最新Microsoftテクノロジーで従来の運用管理は、どう楽になるのか――運用管理を変える4つのポイント:特集:「惰性をやめる、慣習を疑う」こんどこそ楽になる運用管理(6)
新規サービス開発におけるクラウド活用や基幹システムのクラウド移行など、オンプレミスからクラウドへのシフトが盛んな時代になった。一方で、オンプレミスに残されたシステムやサービスの運用管理も行わなければならず、そのことがこれまで以上に運用管理を複雑にしている。本稿では、クラウドとオンプレミスが混在する現在のITシステムにおいて、これまでとはどのように運用管理が変化し、どうすれば自動化や省力化、コスト削減できるかについて、Microsoftのテクノロジーやサービスとともに解説する。
オンプレミスとクラウドの運用管理
ある調査によると、企業のIT予算に占める既存システムの維持管理に対する割合は70%程度といわれています。このことは、ITシステム維持管理のためにやらなければならないことが多いことを表しています。また、ITシステムの一部にクラウドサービスが導入されていれば、オンプレミスとクラウドを同時並行で利用することになり、そのことがシステム維持管理のコストをさらに増大させています。
しかし、IT予算のほとんどを維持管理に費やしていては、DX(デジタルトランスフォーメーション)や働き方改革など、新しい取り組みにも着手できず、時代から取り残されてしまいます。ここでは維持管理の自動化や省力化、コスト削減を実現するために、以下の4つのテーマを中心に、Microsoftのテクノロジー/サービスを活用して実現する方法を提示します。
【1】セキュリティ対策の強化によるインシデント発生時のコスト削減
【2】デバイス管理手法の改善による省力化
【3】IT運用管理業務の自動化
【4】ハイブリッドクラウド構成時の監視と管理
【1】セキュリティ対策の強化によるインシデント発生時のコスト削減
オンプレミスとクラウドのハイブリッド環境では、利用するサービスの所在が双方に分散するだけでなく、クライアントデバイスの利用場所も社内と社外に分散することが想定されます。
こうした複雑な環境でセキュリティの運用管理が求められるケースでは、企業のセキュリティ要件をスクラッチで挙げていくのではなく、さまざまな機関で提唱しているフレームワークをベースにして自社のセキュリティ対策を策定していくというやり方があります。
例えば、以下の画面1で紹介しているフレームワークは、NIST(米国国立標準技術研究所)が提唱するサイバーセキュリティフレームワークで、行うべきセキュリティ対策として、識別から復旧までの5種類を挙げています。識別と防御の部分が「攻撃を受けないようにするための対策」、検知/対応/復旧の部分が「攻撃を受けたときの対応」に相当します。
これらの対策を組み合わせて、あらゆるフェーズにおけるセキュリティ対策を実践する場合、識別/防御部分についてはデバイスの場所を問わないセキュリティ対策である「ゼロトラストモデル」に基づく実装、検知/対応/復旧部分についてはセキュリティオペレーションセンター(SOC)を立ち上げてツールを活用しながらのインシデント対応というのが一般的です。
このうち、ゼロトラストモデルに基づくセキュリティ対策については、別の特集記事「Windows環境のセキュリティ対策はどうする、どうなる?――Microsoftクラウドセキュリティの現在と未来を追う」で紹介しているので、ここではSOCの運用について触れます。
これまでのSOCでは、セキュリティ業務経験の豊富なスタッフを配置するか、または業務の大部分を委託するような運用が大半でした。しかし、ウイルス対策ソフトウェアによる検知だけでは対応できず、防御による対策だけでは不十分になっている現在は、SOCによるインシデント対応の機会も増えています。そしてインシデントの原因を調査するために、不正アクセスに遭ったデバイスを押収し、調査して、といったやり方を毎回繰り返していてはコストが増大するばかりです。
そのため、近年では「EDR(Endpoint Detection and Response)」を利用したインシデント管理が注目されています。EDRはデバイスを監視し、不正アクセスがあれば、その検知や対応を行うサービスです。MicrosoftのEDRである「Microsoft Defender for Endpoint(MDE)」は、監視と対応をクラウド経由で行うことができます。
MDEでは、Microsoftがクラウド側で保有する「脅威インテリジェンス」と呼ばれるデータベースを基に不正アクセスを監視します。このデータベースは常に最新の不正アクセス手法に対応するようにアップデートされており、利用する企業でも最新の攻撃手法をすぐに発見することができます。また、不正アクセスの検出時には、どのように対応すべきかガイドを提示してくれるだけでなく、必要に応じて自動処理を行うこともできるため、不正アクセスの検知と対応が自動化できるというメリットもあります(画面2)。
これまではセキュリティ対策といえば防御が中心で、インシデントが発生すれば膨大な時間とコストをかけて対応するというやり方が多かったと思います。しかし近年は、残念ながらインシデントが発生する確率も高まっており、対応コストの増大が課題になりつつあります。今回紹介したMDEのようなコストをかけずにインシデント対応に取り組めるツールを活用し、SOCを運用していくやり方も登場しているので、こうした部分への投資も検討する余地があるでしょう。
column:「XDR」ってなんですか?
EDRが「Endpoint Detection and Response(エンドポイントでの検出と対応)」の略であることは前述の通りですが、エンドポイントだけではなく、オンプレミスのActive Directoryやクラウドサービス、メールなども監視対象として運用したいと考える企業もあるでしょう。Microsoftでは「Microsoft 365 Defender」というブランドで以下のような監視サービスを提供しています。
- Active Directoryの監視:Microsoft Defender for Identity
- クラウドサービスの監視:Microsoft Cloud App Security
- メール/「Microsoft Office 365」コンテンツの監視:Microsoft Defender for Office 365
こうしたサービスを通じ、さまざまな領域に対して監視する「XDR」(Extended Detection and Response)という呼び方をしています。
【2】デバイス管理手法の改善による省力化
これまでユーザーが利用するデバイスの管理方法は、管理するITスタッフと利用する従業員が社内にいることを前提としていました。しかし、最近急激に広がりを見せるテレワーク中心のデバイス運用になると、社内サーバを経由したパッチ管理が難しくなるなど、これまでの運用管理のやり方を変える必要に迫られています。
こうした状況を踏まえ、デバイスの場所を問わずに運用管理できる方法が最近では指向されるようになりました。Microsoftは、デバイスの場所を問わない運用管理方法を「モダンマネージメント」と呼んでいます。モダンマネージメントは、画面3にあるような4つの分野で構成され、それぞれの分野でこれまでとは異なる管理手法が利用できるようになっています。
●展開とプロビジョニング
社内でデバイスを管理する環境では、「イメージ」と呼ばれる会社標準のOSやアプリ、データが含まれるCドライブを作成し、それを各PCに展開した上で、セットアップが完了したPCを従業員に手渡していたと思います。
しかし、IT管理者がテレワークをしている場合、イメージを作る、展開するといった、社内で行う作業はできなくなります。そこで、イメージを作成して展開するという方法ではなく、必要なPCに対する設定は“全てクラウド経由で展開する”方法が有効になります。
この方法では従業員に会社で購入したPCをそのまま渡して、Wi-Fi/ネットワーク設定だけ行ってもらったら自動的に必要なセットアップが完了し、業務に使い始められるといったことが可能になります。このような仕組みはクラウドベースのMDM(モバイルデバイス管理)、Microsoftのサービスでいえば「Microsoft Intune」に含まれる「Windows Autopilot」で実現できます。
●IDと認証
会社のリソースが社内に集中していたときは、「Active Directory」を使ってID管理を一元化できました。しかし、クラウドサービスを利用するようになり、それぞれのサービス利用時にIDやパスワードを入力しなければならないという事態になっています。このことが認証時のトラブルシューティングを難しくし、そしてインシデント発生時には事態の把握を難しくしていました。
そこで、クラウドサービス利用時もActive Directoryのような認証を一元化するような仕組みを活用することが求められます。Microsoftのクラウド認証サービス「Azure Active Directory(Azure AD)」は、Azure ADに一度サインインするだけで、あらかじめ関連付けられたクラウドサービスの利用時には、再度IDやパスワードを入力しなくてもよいという仕組み(シングルサインオン:SSO)を実現できます。
また、Active DirectoryとAzure ADの二重管理という点も、「Azure AD Connect」と呼ばれるツールを活用することで、Active Directoryのユーザー情報がAzure ADに同期されて一元管理できるようになるので、管理コストを抑えることが可能です。
●構成
Active Directoryを中心とした管理モデルの場合、クライアントデバイスの管理には「グループポリシー」を使うことが一般的でした。しかし、グループポリシーによる管理は、クライアントデバイスがドメインコントローラーにネットワーク接続していることが前提であり、テレワーク環境では社内ネットワークに接続しないため、グループポリシーによる管理ができないという問題があります。
Microsoft Intuneではグループポリシーで定義可能なポリシー設定の一部をクラウド経由で展開できるため、場所を問わないデバイス管理が可能になります。ただし、現状ではMicrosoft Intuneでグループポリシーの全ての設定を適用できるわけではありません。そのため、設定によってはグループポリシーとMicrosoft Intuneの並行運用をせざるを得ないケースもあり、そのことがかえって管理コスト増になってしまう可能性がある点に注意してください。
●更新とサービス
社内でパッチ管理を行う場合、Microsoftのテクノロジーであれば「Windows Server Update Services(WSUS)」と呼ばれるサーバを構築し、パッチを展開、管理してきました。しかし、このテクノロジーもまた、テレワーク環境では管理が難しくなります。
そこで、テレワーク環境では社内サーバからパッチをダウンロードするのではなく、各クライアントデバイスが直接Windows Updateなどに接続してパッチをダウンロードするような運用が現実的な選択肢になります。このとき、パッチのインストールを行う従業員とそうでない従業員で適用状況がバラバラにならないように、Microsoft Intuneでは「パッチをいつダウンロードするのか」というスケジュールを構成することができます。
このようにMicrosoftのモダンマネージメントでは、パッチのスケジュール管理は管理者が定義し、パッチのダウンロードは各自で実行するという方法を採用することで、テレワーク環境においても適切なパッチ管理を実現します。
以上、4つの分野からデバイス管理の手法の違いについて見てきましたが、これまでの管理手法に共通することは社内ネットワークを利用している点であり、そこにテレワークを導入するとVPNを使って無理やり社内ネットワークを拡張させるようなことをしなければなりませんでした。対して、モダンマネージメントは、場所を問わずデバイスを管理できるような仕組みであるため、一元的な運用管理による省力化、コスト削減を実現できます。
【3】IT運用管理業務の自動化
「自動化」という処理にはAPIの利用が欠かせませんが、これまでオンプレミスでAPIを利用するには、APIにアクセスするためのコードを書けること、そしてAPIそのものが公開されていることが前提条件でした。一方、クラウドの世界では「APIエコノミー」という言葉に代表されるように、APIの公開は当たり前で、そしてAPIにアクセスするためのツールも多様化しているので、運用管理業務の自動化も行いやすくなっています。
Microsoftのクラウド運用管理製品群「Microsoft 365」の場合、Microsoft 365で提供されるサービスや機能は「Microsoft Graph」と呼ばれるAPIが公開され、そのAPIを利用した処理の自動化方法として「Power Automate」と呼ばれるサービスが提供されています。
Power Automateは「Power Platform」と呼ばれるサービス群の一つで、Office 365のライセンスで利用可能なサービスです(利用するサービスによって単体ライセンスの別途購入が必要)。Power Automateでは、Webブラウザの画面上で、行いたい処理を並べてフローを描くことによって自動化できます。
また、接続先となるクラウドサービスがコネクターとして提供されているため、コネクターを選んで処理を指定することで、コネクター経由で自動的にAPI接続を行い、処理が自動化されます。以下の画面4では、Office 365の「Forms」を利用して新入社員の名前を登録するフォームをあらかじめ作成し、そのフォームに名前を登録したら、Azure ADにユーザーを作成して、作成結果を「Microsoft Teams」に書き込むという処理を行っています。
このとき、Formsへの接続設定、Azure ADへの接続設定、Teamsへの接続設定は全てコネクターを指定するだけで完了するため、APIの関数名を知らなくても、こうした処理手続きを簡単に作成し、運用を自動化することができます。
【4】ハイブリッドクラウド構成時の監視と管理
コストの最適化やユーザーの利便性向上のため、システムの配置が自社内ネットワークだけにとどまらず、Microsoftをはじめとするクラウドベンダーが提供しているパブリッククラウドに分散配置されることは、今日はごく当たり前のことになってきました。
このような「ハイブリッドクラウド」「マルチクラウド」構成時に最も注意を払わなければいけない点が、皆さんが意識しているようで意識していない、つながっていることが当たり前のように思われている「ネットワーク」です。
クラウド間を接続しているネットワーク、もしくはユーザーがパブリッククラウドに接続しているネットワークに障害が発生すると、最悪の場合、ビジネスがストップしてしまいます。それを防ぐために、設計時にはネットワーク接続の冗長性を確保したり、単一障害であれば自動的に経路が切り替わるといった復元性の高い実装を行ったりしますが、そうした耐障害性の高いネットワークを用意すれば問題は解決するのでしょうか。
「障害が発生した」ことに気が付けない(ある意味、復元性の高さの証明かもしれませんが)、もしくは「接続されているけど業務に影響が出るほどネットワークが遅い」という状況が発生してしまえば、せっかくの耐障害性/復元性の高いネットワークも宝の持ち腐れとなってしまいます。
そこで重要になるのが「ネットワーク監視」です。ネットワークの状態をつぶさに監視することで、障害検知はもとより「なんとなく遅い」といったパフォーマンス問題にも対処することが可能になります。
ネットワーク監視というとなんとなく面倒なイメージをお持ちの人も多いと思いますが、Microsoft Azureのサービス「Network Watcher」を利用することで、非常に簡単にネットワーク監視を開始できます。
Network Watcherの「接続モニター」を利用することで、Azure上の監視サーバからICMPやTCPといったプロトコルを使用した死活監視と遅延監視することができ、監視対象との通信におけるパケット損失率がしきい値を超えた場合にメールやSMSでアラートを発報するといったことも簡単に実装できます(アラート発報もAzureのサービスである「アラート」で実装しています)。
また、IaaSでハイブリッドクラウドを構成する場合は、社内ネットワークとインターネット経由で安全にネットワーク接続する重要なサービス「仮想ネットワークゲートウェイ」でも、「アラート」サービスを利用することで異常検知時にアラート発報を行うことができます。
例えば、Azureの「S2S VPN」の使用帯域が5MB/秒(40Mbps)を超えたときにアラートを発報する、といった設定も可能です(画面6)。
このように、ハイブリッドクラウド/マルチクラウド構成時の急所であるネットワークも、Azureのサービスを利用することで非常に簡単に監視を行うことができ、異常があった場合には速やかに管理者へアラート発報することで、安定的なネットワーク運用を実現できます。
今後のMicrosoft運用管理技術の方向性は?
ここまで4つのテーマを挙げ、Microsoftのテクノロジー/サービスを活用した運用管理コストを削減するための方法を示してきました。オンプレミスとクラウドのハイブリッド構成は、オンプレミスからクラウドへの切り替えの過渡期であると考えているIT管理者もいるでしょう。すると、「このような中途半端なタイミングで新しい運用管理のツールを導入するなんて!」と考える方もいると思いますが、オンプレミスのみ、クラウドのみという構成よりも明らかにハイブリッド構成の方が運用管理コストは増大します。
今回紹介したテクノロジー/サービスには、オンプレミスとクラウドを一元的に管理するものだけでなく、最初からオンプレミスを無視した管理ツールもありますが、クラウドの管理だけでも自動化/簡略化できるツールを導入すれば、部分的にでもコストを削減できるはずです。
今回紹介したテクノロジー/サービスは今後の管理手法の主流となることは明らかですし、今からでも触れてみて、社内での運用管理スキルを積み上げていくことによって、長期的なコスト削減につなげることができるでしょう。
筆者紹介
国井 傑(くにい すぐる)
株式会社ソフィアネットワーク取締役。1997年からマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(AD FS)など、ID管理を中心としたトレーニングを提供している。2007年からMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
筆者紹介
後藤 諭史(ごとう さとし)
Microsoft MVP for Cloud and Datacenter Management(2012-2022)。現業の傍ら、コミュニティーイベントでの登壇や著作にてMicrosoftテクノロジーに関する技術情報の発信、共有を続けている。ネットワークやハードウェアといった物理層に近いところが大好きな、昔ながらのインフラ屋さん。得意技はケーブル整線。近著は『詳解! Windows Server仮想ネットワーク』(日経BP社)。
特集:「惰性をやめる、慣習を疑う」こんどこそ楽になる運用管理
ITがビジネスを加速させる昨今、多くの新規サービスが開発、リリースされ、運用管理者には安定したサービスの供給や、利用動向のログの解析などが求められている。だが、これに伴い解析すべきログや拾うべきアラートも増す一方となり、多大な負担が運用管理者の身に振り掛かっている。また、新規サービス開発でのクラウド活用、基幹システムのクラウド移行が進み、可用性や柔軟性といったクラウドならではの特性を生かす、いわゆるクラウドネイティブなアプリケーションの運用が増え、コンテナやマイクロサービスといった複雑な運用管理も求められている。しかも、オンプレミスに残さざるを得ないサーバとのハイブリッドな運用も並行しなければならない。このような中、従来の手法や技術では、とうてい運用管理業務が回らず、ビジネスに貢献することができないのが実情だ。現状を打破するためには、従来の慣習を疑い、新しい技術や自動化、AI(人工知能)などを取り入れ、現状に合った新たな運用管理の手法を実践することが大前提となる――本特集では、運用管理の最新技術や使いこなし方を徹底的に深掘りする。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「AWSのコスト管理は大変」――視聴率を調査するビデオリサーチのクラウド活用裏話
テレビ番組の視聴度合いの指標となる「視聴率」を算出するシステムにクラウドを活用するビデオリサーチは現在、クラウドネイティブに向けた取り組みを進めているという。2021年5月11〜12日に開催された「AWS Summit Online 2021」でシニアフェローの豊島潤一氏が紹介した。
他社クラウドのコスト管理も可能! 従量課金制のコストを最適化する「Azureコスト管理」が正式リリース
これまでパブリックプレビューで提供されてきた「Azureコスト管理(Azure Cost Management)」機能が、2019年4月下旬に一般提供となりました。5月初めには、Azureコスト管理の機能をAmazon Web Servicesの利用コスト管理に拡張する機能のパブリックプレビューも開始されています。
AWSは高い? 15時間の基幹システム全停止で地獄に近づいた日機装のIT部門がV2C移行――何を重視したのか
多数の事例取材から企業ごとのクラウド移行プロジェクトの特色、移行の普遍的なポイントを抽出する本特集「百花繚乱。令和のクラウド移行」。基幹システムの安定化、パフォーマンス向上、コスト削減などを目指した日機装の事例からは、特にコスト削減のポイントを中心にお届けする。