v4.0で拡張されたAIOps関連の機能が「テレメトリーストリーミング」(デバイスの稼働データを常時配信する機能)だ。
「エージェントを必要としない運用(エージェントレスアーキテクチャ)を実現し、サーバと各周辺機器の固有のテレメトリーデータを190種類以上の指標(メトリクス)で抽出できるようになった。iDRAC9 v4.0からはシリアルコンソールログ、GPUのインベントリと監視情報、ストレージのSMARTログ、メモリ詳細監視情報、SFPトランシーバーのインベントリと監視情報など監視対象も新たに追加している」(相場氏)
テレメトリーデータは5000種類を超えることもあるが、iDRACは数分でそれらを入手できるという。「Splunk」や「ELK(Elasticsearch、Logstash、Kibana)スタック」「InfluxDB」といったログ解析ツールで解析できる。
「JSON形式でメトリックとレポートが出力可能なため、顧客が利用している各種ビジュアライゼーションツールで容易に可視化できる。こうしたテレメトリーデータはデル・テクノロジーズのカスタマーサポートの能力強化にも役立てている」(相場氏)
テレメトリーデータの可視化や分析にAI(人工知能)を活用する事例もある。デル・テクノロジーズは、社内で管理するサーバのテレメトリー情報をAIで解析することで、障害を予測し、事前に対策する「予測型の障害解決」に役立てている。
iDRAC9にはデル・テクノロジーズが提供する「SupportAssist」という自動通報の仕組みが組み込まれているため、障害発生時に素早く対応できる。これに加えてサポートサービスの「ProSupport Plus」を導入すれば、デル・テクノロジーズが「予測型のアラート」と「自動ケース作成」といった対応をサポートする。
「AIOpsの取り組みを進めるためには、現在の状況を的確に把握し、障害など不具合が発生したときにすぐ対処できる仕組みが必要だ。iDRAC9で抽出したテレメトリーデータをAIで分析し、予測型のアラートと自動ケース作成を組み合わせることでAIOpsの実現が近づくだろう。OpenManage Enterpriseやサードパーティーのシステム管理ツールと連携すれば、統合的なシステム管理も実現できる」(岡野氏)
システム運用の在り方が大きく変わる中、企業は新たな対応を迫られている。iDRAC9の新たな機能はセキュリティを確保し、AIOpsを実現するために有効なツールといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:デル・テクノロジーズ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年2月18日