Embed Size (px)
DESCRIPTION
■[特集]システム統合[今日的課題と手法]──「統合されたビジネス」の確かな運用のためにM&A(企業合併・買収)や企業間提携、事業再編など、経営環境の変化に伴う組織統合が発生する機会は以前よりも大幅に増している。その際、 IT/IS部門は自社ITインフラ/システムの統合・再編という、経営の根幹にかかわるビッグ・プロジェクトを担うことになる。また、組織統合以外にも、 年数が経過したシステムの刷新や運用コストの削減、ビジネス即応性の向上などを目的に、システムやアプリケーションを統合する必要に迫られるといったこと は、どの企業のIT部門においても一度は経験があるだろう。本特集では、「統合・再編されたビジネスや組織を確実に運用するための基盤」という観点から、 システム統合における昨今の背景、プロジェクトの進め方、技術的手法の種類などを整理し、解説する。■[特別企画]クラウド・コンピューティングのインパクト──ユーザー/IT部門はどうとらえ、備えるべきかすべてのITリソースはインターネットの雲(cloud)の向こう側から提供され、ユーザーはその際、リソースの構造や格納場所などをまったく意識するこ とがない――クラウド・コンピューティングというコンピューティング・モデルはおおむねこのような説明がなされる。クラウドは別段新しいものではなく、企 業コンピューティングの世界においては、SaaS(Software as a Service)やグリッド、ユーティリティ・コンピューティングなどクラウドの考え方に沿った、ないしは類似したモデルがすでに登場済みである。本企画 では、これら既存のモデルとの比較によってクラウド・コンピューティングを定義したのち、ユーザー企業やIT業界全体に与える影響の分析を行い、このパラ ダイムの本質を探ってみたい。
Citation preview
September 2008 Computerworld 5
Features 特集&特別企画
「統合されたビジネス」の確かな運用のために
システム統合[今日的課題と手法]
みずほ銀行/ユナイテッド航空/トランスワークス先進事例に見るシステム統合の実際後藤大地/Esther Schindler/Balaji Narasimhan
システム統合のカギとなるテクノロジーだが、“落とし穴”に注意サーバ仮想化の“不都合な真実”Tom Kaneshige
求められるのは「ビジネスとの統合」と「アーキテクチャの統合」システム統合の着眼点と考慮点飯島淳一
ユーザー/IT部門はどうとらえ、備えるべきか
クラウド・コンピューティングのインパクト栗原 潔
EventReport イベント・リポート
Red Hat Summit 2008リポート「仮想化は次世代のOS」──レッドハットが狙うオープンソース革命“再び”河原 潤
特集
50
52
60
64
73
8
Part1
Part2
Part3
特別企画
発行・発売 (株)IDGジャパン 〒113-0033 東京都文京区本郷3-4-5TEL:03-5800-2661(販売推進部) © 株式会社 アイ・ディ・ジー・ジャパン
月刊[コンピュータワールド]
世界各国のComputerworldと提携
TM
September2008Vol.5No.58contents
2008年9月号
9
September 2008 Computerworld 7
HotTopicsホットトピックス
IT Inside Topics [ニュースなIT]「ダビング10」騒動で日本のコンテンツ市場を憂う
元麻布春男
News&Topicsニュース&トピックス 16
TechnologyFocusテクノロジー・フォーカス
SQLインジェクション攻撃の「最新傾向と対策」矢野 淳
進化する「シン・クライアント」──ブーム再来の背景と今後の展望藤吉栄二
RunningArticles連載
ITキャリア解体新書(第6回)
ヘルプデスク横山哲也
Opinions紙のブログ
インターネット劇場佐々木俊尚
IT哲学江島健太郎
テクノロジー・ランダムウォーク栗原 潔
Informationインフォメーション
IT KEYWORD
本誌読者コミュニティ&リサーチ のご案内
エンタープライズ・ムック「SaaS研究読本」のご案内
エンタープライズ・ムック「ITマネジャーのための内部統制/日本版SOX法講座」のご案内
バックナンバーのご案内
イベント・カレンダー
おすすめBOOKS
読者プレゼント
FROM READERS & EDITORS
次号予告/AD.INDEX
本誌リポート提供サービス のご案内
10
86
96
104
107
108
109
106
110
111
112
114
116
117
118
119
120
Security
contents9
Chew-Mock
Chew-Mock
Security
表③
I T I n s i d e To p i c s
ニ ュ ー ス な I T
Computerworld September 200810
すったもんだで1カ月遅れ最後は経産省が調整役に
ここ数カ月間、さまざまな議論がなされ、メディア
をにぎわせてきたダビング10(※1)の運用が、7月4
日午前4時から開始された。一度は6月2日午前4時か
らの開始が決定されたにもかかわらず、情報通信審
議会、および情報通信政策部会の「デジタル・コンテ
ンツの流通の促進等に関する検討委員会」での合意
が得られず延期されていた。デジタル放送推進協会
(Dpa)は、約1カ月遅れで(やっと)スタートにこぎつけ
たわけだ(図1)。
この最終決定は非常に慌ただしかった。まず6月17
日、文部科学省と経済産業省が、私的録音・録画補償金制度(※2)の対象にBlu-ray Discを追加するこ
とで(唐突に)合意する。そしてこれを受けるかのよう
に総務省は6月18日、「デジタル・コンテンツの流通の
促進等に関する検討委員会(第40回)」を翌日に開催
すると告知。同委員会で7月4日のスタートが確定した
のである。
この決定は、地上デジタル放送への移行を促進し
たい総務省が、私的録音・録画補償金の対象にBlu-
ray Discを追加することで、文部科学省(著作権団体
側)と経済産業省(録音/録画機器ベンダー側)とを手
デジタル技術の進化で、音楽や映画といったコンテンツが簡単に複製できるようになった。その事実に大きな危機感を抱いているのが、コンテンツ著作権団体である。デジタル放送が拡大するに従い、「コンテンツの複製が拡大すれば、著作権侵害が横行する」と主張し、複製に対する規制強化に躍起になっている。その“騒動”が露呈したのは、「ダビング10」を巡るドタバタだった。本稿では、このダビング10に焦点を当て、著作権団体と機器ベンダーらの主張を紹介するとともに、日本の著作権保護対策が抱える課題をつまびらかにする。──コンテンツはだれの、そして何のために存在するのか──。読者諸君もいっしょに考えてほしい。
元麻布春男
「ダビング10」騒動で日本のコンテンツ市場を憂う利用者軽視のガチガチの著作権保護がコンテンツ産業を衰退させる
打ちさせた……とも受け取られかねない決着だった。
なぜ、これほどまでにダビング10の運用開始はこじ
れたのだろうか。それは、私的録音・録画の制限を求
める著作権団体が、現行のコピー・ワンス(※3)から
制限を緩和することになるダビング10の導入自体に反
対した(現在でも反対している)こと、そして制限を緩
和するのであれば、それに応じて補償金対象の拡大
を要求したからである。
これに対して録音/録画機器ベンダー側は、DRM
(Digital Rights Management:デジタル著作権管理)
などの技術を適切に利用すれば、補償金制度は縮小
させられるというスタンスだ。両者の主張が真っ向から
対立しているのだから、話が簡単にまとまるハズがない。
補償金制度は妥協の産物“副作用”はユーザー負担
そもそも日本では、正当な手段で著作物を入手し
たユーザーは、私的な複製を行うことが著作権法30条「私的使用のための複製」(※4)で認められている。
法律で許可されている行為であるにもかかわらず補償
金を支払わねばならないのは、デジタル技術の進化
で無劣化のコピーが際限なく可能になり、著作権者
の利益が損なわれるようになったためだとされている。
September 2008 Computerworld 11
しかし、私的な複製がデジタル化したからといって、
「権利者が得ていた利益が得られなくなった」という主
張には首をかしげざるをえない。私的な複製に消費者
が求めるものは、デジタルだろうがアナログだろうが
変わらないからだ。
著作権団体が問題視しているのは、例えばレンタル・
ショップでCDを借りてPCのハードディスク・ドライブ
(HDD)にコンテンツを取り込み、CDを返却したあと
でもそのコンテンツを利用したり、購入したCDをPC
のHDDに取り込んだあと中古CDショップに売却した
りする行為である。だが、これらは本来、著作権法に
違反する行為であり、私的録音・録画の範疇を越え
ている。本来、CDを返却したり売却したりする際には、
取り込んだ(複製した)コンテンツも消去しなければな
らない。しかし、現実にはそれを確認する手段がない
ため、代わりに補償金を上乗せしている。言ってみ
れば補償金は、妥協の産物なのだ。
私的録音・録画補償金が上乗せされる対象製品は
法律(政令)で定められている(12ページの表1)。録音
機器/媒体では、DAT(Digital Audio Tape)/DCC
(Digital Compact Cassette)/MD(MiniDisc)/
CD-R/CD-RWの各ハードウェアとメディアが、録画
機器/媒体では、DVCR(Digital Video Cassette
Recorder)/D-VHS(Digital Video Home System)
/MVDISC(Multimedia Video disc)/DVD-R/
DVD-RW/DVD-RAMが挙げられている。前述した
6月17日の合意は、この録画機器/媒体のリストに、
Blu-rayを追加するというものだ。
また、著作権団体は、PCでコンテンツを複製し、
それを“第三のプレーヤー”に転送した場合には、補償
金の支払いが発生しないことも問題視している。レン
タル・ショップでCDを借り、コンテンツをPCのHDD
に取り込んで「iPod」などの携帯音楽プレーヤーに転
送し、CDを返却したとしよう。PCは録音/録画機
ダビング10
再コピー不可コピー9回
再コピー不可
HDD内蔵のDVD/Blu-ray/HD DVD録画機器(ダビング10対応機/ソフトウェア・アップデート)
コピー10回目はムーブ(移行)(HDD内のデータは消滅)
コピー・ワンス
再コピー不可コピー1回
(HDD内のデータは消滅)
HDD内蔵のDVD/HD DVD録画機器
図1:ダビング10とコピー・ワンスの仕組み
※1 ダビング10デジタル放送を録画した内容を、10回までコピーできる運用ルール。同ルールに基づくコピーを行うためには、ダビング10対応の録画機器を購入するか、既存の録画機器のソフトウェアをアップデートする必要がある。
※2 私的録音・録画補償金制度1993年6月1日の著作権法改正によって設けられた制度。従来、私的使用目的であれば、個人または家庭内での複製は認められていた。しかし、同改定によって政令で定められたデジタル方式の機器/媒体(詳細は12ページの表1参照)に録音・録画する場合には、一定額の補償金を著作権者に支払わなければならなくなった。補償金の支払いは機器の購入時に文化庁長官に認可された補償金規定に従い、購入者から製造販売業者を通じて指定団体に支払われる。
※3 コピー・ワンスデジタル放送を録画した内容を1回だけコピーできる運用ルール。2004年4月5日から2008年7月4日(午前4時)まで適用されていた。同ルールには「コピー中に不具合が発生したため、オリジナル・データが消滅した」といったユーザーからの苦情が多々寄せられていたという。
※4 著作権法30条「私的使用のための複製」個人または家庭内その他これに準ずる限られた範囲内で使用する場合には、その使用する者が複製することができる。
Glossary
Computerworld September 200812
ではない汎用製品であり、携帯音楽プレーヤーが内
蔵するHDD/メモリも汎用のストレージである。その
ため補償金の支払いが生じないのだ。
ダビング10が騒動になる以前、同様の問題に「iPod
課金」(通称)があった。これは汎用ストレージのHDD
にも私的録音・録画補償金を上乗せしようという著作
権団体の活動である。しかし、iPod課金は実現しな
かった。それは、すべてのHDDに補償金を上乗せす
るのは乱暴すぎるという意見が大勢を占めたからだ。
例えば、HDDを内蔵したDVD録画機のように、すで
に録画機として補償金を払っている製品の場合、
HDDにも課金した場合には、補償金の2重取りになっ
てしまうのである。
このように、私的録音・録画補償金制度には矛盾
が多い。さらに言えば、同制度が私的録音や録画で
侵害された著作権を補償しているのかどうかも怪しい
のである。
本来、同制度は「私的録音のような取り締まりが困
難な不正コピーに対する補償」という意味が大きかっ
た(と思われる)。しかし、この意味を認めてしまうと、
「補償金を払ったんだからコピーさせろ」と、不正コ
ピーを助長することにもなりかねない。
そもそも私的録音・録画補償金制度は、「徴収した補
償金を正しく著作権者に分配することができない」とい
う本質的な欠陥がある。補償金が課せられているメディ
ア(DVD-RWなど)を購入したユーザーでさえ、購入し
た段階でそのメディアにどんな著作物をコピーするか
決めていることは少ない。そうである以上、徴収した補
償金をきちんと再配分などできるハズがないのだ。
「すべての録画には補償金を!」著作権団体のスゴすぎる論理
結局、この問題は「最善の手段がない」といった言
い訳や、「米国でもAudio Home Recording Act(オーディオ家庭録音法)(※5)は導入されている」と、
“グローバル・スタンダード”を持ち出して正当化しよう
とする潮流がある。しかし、米国でも導入されている
から日本でも導入すべきという主張には矛盾がある。
米国を引き合いに出すのであれば、日本と米国との間
にCDの価格差があるのもおかしいのではないか。ま
ず日本のCDを再販売価格維持制度(※6)の対象か
ら外し、価格を米国と同等にすることのほうが先決だ。
そうでなければ、ユーザーは納得しないだろう。「ほか
に手段がないから、録音/録画メディア全部から補
償金を徴収する」という姿勢は、いくらなんでも乱暴
すぎる。
今回のダビング10騒動でもう1つ問題視されたのは、
※5 Audio Home Recording Act(オーディオ家庭録音法)米国で1992年に成立した法律。非営利目的の個人利用であれば、複製が認められているが、特定の録音機(主にデジタル録音機)に対しては二次録音防止装置であるSCMS(Serial Copy Management System)の搭載を義務づけている。同法律が注目されたのは1998年、携帯音楽プレーヤー「Rio」を販売する米国Diamond Multimedia Systems(当時)を、米国レコード協会(RIAA)が訴えたことだろう。RIAAは「Rioは録音機であり、SCMSを搭載していないのは著作権の侵害だ」と主張した。なお、連邦地裁は「Rioは録音機ではない」との判決を下している。
※6 再販売価格維持制度販売側が小売価格を決定し、小売業者らに対して商品の販売価格を指示し、それを順守させる行為。独占禁止法では自由な価格競争を妨げるものとして、再販維持行為を禁止している。ただし、著作物であるCD/書籍/新聞などは、著作権保護の観点から再販維持行為が認められている。
機器/媒体
DAT/DCC/MD/CD-R/CD-RW
DVCR/D-VHS/MVDISC/DVD-R/DVD-RW/DVD-RAM/Blu-ray
録音
録画
補償金額
機器→基準価格の2%媒体→基準価格の3%
機器→基準価格の1%媒体→基準価格の1%
表1:私的録音・録画補償金が課せられる対象とその金額
Glossary
September 2008 Computerworld 13
料放送によるパッケージの売上げ減少を計算したうえ
で、コンテンツの著作権者と放送局との間で放送権
料を設定すべきではないだろうか。「技術的に私的録
画できないことが保証されないかぎり、テレビ放送に
コンテンツは提供しない」というのが、著作権者の利
益を守る唯一の解決策である。矛盾の多い補償金制
度で解決しようとするのはまちがっている。
録画されるとパッケージは売れない? もう1点は、深夜に集中的に放映されているアニメ・
コンテンツの問題だ。日本映像ソフト協会は、「放送か
らの録画によるパッケージ・ビジネスに与える影響は
大きい。仮に直接的な売上げ減がなくても、私的録
画補償金が必要」であると主張している。つまり制作
者側(著作権所有者)が放送枠を買い取って放送して
いるアニメ・コンテンツが録画されると、パッケージの
売上げに影響する。だから私的録画補償金でその差
分を埋めてくれと言っているのだ。
この主張にも「だったら、どうして放送するの?」と
いう疑問がわくだろう。さらに、「そもそも深夜に放映
されるアニメ・コンテンツは、録画によるタイムシフト
視聴を前提にしているものじゃないの?」という疑問も
加わってくる。
本来、放送枠を買い取って放送したり、放送をパッ
ケージ販売のための宣伝として利用したりということ
は、コンテンツを販売する側のビジネス・モデルの問
題であり、コンテンツ保護の問題ではない。このビジ
ネス・モデルに公的な保護を正当化するだけの公共
性/公益性があるとは思えないのである。
無料放送されたテレビ・コンテンツの私的録画/複製
についてである。日本映像ソフト協会は6月17日、「私
的録画問題に関する当協会の基本的な考え方につい
て」と題した声明を発表し、「放送される映画の著作物
については私的録画補償金制度が必要」という見解を
明らかにした(表2)。この内容には疑問を感じる部分
がたくさんあるが、特に不可解な2点を紹介したい。
無料視聴はリアルタイムのみ? 第1点は「タイムシフト目的でもフィードバックは必
要である」としている点である。わかりやすく言うと、「録
画をすることで、ユーザーは好きな時間に録画したコ
ンテンツを見ることが可能になる。しかし、好きな時
間に好きな場所でコンテンツを見るのは、DVDや
Blu-rayといったパッケージを購入した人の特権だ。
私的録画はその特権を侵害する」と主張しているのだ。
つまり、「テレビで放映される映画は、リアルタイムで
の視聴にのみ制限すべき」という考えであり、すべて
の録画機は権利の侵害につながるという考え方であ
る。「HDDに録画し、1回見たら消す」という人にも補
償金の支払いを求めているのだ。
おそらく多くの人は、「それほど大事なコンテンツな
ら、どうして放送するの?」と疑問に思うだろう。現在
の大手民間放送局は、企業からの広告収入を主な財
源とし、コンテンツは無料でユーザーに提供している。
無料で放映されたものを録画するだけで補償金が課
金されるというのは、ユーザーにとっては到底納得で
きる話ではない。大事なコンテンツなら、無料放送で
提供すべきではない。もし提供するのであれば、無
映画の著作物の本来的な利用には、権利者がその権利を行使できるようにすべき
映画の著作物のパッケージ商品からの私的複製を許容する必要はない ①パッケージ商品として提供される映画の著作物の享受には、それを購入等していただくのが原則である ②「コピー不可」を回避などして行う私的複製を違法とする必要がある
放送される映画の著作物については私的録画補償金制度が必要 ①タイムシフト目的でもフィードバックは必要である ②放送からの録画によるパッケージビジネスに与える影響は大きいし、仮に直接的な売上げ減がなくても、 私的録画補償金が必要 ③私的録画補償金が不要になるのは条件の整備が実現された後である
表2:日本映像ソフト協会が発表した「私的録画問題に関する当協会の基本的な考え方について」(抜粋)。「だったらテレビ放送しなければいいのに」と思うのは筆者だけではないだろう
Computerworld September 200814
ラックすることは、利用者のプライバシー侵害につな
がるとの意見もあるようだ。しかし、これもくふう次第
で解決できる問題だろう。JR東日本が発行している
「Suica」のように、無記名でも利用できる支払い方法
と端末認証を組み合わせるなどすれば、いくらでも方
法はあるはずだ。
コンテンツを衰退させるほんとうの元凶とは……
一般に著作物は、「広く知られないと利益を生まな
いが、広く知らしめるために公開すると、生み出され
る利益は減る」と考えられている。テレビで映画を放
送すれば、映画館に足を運んだ人以外にも広く知ら
れるが、再上映の映画館に行く人やパッケージを買
う人は減る。そう考えるからこそ、著作権者側は無料
公開による利益の減少を補償金で取り戻したいと“努
力”するわけだ。
しかし、この考えはほんとうなのだろうか。映像や
音楽のコンテンツを買う人の多くは、何らかの理由で
そのコンテンツ(あるいはそのコンテンツにかかわった
人物)が好きな人である。事前情報がまったくない映
画や、一度も聞いたことのない音楽を購入する人は
少ない。音楽の場合、売上げ上位となる曲は、街を
歩いていても自然と耳に入る。1990年代、邦楽のヒッ
トチャートで上位を占めていたのは、ドラマやテレビ
広告のタイアップ曲ばかりだった(写真1)。これはタイ
アップにより広く告知されたこと、つまり、“はやって
いる”ことの効果だった。
一方、映画は音楽ほど繰り返し再生されないだろ
うが、DVDなどのパッケージを購入する人の多くは、
その映画を観るために映画館に足を運んだ人ではな
いだろうか。
現在、音楽業界ではCDの売上げが激減し、以前の
ようなミリオン・セラーが少なくなったと言われている。
その原因の一端が、インターネットの普及にあることは
まちがいない。ただし、それはインターネットによる不
正なコンテンツ流通だけが理由ではない。Webページ
という“コンテンツ”の登場で、ユーザーがそのほかのコ
ンテンツに割く時間とお金をシフトさせたことが主な原
因だ。1日が24時間と決まっている以上、新しいコンテ
ンツが登場すれば、既存コンテンツに割かれる時間と
お金は減る。ちなみに出版業界は、音楽/映画業界
映画のタイムシフト視聴にせよ、深夜枠のアニメ・
コンテンツにせよ、著作権団体が要求しているのは、
録画の禁止ではない。録画を全面的に禁止すれば視
聴者は限定され、コンテンツの宣伝効果は大幅に低
下する。また録音・録画がされなくなれば、録音・録
画補償金も課金できなくなる。著作権団体が理想と
しているのは、録画の自由度を極力制限しつつ、そこ
から最大の補償金を得るというモデルなのだ。
ユーザーが望むのは“自由な私的2次利用”
ダビング10の開始にあたり、一部の著作権団体は
「コピー・ワンスではなくダビング10を許可したのは、
著作権団体側が消費者の利益を優先させたあかしだ」
と喧伝している(ように見える)。しかし、これはお門
違いだろう。私的複製は著作権法で認められた行為
であり、これを手柄のように主張されても困る。
当然のことだが、10回のダビングが認められるから
といって、ダビングした10枚のメディアを他人に譲渡
したり、販売したりできるわけではない。コピー作業
中のアクシデントなどを考えれば、消費者にとって1回
しかコピーできない規制はとんでもなく不便である。
しかし、同じコンテンツを10回コピーできるからといっ
て、必要もないのにコピーをする人は(ほとんど)いな
い。消費者が望んでいるのは、同じものを何回もコピー
することではなく、私的利用の範囲内で2次利用でき
ることだ。そして、それが自由にできないという点で、
ダビング10は理想的な解決法からほど遠い。
この問題の本質は、以下の3点に集約されると筆者
は考えている。
①私的録音・録画の範疇を越えた著作権法違反の行為について、これを実効的に取り締まることは困難である
②摘発が困難な違法行為による損害を補填する目的で、私的録音・録画補償金というあいまいな代替策を制定した
③そのあいまいな制度を、自分たちの都合のよいように最大限利用したいという思惑を持つ人たち(著作権者)がいる
もっとも著作権者の中には、DRMで利用状況をト
September 2008 Computerworld 15
以上に、インターネットの影響を被っている。
音楽が売れなくなったもう1つの、そしておそらく最
大の理由は、ユーザーが音楽に触れる機会が減って
いることだ。インターネットの影響もあり、テレビの視
聴率は以前と比較すると低下している。視聴率が下
がればタイアップ効果も低下する。タイアップ曲が売
れなくなっても不思議ではない。
その一方、音楽はインターネットから“距離”を置い
ている。例えば、日本のWebサイトで音楽をコンテン
ツの一部としているのは例外的なサイトだ。歌手のオ
フィシャル・サイトでさえ、音楽(その歌手の曲)を公
開していない。CD販売サイト最大手のAmazon.co.jp
で試聴できる国内制作CDは、一体何枚あるだろう(画面1)。聞こえてこない音楽を買う人は少ない。日本の
音楽業界は、インターネットというチャンスをみすみ
す逃しているのだ。
コンテンツの販売は、「カツオの一本釣り」と同じだ
と筆者は考えている。ある程度コンテンツを公開する
ことがまき餌となり、コンテンツが売れる仕組みだ。
その比率がどれくらいかは明確ではないが、コンテン
ツの売れ行きを伸ばすには、効果的なまき餌ができる
かどうかにかかっているのではないだろうか。
ところが、デジタル化が普及して以降、コンテンツ
販売サイドに「最近はまき餌だけタダ食いされることが
多いから、まき餌を減らそう」という傾向が強まってい
るように感じられてならないのだ。
まき餌を減らせば、釣れる魚は減る。デジタル時代
の到来で、以前よりも“まき餌効率”が落ちたというこ
とはあるかもしれない。しかしそれを補う方法は、より
大量にまき餌をまくこと以外ないのではなのだろうか。
* * *
古くはCCCD(※7)問題、そしてiPod課金、コピー・
ワンス、ダビング10と、技術が進化するに伴って著作
権者側と消費者側との関係はギスギスした問題が目
立つようになった。著作権者側が「著作権の侵害は文
化の崩壊」と声高に叫ぶほど、消費者側にはしらけた
雰囲気さえ漂う。
本来、文化は受け手側が愛し、受け手側がはぐく
むものであって、著作権者側から押しつけられるもの
ではない。法制度での保護が必要な文化は、はたし
て受け手側に愛されていると言えるのだろうか。法制
度で保護できるのは、「コンテンツの著作権保護」とい
う「エコシステム」であり、「文化」そのものではない。
一連の騒動で最も傷ついたのは、著作権者側と消
費者との信頼関係だ。それがさらにコンテンツの衰退
を招く。そんな悪循環だけは起こしてはならない。
※7 CCCD(Copy Control CD, Copy-Controlled Compact Disc)2002年に登場した、著作権の保護を目的に、コンテンツをPCにコピーできないよう導入された技術、または同技術を搭載しているCD。音質の低下や再生機器への悪影響などユーザーからの評判が悪く、現在ではEMIミュージックなど数社が採用しているのにとどまる。
Glossary
画面1:Amazon.co.jpでも視聴できる国内制作CDは少ない。「オススメ」されても聞いたことのない曲を買う人は少数派だろう
写真1:2007年4月に発売された「R35 Sweet J-Ballads」(ワーナーミュージック・ジャパン)は、1990年代初頭にヒットしたJ-Popバラードを集めたオムニバス・アルバム。16曲中14曲がドラマやテレビ広告のタイアップ曲だ
NEW
S HE
ADLI
NE
Computerworld September 200816
マイクロソフトのセキュリティ近代史──ゲイツ氏の“功罪”と今後の課題問題の元凶から改革の旗振り役に転向したトップのメッセージ
6月末、米国Microsoft会長のビル・ゲ
イツ(Bill Gates)氏は同社の常勤取締役を
退いた。同社の“アイコン”として33年間君
臨し続けてきたGates氏。それは同時に同
氏の方針が、Microsoftの行く末を左右す
るということでもあった。ここではGates
氏が同社のセキュリティ戦略に及ぼした影
響を振り返ってみよう。
“転向”のきっかけは1通のメール 2002年初頭、Gates氏は全社員に向け、
「Trustworthy Computing(信頼できるコ
ンピューティング)」というタイトルのメール
を配信した。そこにはMicrosoftが今後、
セキュリティを最優先にし、将来の脅威に
耐えうる信頼性の高い製品を開発する必
要性が強調されていた。アナリストらは、
この社内メールがMicrosoftのセキュリティ
問題への取り組みを大きく改善させたと指
摘している。
Gates氏のメールで打ち出された方針
は、Microsoftの当時のCTOだったクレイ
グ・マンディ(Craig Mundie)氏が推進した。
そして、「セキュリティ開発ライフサイクル
(Security Development Lifecycle:
SDL)」という高いコストがかかる新しいプ
ロセスが構築されたのである。
このプロセスは、製品のリリース後では
なく、開発過程でセキュリティ上の問題点
を発見/修正できるように組まれたもので、
社内の全開発者にSDLプロセスを徹底す
るために多大な費用が投じられた。
もう1つ、Trustworthy Computingによっ
て導入されたセキュリティ対策がある。そ
れが月例修正プログラムの配布だ。定期
的に修正プログラムを配布するこの方式
は、ソフトウェア業界の1つのモデルとして
定着したと見る向きも多い。
さらにGates氏のメールは、Microsoft
が使いやすさと新機能を追求した結果、
製品のセキュリティが犠牲になっていたこ
とを認めたものでもあった。同氏はメール
の中で、「機能追加とセキュリティ問題の
解決の間で選択を迫られたら、セキュリ
ティを優先しなければならない」と明言して
いる。
課題はコンシューマー分野のセキュリティ ただしGates氏のメールは、Microsoft
のその後の姿勢を決定づけたものの、
「Microsoftのエンタープライズ製品は、セ
キュリティが弱い」という一般的なイメージ
を覆すには至らなかった。その大きな理由
は、Windows VistaなどSDLプロセスを
経て開発されたMicrosoft製品に、依然と
して多くの脆弱性が発見されていることで
ある。
今後、Microsoftが抱えるセキュリティ
●主要IT企業の株価が軒並み下落──1930年以来、最悪の6月に(7/4)⇒22ページ
●マイクロソフト、Windows XP搭載ULPCのハードウェア条件を緩和(7/3)
●シトリックスと日立、仮想化環境用の指静脈認証システムを共同で開発(7/3)⇒21ページ
●インテリシンク、企業向けモバイル管理ソフトの新版「Intellisync Mobile Suite 9」を発表(7/2)
●日本IBM、非開発者向けマッシュアップ環境の日本語版をリリース(7/2)⇒21ページ
●マイクロソフト、IE 8のセキュリティ新機能を一部披露(7/2)
●今のCRM市場はドットコム・バブルの再来?──対前年比12%増の急成長(7/2)⇒23ページ
●グーグル-バイアコム訴訟、地裁はYouTubeユーザーデータを引き渡す判決(7/2)
●米国司法省、ヤフーとグーグルの提携を反トラスト法違反の調査対象に(7/2)
●グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開(7/1)
●Webブラウザの約4割が未パッチ状態──チューリッヒ工科大学が報告(7/1)
●マイクロソフト、セマンティック検索エンジンのパワーセットを買収へ(7/1)
●オラクル、買収したBEA製品の統合戦略を発表(7/1)⇒18ページ
●陸上自衛隊の一等陸尉、日米共同演習データ入りUSBメモリを窃盗(7/1)
●「地に足のついた革新で、堅実な成長を目指す」──マイクロソフトの樋口氏、今後3年間の経営方針を発表(7/1)⇒20ページ
●IE6にゼロデイ攻撃の危険性──実証コード公開でも修正パッチは配布されず(7/1)
●Macの企業ネットワーク接続/管理の問題に取り組むアライアンスが発足(6/30)
●マイクロソフトがOOXMLの相互運用性を強化、
ANAL
YZE
の課題とは何だろうか。
米国の調査会社Gartnerでアナリスト
を 務 めるジョン・ペスカトーレ(John
Pescatore)氏は、エンタープライズ分野
よりもコンシューマー分野でセキュリティ
課題に直面すると指摘する。
「Gates氏のメールから生まれたSDLプロ
セスは、Microsoftのエンタープライズ製品
のセキュリティ強化には貢献するが、Web
2.0やSaaS(Software as a Service)といっ
た新技術に対応するだけの柔軟性はない。
Microsoftがこれらの技術/製品に対応し
たSDLを用意したという話は聞こえてこな
い。同社の今後の課題は、エンタープライ
ズ市場で導入してきたSDLプロセスを、ホ
ステッド・サービスなどの分野でも導入でき
ると示すことだ」(Pescatore氏)
(Computerworld米国版)
今年5月に来日したGates氏は、「Microso f tにとって自分は小さな存在だ。もっとほかの社員が評価されてもよい」と語っていた
J u n e , 2 0 0 8
September 2008 Computerworld 17
HP Software Universe 2008で示された新ソフトウェア事業戦略にかけるHPの“本気度”最新動向に見るHPのソフトウェア事業への意気込み
米国Hewlett-Packard(HP)は、米国
ネバダ州ラスベガスで6月17日から19日に
わたって開かれた同社主催のコンファレン
ス「HP Software Universe 2008」の中で、
ソフトウェアおよびサービス事業の強化計
画を打ち出した。以下、同社のソフトウェ
アにかける意気込みを示す最新の動向を
ピックアップしながら、その“本気度”を確
かめてみたい。
①R&Dに年間40億ドルを投入 HPの会長兼CEO、マーク・ハード(Mark
Hurd)氏は同コンファレンスの中で、HPは
R&D(研究開発)に年間40億ドル近くの予
算を投入しており、その約70%に当たる約
28億~30億ドルが何らかのソフトウェア
に投入されてきたことを明らかにした。
②ソフトウェア事業の飛躍的成長 HPによると、同社の全売上高は1,000
億ドルを突破したという。だが、そのほと
んどはハードウェア事業によるもので、ソ
フトウェア事業による売上げ規模は非常に
小さい。数年前には売上高が全体の1%に
満たず、かろうじて利益を上げていた程度
だったが、HPのソフトウェア事業は、ここ
2~3年で飛躍的な急成長を遂げ、今では
3,500人の従業員を抱えるまでに至った。
また、売上高も前年は約20億ドルだったが、
業界調査の統計から見て、今年は30億ド
ルに迫る見通しとHPは述べている。
③VMwareとの提携で仮想化を強化 HPは今年6月、同社の管理ソフトウェア
で仮想化環境をよりよく管理/最適化で
きるようにすることを目的に、仮想化ソフ
トウェア市場最大手のVMwareと提携し
た。業界観測筋はこの提携について、大
手管理ベンダー4社の中では初めての提携
と指摘。市場としてはまだ初期段階にある
が、仮想化管理が今後、ベンダーの競争
優位を変える技術になるとの見通しを示し
ている。
ただし、「HPは製品ロードマップを提示
し、この提携には実質的な内容が伴ってい
ることを示す必要がある」と米国Forrester
Researchのシニア・アナリスト、イブリン・
ハバート(Evelyn Hubbert)氏は指摘して
いる。
④ ITIL普及に尽力 HPは、ITサービス・マネジメントのベスト・
プラクティスの普及推進に力を注いでい
る。同 社はITILの 最 新 版 である「ITIL
Version 3」の執筆に参加しており、その
プロセスを「HP Release Control 4.0」な
どの変更管理製品に統合している。また、
構成管理ツールの「HP Configuration
HTMLトランスレータを開発へ(6/30)●アップル、脆弱性の一部が“未解決”なLeopard
最新版「Mac OS X 10.5.4」をリリース(6/30)●増え続けるストレージの電力・冷却コスト、2007
年は全世界で13億ドルを突破(6/27)●マイクロソフトのセキュリティ近代史──ゲイツ
氏の“功罪”と今後の課題(6/27)⇒16ページ●マイクロソフト、サーバ仮想化ソフト「Hyper-V」
の正式版をリリース(6/26)●産業用バーチャル リアリティ展で示されたVRの“今”(6/26)⇒23ページ
●NTTデータ イントラマート、intra-mart新版に
BPMエンジンを搭載(6/25)●NRI、新貸金業法対応を支援する金融機関向け
ASPサービスを発表(6/25)●急成長する世界のオンライン広告市場、2011年
には1,066億ドル規模に(6/25)●ノキア、Symbianベースの共通モバイル・プラッ
トフォームをドコモらと共同開発へ(6/24)⇒20ページ
●バッドウェア配布サイトのホスティング上位5社にグーグルがランクイン(6/24)
●日本IBM、初のインメモリDBを出荷──今年買収したソリッドのDBがベース(6/24)⇒18ページ
●クローズドソース・モジュールは“有害”──Linuxカーネル開発者たちが抗議声明を発表(6/23)⇒19ページ
●【HP Software Universe 2008】新ソフトウェア事業戦略を打ち出したHPの“本気度”(6/20)⇒17ページ
●インテルに挑むARM──低消費電力のサーバ向けマルチコアCPUを開発へ(6/20)
●クレオ、中堅向けERP「ZeeM」にSMBパッケージやSaaSモデルを追加(6/20)⇒22ページ
●アドビ、日本語に対応した「AIR 1.1」のデモを披露(6/19)⇒19ページ
EVEN
T REP
ORT
Management System(CMS)」は、HP
がOpsware買収で取得した自動化技術と、
変更管理や構成管理のアプローチを結び
付けるものだ。「ITプロセスの自動化技術と
構成管理データベース技術は密接に関係
しており、いずれもお互いの進化を必要と
している」と、米国Enterprise Manage
ment Associatesのリサーチ担当バイス
プレジデント、デニス・ドログセス(Dennis
Drogseth)氏は指摘している。
⑤SaaS型ビジネスを本格開始 HPは、同コンファレンス開催期間中に、
SaaS(Software as a Service)型の新し
いソフトウェア提供モデル「HP SaaS」を
発表した。これはHPが自社の各種管理ソ
フトウェアをホスティングして管理し、サ
ブスクリプション・ベースで顧客に提供す
るものだ。HPは約8カ月前からSaaSプロ
グラムを実施しており、これは大手管理ベ
ンダー4社の中で、SaaSを事業化してい
る唯一の例だ。
HPの顧客である医療機関大手米国
Cardinal Healthのエンジニア、ドン・ジャ
クソン(Don Jackson)氏は、「HP SaaS
のおかげで、一部の作業はフルタイムの管
理者が行う場合の10%の所要時間で処理
できている」と語っている。
(Network World米国版)
Computerworld September 200818
オラクル、買収したBEA製品の統合に着手──3つのカテゴリーに分けて段階的に統合へ
「WebLogic Server」が中核的アプリケーション・サーバに。ESBについては両社製品を統合
米国Oracleは7月1日、今年買収した米
国BEA Systemsの製品統合を含む新た
なミドルウェア戦略の詳細を説明した。
OracleによるBEAの買収については、
両社の提示する条件がなかなか折り合わ
ず、株主からも脅迫に近い反発を買うなど、
買収計画が明らかになった昨年10月から
交渉は難航。しかし今年4月末、Oracle
が85億ドルでBEAを買収することで決着
し、手続きも完了した。
Oracle Fusion担当のシニア・バイスプ
レジデント、トーマス・クリアン(Thomas
Kurian)氏によると、両社のミドルウェア
製品やインフラ製品群は今後、「Strategic」
「Continue and Converge」「Maintenan
ce」の3つのカテゴリーに分類されることに
なる。
日本IBM、初のインメモリDBをリリース──今年買収したソリッドの製品がベースDB2/Informixと組み合わせ、キャッシュとして機能させることも可能
日本IBMは6月24日、インメモリ型のデー
タベース管理ソフト「IBM solidDB V6.1」
の出荷を開始した。solidDBはIBM初のイ
ンメモリ・データベースで、IBMが今年買
収した米国Solid Information Techno
logyの技術/製品がベースになっている。
Solidは、もともとはMySQLのパートナー
として、MySQLデータベース向けのトラ
ンザクション・エンジンを開発していたベン
ダーである。IBMは以前からSolidとパート
ナー契約を交わしていたが、直接の支配下
に置くことで影響力を強めるねらいがある
と見られる。
なお、IBMによるSolid買収を受け、My
SQLは独自のトランザクション・エンジン
「Falcon」へとシフトしていったが、その完
成を待つことなく、今年1月に米国Sun
Microsystemsに買収された。
インメモリ・データベースは、データをメ
イン・メモリに格納して扱うことから、ディ
スク・ベースのデータベースよりも高速に
動作するというメリットを持つ。当然ながら、
ディスクからメイン・メモリへデータ・ブロッ
クを移動する必要もない。IBMによると、
一般的なディスク・ベースのデータベース
に比べて、処理速度を10倍程度向上させ
ることができるという。
solidDBは、メイン・メモリ上のデータ
を検索・処理するために特別に設計された
データ構造とアクセス方法、および高効率
の同時実行制御メカニズムを備えている。
つまり、データ構造とアクセス方法をメイ
ン・メモリに最適化しているわけだ。その
ため、ディスク・ベースのデータベースで
PROD
UCTS
NEW
S
全データをメイン・メモリにキャッシュした
場合よりもさらに速く動作する。
IBMはsolidDB V6.1の出荷に合わせて、
「DB2」や「Informix Dynamic Server(IDS)」
とそれぞれ組み合わせた「IBM solidDB
Cache for DB2」および「同Cache for
IDS」を同時にリリース、DB2やIDSのキャッ
シュとしてsolidDBを使用できるようにし
た。こうした本格的なディスク・ベースの
データベースとの組み合わせにより、イン
メモリ・データベースだけでは不可能だっ
た、大量かつ複雑なデータの高速処理が
可能になるという。
価格は、IBM solidDB V6.1が341万
1,450円から、IBM solidDB Cache for
DB2と同Cache for DB2は367万5,000
円からとなっている。 (Computerworld)
Strategicに分類されるのはハイエンド
製品が中心だ。また、BEA製品の中で「Con
tinue and Converge」に分類されるもの
はFusion Middlewareスタックへ徐々に
統合されていく予定だが、これらの製品は
最低でも今後9年間は提供していくという。
一方、買収以前に「Maintenance」へ分
類されていたBEA製品は、既存の使用条
件などがそのまま継続される。
今回明らかにされたBEA統合戦略の主
なポイントは以下のとおり。
●「BEA WebLogic Server」は、両社合
併後も中核的なアプリケーション・サー
バになる。ただし、Oracle独自のアプリ
ケーション・サーバの開発も続行する
●Java仮想マシンはBEAの「JRockit」に
統合する
●OracleのESBはBEA製品と統合する
●「WebCenter」は、Oracleのすぐれたポー
タル・ソフトウェアとして残す
Oracleでは買収完了から6週間足らず
で製品統合に着手したと強調しているが、
総合にあたり何も問題がないわけではな
い。米国ZapThinkのアナリスト、ジェー
ソン・ブルームバーグ(Jason Bloomberg)
氏は、製品重複にかかわる問題は無数に
あると指摘する。
「Oracleは、BEAが抱える顧客層の獲
得を買収の主な目的としており、BEAの顧
客を引き留めるために最大限の努力を惜し
まないはずだ。しかし、技術面から見れば、
製品統合のプロセスに手間がかかることは
明らかだ」(Bloomberg氏)
(IDG News Service)
J u n e , 2 0 0 8
September 2008 Computerworld 19
「クローズドソース・モジュールは“有害”」──Linuxカーネル開発者たちが抗議声明を発表
「Linuxのイメージが悪くなる」と135人以上が声明に署名
135人を超えるLinuxカーネルの開発者た
ちが6月23日、Linuxカーネル用のクローズ
ドソース・コード・モジュールの開発ベンダー
に対して抗議声明を発表した。開発者たち
は、こうした独自モジュール開発が「有害で
あり、望ましいものではない」と非難しており、
今回の抗議声明についてもあくまで自分た
ちのために行ったもので、雇用主とは一切
関係ない点を強調している。
独自カーネル・モジュールの問題は以前
から指摘されていたが、最近になって再び
注目が集まっている。
Linuxの普及を目指す業界団体Linux
FoundationのWebサイトに掲載された文書
には、「昨年来、クローズドソース・コード・
モジュールについてLinuxカーネル開発者が
どのように感じているのかと、意見を求める
問い合わせが企業から頻繁に寄せられるよ
うになった。今回の抗議声明は、この問題
に対する大多数の開発者の見解を明確にし
たものである」と書かれている。
クローズドソース・モジュールを使ってい
るユーザーや企業は、Linuxコミュニティで
はなくモジュールの開発元にサポートを求め
なければならないうえに、「多くのモジュール
で安定性の問題が指摘されているため、
Linuxのイメージがきわめて悪くなる可能性
がある」という。
抗議声明に署名した開発者たちは、クロー
ズドソース・モジュールはカーネル・レビュー・
プロセスを通じて最適化されるため、ベン
ダー側は開発したモジュールをオープンソー
スにするべきだと主張している。例えば、
Linuxカーネルの開発者グループである
アドビ、日本語に対応した「AIR 1.1」のデモを披露──企業におけるAIR利用のメリットをアピールサーバとの連携強化やマルチ言語対応により、企業への導入を推進
アドビ システムズは6月19日、記者説明
会を開き、今月17日から提供を開始した
リッチ・インターネット・アプリケーション
(RIA)の実行環境「Adobe AIR(Adobe
Integrated Runtime)」の最新版である
「Adobe AIR 1.1」の特徴や機能をデモを
交えて紹介した。
AIR 1.1では、日本語環境が初めて正式
にサポートされた。これによりアドビでは、
コンシューマー向けはもちろん、企業向け
のアプリケーションとしてAIR導入がいっ
そう本格化すると見込んでいる。
同社マーケティング本部ディベロッパー
マーケティングスペシャリストの轟啓介氏
は、AIRの大きな特徴として、①インストー
ルの容易さ、②ブラウザ(Webkit)/
Flash/PDFなどのメディア技術が統合さ
れていること、③単一ファイルをクロスプ
ラットフォームで配布できることを挙げ、
AIRが使い勝手のよいリッチ・クライアント
環境であることをあらためて説明した。ユー
ザーからの反響について同氏は、ダウン
ロード数が月数百万件に上っていること
や、同社のWebサイト「AIRギャラリー」
で公開されているアプリケーション数
が27件に達したこと、4月から6月に
かけて開催した「AIRコンテスト」では
86作品の応募があったことなどを示
し、注目を集めていると強調した。
轟氏は、「AIRによって、これまでク
ライアント/サーバ・システムやWeb
アブリケーションでは実現困難とされ
ていた、ユーザーにオンライン環境と
オフライン環境を意識させないような
NEW
SPR
ODUC
TS
Linux Driver Porjectグループでは、カーネ
ル・レビュー・プロセスのために無料でドラ
イバを開発してベンダーを支援しているとい
う。
またLinux Foundationも、オープンソー
スである本来のLinuxモデルの下でデバイ
ス・ドライバを開発することのメリットを列挙
した文書を掲載している。
Linux Foundation技術諮問委員会の委
員長で、今回の抗議声明にも署名している
ジェームズ・ボトムリー(James Bottomley)
氏は、「多くの企業がLinuxの開発(とりわけ
モバイル分野)に関与し始めており、オープ
ンソース・アプローチの選択肢が示されない
まま、クローズドソース・モデルにユーザー
が縛られてしまうのではないかと懸念してい
る」と語った。 (IDG News Service)
アプリケーションの作成が可能になる。ま
た、開発効率の向上も図られており、マル
チ言語環境のサポートにより、海外向けア
プリケーションの開発も容易になってい
る」と、企業におけるAIR利用のメリットを
アピールした。 (齋藤公二)
TK-Labが披露したコンシューマー向けのAIRウィジェット。カレンダーやニュース・ティッカー、フラッシュ視聴などの機能を備える
Computerworld September 200820
フィンランドのNokiaは6月24日、携帯
電話向けのOSを開発している英国Sym
bianを総額2億6,400ユーロ(4億1,000万
ドル)で完全買収する計画を明らかにする
と同時に、共通プラットフォームの開発を
目的とする非営利団体「Symbian Founda
tion」を設立すると発表した。
設立メンバーはNokiaとSymbianのほか、
SonyEricsson、米国Motorola、日本の
NTTドコモ、米国AT&T、韓国LG Electro
nics、Samsung Electronics、スイスの
STMicroelectronics、 米 国Texas
Instruments、英国Vodafoneの9社が名
を連ねている。設立は2009年上半期にな
る見通しだ。
同 団 体 で は 今 後、Nokiaの「S60」、
Sony EricssonとMotorolaの「UIQ」、
NTTドコモがFOMAに 搭 載している
「MOAP(S)」などのモバイル・デバイス用
ユーザー・インタフェースやソフトウェア・
プラットフォームをSymbian OSと統合し、
その成果をオープンソース・ソフトウェアと
して提供していく方針だ。
発表によると、AndroidやLiMOと対等
な立場で競うため、Symbian OS自体も
オープンソース化され、その一部がSym
bian Foundation設立時に公開される予
定となっている。Symbianベースの共通
モバイル・プラットフォームの最初のバー
ジョンは、2010年前半にリリースされる
見通しとしている。
ちなみに、アナリストらにとってNokia
のSymbian買収のニュースは予測の範囲
内だったようだ。英国の調査会社CSS
ノキア、Symbianベースの共通モバイル・プラットフォームをNTTドコモらと共同開発へシンビアンはノキアの支配下へ。非営利団体の設立で開発成果をオープンソースで提供
「地に足のついた革新で、堅実な成長を目指す」──マイクロソフトの樋口氏、今後3年間の経営方針を発表コンシューマー&オンラインを統括する新部門を設立し、「ソフトウェア+サービス戦略」を強化
マイクロソフトは7月1日、2009年度か
ら2011年度までの中期経営方針を発表し
た。今年4月1日に同社代表執行役社長に
就任した樋口泰行氏(前代表執行役兼
COO)にとって、同日から始まった2009
年度(2008年7月~2009年6月末)は、社
長就任後初めての会計年度となる。
会見冒頭、樋口氏は今後3年間の抱負
として、「“地に足のついた”革新を行いたい。
これまで地に足がついていなかったという
わけではないが、ITを巡るさまざまな環境
の変化を踏まえ、より顧客が望む価値を
追求したい。単に新製品を出すだけで売れ
る時代ではない」と語り、顧客/パートナー
との連携を強化する姿勢を示した。
また、SaaS(Software as a Service)
やクラウド・コンピューティングといった、
オンライン・サービスへのニーズの高まり
を受け、マイクロソフトの従来の基幹事業
であるソフトウェア・ビジネスと、オンライ
ン・サービス事業とを組み合わせた「ソフト
ウェア+サービス」戦略を推進することもあ
らためて表明した。
樋口氏はコンシューマー市場について、
「これからはPCだけでなく、モバイル機器
や家電とインターネットの連携も重要」だ
としたうえで、コンシューマー&オンライン
事業部を新設し、インターネット上のサー
ビスを各種デバイスから利用するための基
盤整備に本格的に乗り出すことも明らかに
した。
もう1つ樋口氏が強調したのは、営業力
の強化である。同氏は、「マイクロソフトの
場合、これまでは多大な営業努力なしでも、
NEW
SNE
WS
共通プラットフォームはSymbian OSがベースとなり、S60、UIQ、MOAP(S)の各種機能が追加される(Sym bian Foundationの資料より)
Insightのアナリスト、ジェフ・ブラバー
(Geoff Blaber)氏は、「NokiaがSymbian
に対して支払ったライセンス費用は、昨年
だけで2億5,000万ドルに上る。他の株主
への報酬となるこの費用を払い続けるより
も、4億1,000万ドルでSymbianを丸ごと
買収したほうが、経営上は得策だ」と語っ
ている。 (IDG News Service)
「社内外の連携を強め、顧客から『最短距離』でのビジネス遂行を目指す」と語る、マイクロソフト代表執行役社長の樋口泰行氏
ある程度製品が売れていた。しかし、この
先競争はますます激しくなることが予想さ
れる。こうした競争を生き残るには、会社
全体の営業力を強化する必要がある」とし、
「“売るための底力”を持つ」と抱負を述べ
た。 (Windows Server World)
J u n e , 2 0 0 8
September 2008 Computerworld 21
PROD
UCTS
PROD
UCTS
シトリックス・システムズ・ジャパンと日
立製作所は7月3日、アプリケーション仮
想化ソフトウェア「Citrix XenApp(旧称:
Citrix Presentation Server/Meta
Frame)」を利用する際の本人認証として、
指静脈による認証を実現するシステムを開
発したと発表した。同システムは、「指静脈
認証連携支援サービス」として7月11日から
販売が開始されている。
同システムは、シトリックスのXenAppと、
日立の指静脈認証技術を活用した小型・
非接 触の「日立指静脈認証装置(PC-
KCA100)」、サーバ上で指静脈データを
暗号化し管理する「指静脈認証管理システ
ム」を連携させたもの。指静脈を利用する
ため、ID/パスワードの盗難・流出による
なりすましを防ぎ、より確実な本人認証を
実現するという。
利用の際には、指を装置にかざすだけの
簡単な操作で認証できるため、複雑で定
期的な変更が必要なパスワードを覚えて入
力する手間を省くことができる。これにより、
セキュリティの強化と併せて、利便性の向
上にもつながるとしている。
同システムの販売は日立が手がける。価
格は個別見積もりで、出荷開始は10月1日
から。日立では、今後3年間で関連システ
ムを含め、売上高50億円の販売目標を掲
げている。
なお、指静脈認証は、体内にある指の
静脈パターンを認証に利用する、日立が開
発した生体認証技術である。指静脈は体
内にある情報であるため、本人以外による
なりすましや偽造がきわめて困難であると
シトリックスと日立、仮想化環境用の指静脈認証システムを共同で開発XenAppに対応。セキュリティ強化だけでなく認証時の利便性も向上
日本IBMは7月2日、企業向けソフトウェ
ア2製品を発表した。1つは非開発者向け
マッシュアップ環境「IBM Mashup Center
V1.0」の日本語対応版、もう1つはポータ
ル構築ソフト「IBM WebSphere Portal
6.1」で、いずれも同日から出荷を開始して
いる。
Mashup Centerを構成するのは、「IBM
InfoSphere MashupHub V1.0」と「IBM
Lotus Mashups V1.0」の2製品。前者を
使ってデータ・ソースを部品化し、それを
後者で連携させるというのが、Mashup
CenterによるWebアプリケーション構築
の基本スタイルとなる。
InfoSphere MashupHubを使えば、デー
タ・ソースをXML形式のフィードに変換し
て部品化することができる。基幹RDBや
日本IBM、非開発者向けマッシュアップ環境「IBM Mashup Center V1.0」の日本語版をリリース
ポータル構築ソフト「WebSphere Portal」もWeb 2.0機能を強化
Excel/Access形式のデータの部品化に
も対応しており、部品化したデータを
REST形式に変換すれば、XML Webサー
ビスとして提供することも可能だ。
部品化したデータ・ソースはLotus Mas
hupsに取り込み、他の部品と連携させれ
ばよい。部品の取り込みはドラッグ&ドロッ
プで済み、組み合わせ方も柔軟に変更で
きる。
Mashup Centerの価格は37
万1,800円/20ユーザー、もしく
は629万2,000円/100VU(VU:
機種別サーバ単位)となる。
一方、WebSphere Portal 6.1
のほうは、XMLタグやAjaxのサ
ポートなどWeb 2.0機能を強化
し、ポータル環境におけるユー
ザーの生産性向上を図った。また、コンテ
ンツの重要度に応じたセキュリティ強化
や、ポータル作成を支援するデザイン・テ
ンプレートの導入などを行っている。
WebSphere Portal 6.1の価格は100
VU当たり757万9,000円。IBMのビジネス・
パートナー経由で販売される。
(Computerworld)
いう。日立の指静脈認証では、指に光を
透過させて静脈画像を撮影する透過光方
式を採用しており、形状が複雑な細かい静
脈まで読み取りが可能で、センサー部分に
直接触れることなく、高い認証精度を発揮
できるとしている。 (Computerworld)
InfoSphere MashupHub(英語版)の部品一覧画面
日立指静脈認証装置(PC-KCA100)
Computerworld September 200822
国産ERPベンダーのクレオは6月20日、
同社の中堅企業向けERP製品「ZeeM」シ
リーズにおいて、SaaSモデルやSMB(小・
中規模企業)向けパッケージ製品など5つ
の製品/サービスを追加すると発表した。
7月からの順次提供開始となる。
発表されたのは、パッケージ製品である
「決算開示短縮パック」「パートアルバイト
マネージメントパック」「スリムパック」の3
製品と、「SaaS販売モデル」「アウトソーシ
ングサービス」という2つの新サービスだ。
決算開示短縮パックは、ZeeM会計で
処理した決算データを他社製決算開示書
類作成システムと連動させて、金融庁や
証券取引所とのスムーズなデータ連携を
実現する。また、パートアルバイトマネー
ジメントパックは、パート/アルバイトを
クレオ、中堅向けERP「ZeeM」シリーズにSMBパッケージやSaaSモデルを追加
「決算開示短縮パック」や「SaaS販売モデル」などを順次提供開始
多く採用している業種向けに、ZeeM人事
給与の就業管理機能やシフト管理機能な
どを特に強化したものだ。スリムパックは、
ZeeMの機能を絞り、SMB向けに低価格
化を図ったり、導入を容易にしたりした点
が特徴となる。
一方、SaaS販売モデルは、ZeeMシリー
ズをWebサービスとして提供するもの。ま
ずは小規模企業をターゲットに提供を開始
し、段階的に中堅・大規模企業向けとして
サービスを拡張していく考えだ。アウトソー
シングサービスでは、ZeeM製品のほかに
顧客のインフラをまるごと預かり、OS/
データベース/ZeeM製品などのパッチ適
用やシステム・メンテナンスなどをすべて
代行する。クレオは、こうした一連の新製
品/サービスによる売上げとして、年間10
億円以上を目標に掲げている。
同社の代表取締役社長、土屋淳一氏は、
「現在、日本のSIerは転換期にある。いま
だ受託開発が中心である日本においてパッ
ケージ製品は大きく伸びる余地があり、当
社としては今後、ZeeMを核としたパッケー
ジ・ビジネスに注力していく」と強調した。
(Computerworld)
NEW
SPR
ODUC
TS
米国の株式市場では、AppleやGoogle
などこれまで好調を維持してきたIT関連企
業が6月に入って軒並み株価を下げてお
り、景気後退懸念の高まりと相まって投資
家の間で不透明感が増している。
IT関連企業が多く上場しているNASDAQ
の6月30日の株価総合指数は2292で、
今年1月の取引初日に記録した2609から
大幅にダウンした。IT関連企業の今年の
業績はおおむね好調であり、なかには売上
高と利益の両面で過去最高を記録した企
業もあった。しかし、エネルギー価格の高
騰や消費支出の減少などから、IT業界の
投資家たちは不安を募らせている。
今年1月には、景気後退への不安から
NASDAQの株価が急落した。その後、
AppleやGoogle、IBMなどが相次いで好
主要IT企業の株価が軒並み下落──1930年以来、最悪の6月に投資家たちは7月末に発表される第2四半期決算に期待
調な第1四半期決算を発表したことで、ベ
ンダー各社の株価は3月を底に上昇へ転じ
ると思われていた。しかし、原油価格の高
騰に歯止めがかからないうえにインフレ懸
念も強まったことで、投資家たちの期待は
裏切られた。これらの懸念は過去数週間
でいっそう強まり、株式市場にとっては
1930年以来、最悪の6月となった。
米国Sanford C. Bernsteinによると、
昨年におけるApple、Google、Amazon.
com、Research In Motion(RIM)の株価
上昇率は、NASDAQ全体の株価上昇に
大きく影響を与えていたという。しかし今
年は、これら4社のうち、株価が上昇して
いるのはRIMだけである。
しかし、IT業界の力強さを示すニュース
が毎週のように報道されていることも事実
だ。例えば、世界半導体市場における5月
のIC売上高が7.5%伸びたと発表され、景
気後退で同市場にブレーキがかかるという
事前予測を打ち破った。また、調査会社
451Groupによると、今年第2四半期にオー
プンソース分野へ投じられたベンチャー・
キャピタルの資金は、前年同期比14%増
の1億1,550万ドルになったという。
IT業界では、こうした明るいニュースに
勇気づけられる企業も少なくないだろう。
なぜなら、テレコムを除くIT関連の株価は、
昨年5.2%下がっているからだ。
7月末になれば、各社から第2四半期決
算が発表される。投資家たちは、第2四半
期の結果を見て、マクロ経済に対する懸
念が現実のものとなるかどうかを見極めよ
うとするはずだ。 (IDG News Service)
クレオの代表取締役社長、土屋淳一氏
J u n e , 2 0 0 8
September 2008 Computerworld 23
米国の市場調査会社AMR Research
が6月に発表した「2007~2012年:顧客
管理の市場規模に関するリポート」による
と、昨今、CRM(Customer Relationship
Management:顧客関係管理)ソフトウェ
ア市場はさながらドットコム・バブル時代
の再来のような活況を呈している。
このリポートを執筆したAMRのアナリス
ト、ロブ・ボイス(Rob Bois)氏らは、CRM
市場は1998年から2000年初めにかけて
のドットコム・ブーム以来、久しぶりに10
ケタ成長に戻ったと指摘している。
「CEM(Cu s t o m e r E x p e r i e n c e
Management:顧客経験管理)の再評価
や説明責任の強化、ベンダー各社による
多額の開発投資に後押しされ、CRMは再
び息を吹き返した」と、このリポートには記
されている。
同リポートによると、世界全体のCRM
製品の市場規模(総売上高)は2007年に
140億ドルを突破し、対前年比12%増の
「驚異的な」成長率を達成したという。
「CRM市場がまだ超高度成長期にあった
2000年以降では最も高い伸び率だ。
2007年の成長率は、過去数年間にわたり
成長を抑制してきた業界再編が実を結ん
だ年でもあり、CRMソフトウェア市場が新
たな成熟期に入ったことを示唆している」と
アナリストは分析する。
AMR Researchが算出した、2007年
の全世界CRM製品市場の上位ベンダー
10社は表のとおりだ。同社によると、上位
20社の平均成長率は28%と、この業界の
平均成長率12%を大きく上回っているとい
う。 (Computerworld米国版)
今のCRM市場はドットコム・バブルの再来?──対前年比12%増の急成長2007年の売上高ベスト3はSAP、オラクル、セールスフォース・ドットコム
RESE
ARCH
バーチャル・リアリティ(VR)技術の産業
応用がテーマのコンファレンス/展示会
「産業用バーチャルリアリティ展」が、6月
25日から27日までの3日間、東京ビッグサ
イトで開催された。16回目となる今年は
1,470社が出展し、3D/立体視ディスプ
レイ、モーション・キャプチャなど最先端
のVR技術/製品が展示され、にぎわいを
見せた。
基調講演には、日産自動車の常務執行
役員でチーフクリエイティブオフィサーの
中村史郎氏が登壇し、同社の自動車デザ
インの現場でのVR活用事例が紹介された。
中村氏によると、日産のデジタル・プロセ
スは「V-3P」と呼ばれ(3つのPはプロダクト、
プロセス、プログラム)、これらを同時に進
めていくことで製品の価値を上げていくの
がねらいだという。
「従来のプロセスでは生産車を作るまで
に、少なくとも3回は試作車を作らなけれ
ばならないが、V-3Pの下では、自動車の
すべての構成要素を早い時期に完成させ
なければならず、そこでVRシミュレーショ
ンが大いに活用される。その結果、試作
車を作る回数は基本的に1回ないしは2回
と、効率化が実現されている」(中村氏)
こうしたデータ・プロセス、すなわち「デー
タ衝しょう
のデザイン開発」の考え方はメーカー
各社によって少しずつ異なる。常に最高の
品質を目指し、高品質な製品をいかに早く
顧客のニーズに合わせて作ることができる
かが日産の戦略だとして、中村氏は以下の
ように語った。
「時間短縮は単に工数を削減し、モノを
少なく作ってコストを削減するだけでなく、
品質向上にも役立つ。当社は2012年に向
けて60台の新車開発を目指している。そ
のうちの3分の1は従来にないタイプの製品
であり、その意味でも、VRを活用してデ
ザインの品質をさらに高めることが大きな
課題と考えている」 (日髙俊明)
産業用バーチャルリアリティ展で示されたVRの「今」日産幹部、VRを駆使した自動車デザインの現場を語る
EVEN
T REP
ORT
上位10社 2007年CRM売上高/2006年比成長率1 SAP 27億ドル/20%2 Oracle 19億ドル/39%3 Salesforce.com 7億4,900万ドル/51%4 Cegidim Dendrite 6億200万ドル/82%5 Amdocs 5億2,200万ドル/14%6 Aspect 4億8,000万ドル/-2%7 Verint Witness Actionable Solutions 3億9,500万ドル/78%8 Microsoft 3億6,000万ドル/39%9 SAS Institute 3億2,300万ドル/34%10 Avaya 2億6,700万ドル/2%
2007年世界市場のCRMベンダー上位10社
*資料:米国AMR Research
日産自動車 常務執行役員 チーフクリエイティブオフィサーの中村史郎氏
Computerworld September 200850
September 2008 Computerworld 51
システム統合「統合されたビジネス」の確かな運用のために特集
[今日的課題と手法]M&A(企業合併・買収)や企業間提携、事業再編など、経営環境の変化に伴う組織統合が発生する機会は以前よりも大幅に増している。その際、IT/IS部門は自社ITインフラ/システムの統合・再編という、経営の根幹にかかわるビッグ・プロジェクトを担うことになる。また、組織統合以外にも、年数が経過したシステムの刷新や運用コストの削減、ビジネス即応性の向上などを目的に、システムやアプリケーションを統合する必要に迫られるといったことは、どの企業のIT部門においても一度は経験があるだろう。本特集では、「統合・再編されたビジネスや組織を確実に運用するための基盤」という観点から、システム統合における昨今の背景、プロジェクトの進め方、技術的手法の種類などを整理し、解説する。
Computerworld September 200852
特集 システム統合[今日的課題と手法]
施、その過程で今後のキーポイントが「サーバ集約」「ス
トレージ統合」「リソースのオンデマンド活用」「Linux
採用」にあるとの結論に至ったという。
プロジェクトの検討当初、LinuxというOSプラット
フォームには、コスト削減やベンダー非依存の実現、
既存アプリケーションの継続採用、スキル蓄積といっ
た期待はできるものの、はたして銀行システムとして
のロバスト性(頑健さ、堅牢性)要求に応えられるのか、
また特定のベンダーによる一貫したサポートが得られ
ないのではないか、といった不安も数多くあったという。
カーネル2.6の成熟を機にLinuxの採用を決断
同行は最終的に、Linuxのカーネル2.6が実用化さ
れた段階で、システム更改時に採用を検討するOSの
候補にLinuxを加えることにした。加藤氏は、「カーネ
ル2.4は、ミッション・クリティカルな用途には採用で
きないとの判断があり、2.6が実用化された段階で検
討を開始した」と当時を振り返る。
国内3大メガバンクの1つとして知られるみずほ銀
行が、Linux搭載メインフレームを中心とする基幹系
システム統合プロジェクトを完遂したのは2007年8月
のこと。同行は2005年から足かけ4年にわたって、
100台を超えるサーバ・マシンを2台のLinux搭載メイ
ンフレーム・システムへ移行し、TCO(総所有コスト)
の削減を達成した。しかも、システム統合後、安定し
た稼働を実現しているという。
従来のシステムからLinuxシステムへ移行する際に
注意すべき点とは何か。銀行の基幹システムのような
ハイミッション・クリティカルなシステムの統合を
Linuxで行うというチャレンジを後押しした動機とは
何だったのか。みずほ銀行のIT・システム統括部 次
長、加藤昌彦氏の説明は、旧第一勧銀、旧富士銀、
旧興銀の3行による経営統合でみずほ銀行が誕生し
た2002年までさかのぼる。
みずほ銀行は、これまで3行経営統合に伴うシステ
ム統合を実施してきた。IT部門は実に4年以上の間、
システム統合作業に専念してきたことになる。同行は
こうした取り組みを通じて最新の技術動向調査を実
みずほ銀行/ユナイテッド航空/トランスワークス
企業がシステム統合を行う理由はさまざまだ。M&A(買収・合併)や事業再編といった経営上の理由だけでなく、レガシー・マイグレーションやアプリケーション改善などIT/IS部門側の事情もある。本パートでは、M&Aに合わせて基幹系をLinux搭載メインフレームに統合したみずほ銀行、老朽化がシステム刷新の最大の理由だったユナイテッド航空、経営上の意思決定を迅速化するためデータ統合ポータルを構築したトランスワークスの3社を例に、システム統合・再編の“実際”を紹介する。
先進事例に見るシステム統合の実際
Part
1
CASE STUDY 1
Linux搭載メインフレームで基幹系システムを統合 みずほ銀行
後藤大地
September 2008 Computerworld 53
P a r t 1│先 進 事 例 に 見 る シス テ ム 統 合 の 実 際
そして同行は、システム更改時にベンダーや開発
パートナーへTCO削減案を依頼し、合計12の提案を
検討した結果、日本IBMによるチャネル系システムの
サーバ統合プロジェクトの採用に至った。
プロジェクトの概要は、インターネット・バンキング、
電話バンキング、マルチペイメント、周辺ゲートウェイ、
マルチメディア・キオスク、ナンバーズ、MICCの7シ
ステムを、Linuxが稼働するIBM製メインフレーム
「IBM System z」(写真1)に統合するというもの。最
終的には、AIXベースの「IBM System p」も織り交ぜ
たシステムとして構築されている。「本来はSystem z
とLinuxで統一したかったが、必要なアプリケーショ
ンがLinuxに対応していなかったため、AIXも併用す
ることになった」(加藤氏)
Linux採用を成功させ、今後は仮想化の積極活用へ
一般に、システムの統合は低リスクのシステムから
順次、作業が実施されることになる。簡単なところか
ら統合を進めて、その経験を生かしながら次の統合
に取り組むことでリスクを軽減するねらいがある。
みずほ銀行のプロジェクトは、ほとんど当初の予定
どおり進んだが、「プロジェクトというものは、どんな
規模でもなかなかうまくはいかないもの」と加藤氏が
語ったように、同行でも大きく2つの問題が発生した
という。それは、Linux用クラスタリング・ソフトが思っ
たように動作しなかったことと、AIXとLinuxの仕様
差異による移植の問題だ。
加藤氏によると、Linuxのドキュメントには細かい
仕様の記載がないため、同行では最終的に、実機調
査を実施して事細かに「Linux移植ガイド」として整備
し、1つ1つ問題をつぶしていったという。調査の成果
物は、ライブラリ関数の扱い方の違いや早見表といっ
た形で整備され、同行のスキルとして今も活用されて
いるようだ。
結果的に、2年間にわたる大規模なシステム統合・
更改プロジェクトは約70億円、3,000人月工数をかけ
て完了し、2007年8月からサービスインしている。刷
新されたシステムは安定して稼働しており、ハードウェ
ア系の障害は皆無ということだ。
システムの統合を実現したことで、CO2排出量の
48%を削減し、消費電力・空調・スペースでは51%の
削減が実現されている。今後は、この経験やスキル・
人材を活用し、他のシステムについても部分最適化
から全体最適化を推進していくという。その際のキー
ポイントはLinux、そして仮想化技術だ。
加藤氏は、「UNIXからLinuxへの移植や、Win
dowsからLinuxへの移植に際してのガイドなど、実際
の開発に必要になるインフラ環境を充実させてほし
い」と、ベンダーへの要望を述べた。また、「Linuxは
まだ、UNIXと比べると若干劣る部分もあり、今後そ
の辺りの取り組みが重要になってくると思う」として、
エンタープライズ・プラットフォームとしてのLinuxの
今後の進展に期待感を示した。
みずほ銀行の事例は、大手銀行レベルの業務に耐
えうるシステムに現在のLinuxは十分対応できること、
仮想化技術を活用することでハードウェアへの投資を
抑え、グリーンITにも貢献できることなどを示すもの
となった。プロジェクトの規模からしても、得られた
成果から見ても、多くのユーザー企業のリファレンス
となる事例と言えるだろう。
写真1:みずほ銀行の大規模システム統合で選ばれた、IBMのLinux搭載メインフレーム「System z」(写真は最新機種のIBM System z10 Enterprise Class)
Computerworld September 200854
特集 システム統合[今日的課題と手法]
CASE STUDY 2
大規模システム統合を支える“人間中心”のプロジェクト管理 United Airlines
Esther Schindler/CIO米国版
当社は心臓移植の真っ最中――。自身が担当する
「Horizon Project(ホライゾン計画)」をこう表現する
のは、米国United Airlinesのビジネス・プログラム・
マネジャー、シャーマ・パテル(Shama Patel)氏だ。
同氏は多くのメンバー、そしてドイツのLufthansaと
ともに、SOA(サービス指向アーキテクチャ)ベースの
業務刷新プロジェクトに取り組んでいる。
ホライゾン計画のゴールは、Unitedの予約システム、
在庫管理システム、乗客のチェックイン(搭乗手続き)
システムのすべてを同時に刷新することにある。新シ
ステムのビジネス・プロセスはSOAの下でサービス化
される予定だ。
ホライゾン計画は、Unitedの既存システムがとうに
更新時期を迎えていることが背景にある。このシステ
ムは、一応は見栄えのよいGUIに覆われているが、
中身は40年も前に開発されたモノクロ・ディスプレイ
時代の代物だ。化石のようなこのシステムを昨今の
ニーズに対応させようとしても、もう拡張のしようが
ないし、他システムと連携させたくてもつなげられない。
そう考えたPatel氏は同システムに見切りをつけ、ホ
ライゾン計画を立ち上げたのである。
かつては旅行代理店(例えば米国の旅行サイト
「Travelocity」)でも相互接続性のない独自のシステ
ムが稼働していたが、今は相互接続が不可欠である。
理由は簡単で、顧客が最新の技術を望むからだ。
BlackBerryを使ったチェックインは、その一例にす
ぎない。
LufthansaとUnitedが目指すのは、簡単に言えば
両社が共通して利用するソフトウェア・プラットフォー
ムである。これは、ゆくゆくは国際的な航空会社ネッ
トワーク「スターアライアンス(Star Alliance)」の加盟
各社でも利用されることになっている。
Patel氏にとって、同プラットフォームに採用され
ているテクノロジーを事細かに紹介するのはさほど難
しいことではなかったはずだ。にもかかわらず、IT部
門のリーダー諸氏に向けたプレゼンテーションで同氏
が力説したのは、テクノロジーではなくプロジェクト管
理の重要性だった。
予約システムのバックエンドから着手
ホライゾン計画の規模は壮大だ。運用が開始され
れば、2万人の従業員が利用することになる。拠点数
は350カ所。新システムへの移行完了までに3~4年を
要し、社内の20部門がかかわる見込みだ。さらには、
当然のことながら移行期間中も旅行者を通常どおり飛
行機に搭乗させる必要がある。
プロジェクト・メンバーがまず取り組んだのは、予
約システムを構成する主要な3つのバックエンド機能、
すなわち販売、計画、出発便管理だった。Patel氏
によれば、おそらくどの航空会社でもこれらは重要度
が高いという。なぜなら、「予約システムは旅行の全
行程にわたってお客様をサポートする」からである。た
だし、何から着手するかということと、プロジェクトを
どう展開するかは別の話だと、Patel氏は強調する。
バックエンド機能の開発に取り組んでみると、従来
のフロントエンドとの間で情報をやり取りできないこと
が判明し、フロントエンド・システムもリプレースしな
ければならなくなったという。そこで、新システムのアー
キテクチャには、フロントエンドとバックエンドをつな
ぐ抽象化層(アブストラクション・レイヤ)が用意される
ことになった。その結果、ホライゾン計画は予想を上
回る規模に膨れ上がり、さらにホライゾン計画と統合
される空港係員向けポータル・システムにも影響を与
えている。
ちなみに、この空港係員向けポータル・システムも
モノクロ・ディスプレイ時代の古くさいもので、暗号の
ようなCLI(コマンド・ライン・インタフェース)を使って
ホストにアクセスする。空港のカウンターで搭乗便の
変更を申し出ると、搭乗ゲート係員がカチャカチャと
キーをたたく、あの端末のことだ。
September 2008 Computerworld 55
P a r t 1│先 進 事 例 に 見 る シス テ ム 統 合 の 実 際
こうした古いシステムには、技術的な要因とは別の
問題もある。従業員の年齢が下がるほど、旧式である
がゆえに、その操作を受け付けにくくなるのだ。ゲー
ト係員の離職率が50%に達している理由の1つは旧式
のシステムにあると言っても過言ではない。
「当社には心臓移植に加えて美容整形も必要だっ
た。それも同時にね」(Patel氏)
大規模プロジェクトに不可欠な「人」のマネジメント
大規模プロジェクトを成功に導く唯一の方法は、
技術面から検討を加える前に「人」と「業務」について
十分に把握することだと、Patel氏はアドバイスする。
「関係者が『情緒曲線』をうまく乗り切ることを支援す
るうえで必要不可欠なのは、変化の適切な管理だ」
加えて同氏は、長期のITプロジェクトには必ず以
下の4つのフェーズがあることを認識しなければならな
いと説く。
「気づく」 プロジェクトの存在を知った関係者は高揚し、期
待に胸を膨らませる。しかし、彼らはプロジェクトの
対象範囲や予算についてはっきりと理解しているわけ
ではなく、それゆえうわさが先行する。
ここで注意しなければならないのは、このうわさの
影響を受ける人たちがいるという点だ。あなたがプロ
ジェクトの内部の人間なら日々の変化に気づいて対処
できるが、外部にいるあなたの同僚も同様に対処でき
るとはかぎらない。そうした人たちのプロジェクトへの
感じ方に敏感であるべきだと、Patel氏は忠告する。
「理解する」 Patel氏によれば、大規模プロジェクトの場合、こ
のフェーズに2年ほどかかる。2年もあれば、自分が担
当する仕事の範囲が何となくわかってくるし、おぼろ
げに考えていたときよりもプロジェクトが複雑であるこ
とを実感するようになる。「『うそだろ!』と叫びたくなる
瞬間が山ほどある」(Patel氏)
「受け入れる」 このフェーズは、「理解する」フェーズのあとにしか
訪れない。ここで初めて、プロジェクトに参加してい
るメンバー全員が同じ方向に進んでいることを認識で
きる。そして通常は、「同じ船に乗り合わせた以上、
目標を達成しなければ」と考えるようになる。
「没頭する」 あなたがきわめて優秀であったとしても、チームと
しての活動が軌道に乗り始めるのは、プロジェクト開
始からおそらく4~6年後のことだと、Patel氏は語る。
「プロジェクトのメンバーが実際にソフトウェアに手を
触れ、イメージをつかむことができるようになって初
めて、共通の理解が生まれる」と同氏。このフェーズ
まで来ると、自分たちの仕事にどんな変化が生じるか
をわかるようになるわけだ。
Patel氏によると、すべての大規模プロジェクトは
これらのフェーズを順に踏んでいくという。「各フェー
ズで生じるストレスや緊張はある程度緩和できる。そ
れには変化を管理することが必要だ」
IT部門と非IT部門の連携にプラクティスを活用
ホライゾン計画を成功に導くため、プロジェクト・
マネジメントのベスト・プラクティスやテクニックが導
写真2:航空大手の米国United Airlinesは、旧態依然のシステムと決別するべく、ホライゾン計画に着手した
Computerworld September 200856
特集 システム統合[今日的課題と手法]
入された。そのうちのいくつかは、企業組織に関する
ものである。
Unitedが社内に創設した「合同指導部会(Guidance
Coalition)」も、そうしたプラクティスの1つに数えら
れる。これは、業務部門という縦糸とIT部門という
緯糸で構成される単なるマトリックス組織ではないと、
Patel氏は説明する。
合同指導部会はプロジェクト・メンバーが顔を合わ
せるだけの集まりではない。すべての参加メンバーは、
業務上の決断を下すことが求められる。「現実には、
IT部門と業務部門の間には常に見解の相違と不和が
ある。しかし、ホライゾン計画のような大規模プロジェ
クトでは、そうした相違や不和は理由にならない。真
の連帯が不可欠なのだ」(Patel氏)
Unitedは「業務調整マネジャー(business engage
ment manager)」という役職を新設し、ITプロジェク
トと業務部門の恒常的な接点とした。Patel氏によれ
ば、この役職の権限は業務アナリストよりも広範囲に
及ぶ。信望のある業務部門の実務者であり、その部
門のあらゆるレベルを代表し、開発ライフサイクルの
すべての局面で業務部門を代表する唯一の発言者と
して行動する。
この業務調整マネジャーは業務部門の出身者で、
技術畑の専門家ではない。Patel氏が理想とする適
任者は「点と点を結んで全体像を把握できるようにす
るのが得意な人物」だという。
「Lego」を使って予約プロセスを理解
BPM(ビジネス・プロセス管理)を導入すべし、とい
うのもPatel氏のアドバイスだ。ホライゾン計画の場合、
企業レベルのビジネス・プロセス・モデルとテクニック
を、職務横断型の有力な状況把握手段としていつで
も使えるようにしている。「当社が構築を進めているシ
ステムは20もの部門に影響を及ぼす。そのため、職
務横断的に情報を取得できるBPMモデルが不可欠な
のだ」(Patel氏)
また、システム設計をまちがいのないものにするテ
クニックとして、フレームワークにリスク管理の観点
を織り込むことをPatel氏は提案する。これは、いく
つかのシナリオを想定し、各シナリオの影響の大小や
発生確率の大小を特定するというもの。この作業は
長期のプロジェクトでは非常に重要である。
「備えがあれば驚かずに済む。これに越したことは
ない」とPatel氏。こうした危険要素をグラフやフレー
ムワークの中にチャート化するのは格好の練習問題に
もなるとアドバイスする。
さらに、プロセス・アーキテクチャを理解するのも
重要だ。プロセス・アーキテクチャと言うと難しく聞こ
えるが、要は自分たちがしようとしていることを理解
することだと、Patel氏は説明する。プロセス・アーキ
テクチャを理解すれば、業務部門とIT部門の両方で
ビジネス・プロセスの透明性が高まるのである。
SOAの下でサービスをどのように作り、プロジェク
トの対象範囲に関連した各プロセスをどうマッピング
すべきか。この答えにたどりつく方法を見つけるため、
ホライゾン計画ではブロック玩具「LEGO(レゴ)」を
使ったパーティーが開催された。
パーティーの場で、2~3人のチーム・メンバーで構
成された参加グループは、名前が付けられた複数の
LEGOブロックを渡され、あるシナリオの下で予約シ
ステムを構築するよう指示された。これは、LEGOブ
ロックの1つ1つが予約プロセスに何を追加するのかを
メンバーに学ばせるためだったという。
チームの依存関係も盛り込んだ業務統合ロードマップ
ホライゾン計画の業務統合ロードマップは、ソフト
ウェアのサブプロジェクト群の階層とその依存関係を
示しており、一見すると典型的なプロジェクト・マネジ
メントのようにとれる。しかし、統合ロードマップは業
務部門寄りのスタイルで提示されている。同ロードマッ
プの目的が、IT技術者ではなく実務者との意思の疎
通を図ることにあるからだ。
また、このロードマップはIT関係だけにかぎらず、
業務部門のすべての実務者チームの依存関係も反映
September 2008 Computerworld 57
P a r t 1│先 進 事 例 に 見 る シス テ ム 統 合 の 実 際
している。コールセンターが移転したり、労使交渉の
成り行きでソフトウェアの本稼働スケジュールに影響
が出たりすることをあらかじめ見込んでいるからだ。
どの移行作業が、いつ発生するのかを明らかにするこ
とが重要なのである。
Patel氏は最後に、プロジェクトの各フェーズでど
のような成果が上がったのかを必ず数値化するようア
ドバイスを送った。「プロジェクトの価値を数値化し、
必ず経営陣に明示するべきだ。さもないと資金が打ち
切られることになる」
CASE STUDY 3
複数ソースのデータ統合で意思決定支援システムを刷新TransWorks Information Services
Balaji Narasimhan/CIOインド版
山と積まれたファイル、1,000種類の業務、いくつ
ものシステム、おまけに100万件のリポート──。これ
らがどれくらいの量なのか、想像してみていただきた
い。幹部社員用の個室に閉じこもり、あらゆる部門か
ら送られてくる、「重要」のスタンプが押されたすべて
のリポートに目を通して的確な指示を出す。こう聞い
ただけでも、大変な仕事に思えてくるはずだ。
こうした「情報の洪水」に率先して身を投じようと思う
社員などいないだろう。しかし、インドのTransWorks
Information Services(注1)でアジア担当のCIOを務
めるN. ガジャパシー(N. Gajapathy)氏は、自分がそ
の立場に就くべきだと悟った。
インドに本拠を置く多角経営企業(コングロマリッ
ト)、Aditya Birla Nuvo(旧Indian Rayon)の100%
子会社であるTransWorksは、BPO(ビジネス・プロ
セス・アウトソーシング)のプロバイダーである。同社は、
顧客からの問い合わせ受付、技術サポート、電子メー
ルやWebベースのチャットによるサポート、テレマー
ケティングなどのCRMサービスのほか、統合マーケ
ティング・サービス、データ/トランザクション・プロ
セッシングなどのKPO(Knowledge Process Out
sourcing)サービスも提供している。
TransWorksは現在、インド、米国、英国、カナダ、
ドイツ、ハンガリー、フィリピンなど世界33カ所に拠
点を置き、自動車メーカー、金融サービス、ハイテク
関連、通信事業者などの「Global 1000」企業を顧客
に持つ。
こうした事業規模と業務の多様さから、Trans
Worksの社内では多数のシステムが稼働していた。
同社アジア担当のGajapathy氏にとって、その複雑さ
は想像を超えていたのである。
システムごとに“孤立”した経営/戦略リポート
Gajapathy氏が担当したのは、幹部向けに経営/
戦略情報をリポートの形で提供する意思決定支援シ
ステムだ。ところが、情報ソース間の連携に問題があっ
たことから、従来は情報を的確に経営陣に提供する
ことが難しかった。
「それぞれのシステムには固有のリポート作成機能
があり、これらのリポートを読むには複数のダッシュ
ボードにアクセスしなければならなかった。これでは
当然ながら業務横断的な分析などありえない。現に多
くの経営幹部がこのプロセスを使いにくいと感じ、リ
ポートの信頼性と正確さに確信を持てなくなってい
た」(Gajapathy氏)
TransWorksの業務システムは多岐にわたるが、
従来はそれらが緊密に連携することは皆無に等し
かった。ソースの中から断片的な要素を集め、意味
のあるタイムリーな分析データに加工して幹部に提供
するといった仕組みも用意されていなかったのである。
リポート対象となる事業活動の範囲の広さも、事態
を複雑にしていた。当然ながら、幅広い事業活動か
ら生じるデータの量も膨大だった。「早急に意思決定
支援システムに手を入れる必要があることは、だれの
目からも明らかだったのだ」(Gajapathy氏)
注1:TransWorksは2007年11月、Minacs(カナダ)の買収完了に合わせて、社名を「Aditya Birla Minacs Worldwide Limited」に変更した
Computerworld September 200858
特集 システム統合[今日的課題と手法]
専用ポータル「Cube」の構築に着手
この難題を克服するには、TransWorksの全シス
テムが出力するデータを1つに統合しなければならな
い。そう考えたGajapathy氏は、すべての経営情報
を単一のプラットフォームで提供する専用ポータルの
構築に着手した。このプラットフォームは、のちに
「キューブ(Cube:立方体)」と呼ばれるようになる(図1)。 Cubeのアーキテクチャを決定する際にGajapathy
氏が重視したのは、パフォーマンスの高さに加えてア
クセスがしやすいことだった。そのため、CubeのOS
には64ビット版Windows Server 2003を、フロント
エンドにはセキュリティ機能が統合されたWebベース
のシステムを採用。データベースとのアクセスについ
ては、SQL Server 2005で構築されたETL(Extract,
Transform, and Load)ツールで提供することになっ
た。
Gajapathy氏の説明では、Cubeの導入により、多
様なパラメータに基づく情報表示が可能になったとい
う。業種、取引ルート、問い合わせ経路などを、複
数の事業所にまたがった形で表示できることはその一
例だ。またETLツールを使えば、多様な事業部門か
らの情報をつなぎ合わせることも容易である。
Cubeは、すべてのリポートを取引記録のレベルま
で追跡する能力も備えている。「Cubeの核心は、分析
しやすいようにデータを抽出し整える能力にある。詳
細な分析にも対応できるよう、すべての取引記録が
保存されるのだ」(Gajapathy氏)
Cubeが稼働している今では、すべての分析リポー
トを1カ所で参照できるようになった。必要に応じて、
リポートを特定の条件下で選別することもできる。低
評価だった従来のシステムとは異なり、Cubeは経営
幹部の間ですこぶる評判がよい。
使いやすさの追求
Cubeは、Flashを使ったアニメーション・グラフ機
能を備えている。これにより、多様な情報ソースから
のデータを多面的な切り口で表示することができる。
さらに、いくつもの“断面”からデータを参照できる
機能も備わっている。これらは情報の可読性を高め、
迅速な意思決定を後押しすることにつながった。「複
いくつもの情報ソースを単一のプラットフォーム上に引き込むことで、TransWorksはリポーティングを容易にし、経営幹部の意思決定能力を高めた
10種類以上のツールで多様なプロセスをモニタするため、意志決定者はリポートの収集に
時間をかけすぎていた
Cubeのおかげで、データを探す時間は10%で済み、残り90%は意思決定に使えるようになった
[導入前] [導入後]
図1:TransWorksが開発した意思決定支援システム「Cube」の概要
September 2008 Computerworld 59
P a r t 1│先 進 事 例 に 見 る シス テ ム 統 合 の 実 際
数の事業所、業種、代理店を横断的にまたがるトレ
ンド分析も可能になった」(Gajapathy氏)として、こう
した機能は高く評価されている。
Cubeに備わるGUIは.NETベースであり、リポート
表示用のグラフィカル・ダッシュボード機能が追加さ
れている。「いまや現場の管理職たちは、スピードメー
タ、円グラフ、3次元あるいはN次元のテーブルやグ
ラフの形でリポートを見ることができる」とGajapathy
氏は満足げだ。
多くの経営幹部に好意的に受け入れられていると
いう点で、Cubeは従来の意思決定支援システムとは
大きく異なる。従来システムの場合、リポートにうまく
アクセスできないことが多く、アクセスするのを途中で
あきらめる幹部も少なくなかった。
Cubeが経営陣に受け入れられた最大の理由は使
いやすさにあると、Gajapathy氏は見ている。例えば、
以前はリポート作成を手作業で毎回指示しなければ
ならなかったが、Cube導入後はすべて自動化された。
Gajapathy氏は、キャンペーンによる分析作業を例に、
Cubeの使いやすさをこう説明する。
「Cubeの場合、各キャンペーンの詳細データがパー
セント値に変換されるので、複数のキャンペーン効果
を横並びで容易に比較できる。特に対外的なキャン
ペーンのときは、パターンを視覚的に分析し、1日ある
いは1週間のタイム・フレームの中で、キャンペーン効
果が特に高い時間帯を特定できるのだ」
Cubeは経営上の意思決定だけでなく、日常業務に
も役立っている。また、職能横断的なリポートの作成
も容易になった。例えば、スタッフの能力と研修メ
ニューを相関づけるとしよう。Cubeを使えば、スタッ
フの能力評価を数段階に分類し、各スタッフが示し
た能力向上の軌跡を追跡することができる。
こうしたCubeの機能を、Gajapathy氏は自社開発
ゆえの成果だと強調する。「Cubeの開発、設計、実装
を担当したのは、それぞれの分野に精通した当社の
専門家チームだ。彼らは仕事の進め方を完全に理解
している」
Cubeは現在、インド国内にあるTransWorksのす
べての事業所からリンクされ、毎秒150万トランザク
ションという処理能力を維持している。また、インド
国外の事務所(7カ国)もすべてカバーしているという。
次のステップではBIをサポート
Gajapathy氏は、Cubeの導入がもたらしたパラダ
イム・シフトにも満足しているようだ。というのも、
Cube導入前のTransWorksではデータ収集に90%、
意思決定に10%の時間をかけていたが、それが今で
は「情報収集に10%、意思決定に90%」(Gajapathy氏)
というように逆転したのである。このソリューションが
目標達成に役立ち、費用対効果を向上させたと、同
氏は強調する。
Gajapathy氏は、意思決定に使える時間に余裕が
できたことで会社の競争力が高まったと感じている。
「Cubeが備える即応性のあるダッシュボードは、高度
にインタラクティブだ。ダッシュボードは、過去の決
定事項の効果を確認したり、それが今後当社にどん
な影響を及ぼすかを予測したりする際の助けとなる。
実効ある決定を下して変化に即応できれば、当社の
競争力を少なからず高めることができる」(同氏)
そのほか、Cubeでは全トランザクションが保存され
るので、過去に行った操作や変更などを完全に把握
できるようになっている。こうしたログ機能は、コンプ
ライアンスに関するリスクを軽減し、メンテナンスや監
査のコストを下げることに貢献する。
Cube導入が高く評価されたことから、Gajapathy
氏はCubeのさらなる強化を計画中だ。具体的には、
Cubeによって社内データの安全性や精度、品質が向
上したことを受け、次のステップでBI(ビジネス・イン
テリジェンス)を含めた予測解析のサポートを検討し
ている。それと併せて、業績予測とデータ・マイニン
グ機能の追加も考えているという。
TransWorksは、複雑なリポーティング・システム
の悪循環から自らを解き放ち、経営・戦略データを統
合化かつポータル化することに成功した。経営幹部
用の個室も、以前のような居心地の悪い場所ではな
くなったのである。
Computerworld September 200860
特集 システム統合[今日的課題と手法]
Systemsは、今年4月初めにサーバ仮想化プラット
フォームの最新版「XenServer 4.1」をリリースした。
市場調査会社の米国Gartnerも4月に発表したリポー
トの中で、仮想化を「2012年までのサーバ市場におけ
る最も重要なトレンド」と位置づけている。
米国Microsoftは、Windows Server 2008に標準
搭載されるハイパーバイザ型のサーバ仮想化ソフト
ウェア「Hyper-V」により、仮想化市場へ本格参入す
る構えだ。今年6月に正式リリースされたHyper-Vは、
InfoWorldテストセンターの評価委員の間でも熱い議
論を巻き起こしている。チーフ・テクノロジストのトム・
イェガー(Tom Yager)氏は今年2月、Hyper-Vを高く
評価したが、ポール・ヴェネザ(Paul Venezia)氏はそ
の2カ月前にテストセンター・プレビューでHyper-Vを
取り上げ、実行時にロックアップが多発するとし、「製
品化までには、まだ長い道のりが必要」と指摘していた。
実際、Hyper-Vは先進的な機能を欠いたまま前倒
しで市場投入された。例えば、VMwareのエンター
プライズ製品に以前から組み込まれていた、稼働中
の仮想マシンを物理サーバ間で移動させる「ライブ・
マイグレーション」機能などは含まれていない。ただ、
Hyper-VはOSの一部として“無料”で提供される。
Microsoftの管理ツールの殿堂に仮想化管理機能が
あまり語られないサーバ仮想化の“真実”
サーバ仮想化は、ハードウェアとソフトウェア(物理
システムとOS)を分離し、単一の物理サーバ上で、異
なるOSを実行する複数の仮想サーバをホストできるよ
うにするものだ。この仕組みは、サーバの統合のみな
らず、幅広いコンピューティング環境に利益をもたら
す。例えば、米国IBMは自社の3,900台のサーバを、
Linuxが稼働する30台の仮想化した「System z9」メイ
ンフレームへ移行することで、電力消費量を最大
80%、金額にして200万ドル以上削減できると期待し
ている。一方、米国NetAppは343台のサーバを仮想
化により177台に統合するとともに、50台のストレージ・
システムを10台の新しいシステムにリプレースした。
実際、現場の最前線では、サーバ仮想化の成功物
語が熱く語られ、ユーザーの期待も日に日に高まって
いる。米国EMCの仮想化製品事業の中核である米国
VMwareは、昨年夏の株式公開で10億ドル近い資金
を 得 た。同 社 の 仮 想 化ソフトウェア「VMware
Infrastructure 3」は、仮想化市場で最も広く認知さ
れている製品だ。また昨年12月にサーバ仮想化ベン
ダーの 米 国XenSourceを 買 収 した 米 国Citrix
システム統合のカギとなるテクノロジーだが、“落とし穴”に注意
乱雑に散らかったデータセンター内のハードウェアを整理し、アプリケーションのワークロード効率化を実現するサーバ仮想化が、システム統合の要の技術として、さまざまなメリットをもたらすことは周知のとおりである。しかし、そうした魅力の影には、あまり語られていない“落とし穴”が隠れている。本パートでは、サーバ仮想化の実情を明らかにしながら、導入時のリスクを回避するためのポイントを探る。
Tom KaneshigeInfoWorld米国版
サーバ仮想化の“不都合な真実”
Part
2
September 2008 Computerworld 61
P a r t 2│サーバ仮 想化の“不 都合な真実 ”
加わることは、多くのWindows導入企業で歓迎され
るだろう。
もっとも、マーケティング上の売り文句はさておき、
サーバ仮想化は基本的にデータセンターのルック&
フィールを大幅に変更するものである。実際のところ、
そうした大きな変更が簡単に行えるかと言えば、答え
は「ノー」だ。以下、サーバ仮想化を導入する前に知っ
ておくべき“真実”を紹介する。
真実その1ハードウェア・コストは大して減らない
サーバ仮想化におけるアイロニーの1つは、多くの
人々が期待するほどすぐにコスト削減効果が現れず、
むしろ当初はコスト増になることさえあるということだ。
というのも、サーバ仮想化は共有ストレージと、米国
Intelや米国AMD製のメモリ・チップを搭載した高性
能かつ高機能な新しいサーバの導入が必要になるか
らである。
そうした最新サーバをすでに導入済みだとしても、
仮想化に取り組むにあたっては、サーバの互換性にま
つわる問題をいくつも乗り越えなければならない。「同
じ(VMware)ESXクラスタにIntelとAMDのプラット
フォームを混在させることはできない」と指摘するのは、
米国Burton Groupのアナリスト、クリス・ウルフ(Chris
Wolf)氏だ。「それらのプラットフォーム間では再起動
せずに仮想マシンを移動することは不可能だ」(同氏)
SAN(Storage Area Networks)でも問題が生じる。
すべてのSANが仮想化環境をサポートしているわけ
ではないからだ。また、既存のネットワーク帯域幅では、
増殖する仮想サーバのニーズに十分対応できないか
もしれない。そうなると、新しいサーバの追加コスト
に加え、スイッチやその他のハードウェアのコスト増
も避けられない。「最悪の場合、それらのアップグレー
ド費用は、旧サーバの廃棄による初期のコスト削減効
果をほとんど相殺してしまう」と、InfoWorldテストセ
ンターのリポーターでコンサルタントのマット・プリッ
ジ(Matt Prigge)氏は指摘する。
サーバ仮想化のトレンドが押し寄せ始めたころ、業
界ウォッチャーたちは、サーバ・ハードウェア市場が
大打撃を受けるだろうと考えた。仮想化すれば、多く
のアプリケーションを少数の、おそらくは既存のサー
バに統合できると考えたからだ。彼らの懸念は必ずし
もまちがってはいなかった。Gartnerの推計によると、
2006年度のx86サーバ市場は仮想化ブームの影響に
より4%縮小した。
しかし、「その後すぐに人々は気づいた。仮想ファー
ムではハードウェアの厳格な標準化が不可欠だった
のだ」と、InfoWorldテストセンターのエグゼクティブ・
エディター、ダグ・ディネリー(Doug Dineley)氏は語る。
その結果、サーバ市場は堅調に推移した。米国IDC
によると、2007年に全世界で出荷されたサーバは800
万台を上回り、前年比6.7%の伸びを見せたという。
ただ、ハードウェアの標準化とサーバの仮想化は、
旧式のサーバをリプレースする形で行われるため、比
較的ゆっくりと進行している。また、一般的にはプリ
ント・サーバなど、非クリティカルな領域から着手し、
電子メールやエンタープライズ向けデータベースなど
に範囲を広げていく。そのため、「サーバの販売台数に
影響が出てくるのは、仮想化が進展する2年後、3年後、
あるいは4年後になるだろう」とIDCのアナリスト、ジョ
ン・ハンフリーズ(John Humphreys)氏は予測している。
真実その2経験豊富な人材を得るのは難しい
InfoWorldのグループ会社である米国IDG Re
search Servicesは昨年、464人のIT担当者を対象に
仮想化に関する取り組みについて調査を実施した。そ
の中で、現在直面している課題について質問したとこ
ろ、回答者の44%がスキル不足とトレーニングの必要
性を挙げ、次にソフトウェアのライセンス問題、パフォー
マンスと拡張性、複雑性の問題などが続いた。
いずれにしろ、最初からすべての課題を解決でき
Computerworld September 200862
特集 システム統合[今日的課題と手法]
るわけではない。現行サーバの週ベースまたは月ベー
スの瞬間最大値を踏まえた負荷を正確に分析するに
は、少なくとも1カ月は必要だろう。どのサーバが仮
想化できるかを判断するのは、そのあとになる。数人
のITスタッフしかいない企業の場合は、キャパシティ・
プランニングのために高い報酬を支払ってコンサルタ
ントを雇う必要があるかもしれない。
また、小規模な企業には、VMwareの複雑な仮想
化ネットワーク・スタックと米国Cisco Systemsのスイッ
チをメッシュ状に相互接続できるSANの専門スタッ
フがいないかもしれない。コンサルタントのPrigge氏は、
「仮想化を実装するにあたっては、ネットワークやサー
バ、ストレージのコンフィギュレーションに関するさま
ざまな問題を解決しなければならない。小さな環境で
仮想化を成功させるためには、熟達したオールラウン
ド・プレーヤーが不可欠だ」と述べている。
大企業の場合でも、仮想化導入は決して容易な作
業ではない。サーバ、ストレージ、事業継続性、セキュ
リティなど、さまざまなチームに分散する多くの人材
をまとめ、プロジェクトを成功させることは至難の業だ。
また、彼らを集めて基礎から仮想化教育を施すことも
重要だ。もし何らかのアプリケーションに問題が生じ
た場合、管理者はサーバ・ファームのどこに仮想マシ
ンが存在するのかを知っておく必要があるからだ。仮
想マシンが稼働するサーバを誤ってリブートしてし
まったら大変なことになる。
真実その3パフォーマンス改善は必ずしも期待どおりにいかない
上述したように、仮想化の導入に向けて多大な努
力を払ったとしても、結果的にパフォーマンスが低下
しただけというケースも少なからず見受けられる。そ
のような中、Burton GroupのWolf氏は、「仮想化ソ
フトウェアのカタログに掲載されているパフォーマンス
のベンチマークは信用できない」と、ベンダー側の問
題を指摘している。
カタログに記載されている仮想マシンのベンチマー
クは、単一の物理ホスト上で実行した単一の仮想マ
シンがたたき出したものだ。しかし、典型的なプロダ
クション環境では、控えめに見ても、1台の物理ホス
トに8ないし12の仮想マシンが実行されている。した
がって、「カタログが示すパフォーマンスを安易に期待
するのは禁物」とWolf氏は警告している。また同氏に
よると、ハイパーバイザのCPUスケジュールに負荷を
与え、パフォーマンスを低下させる「CPUコアのオー
バー・アロケーション」などの度合いも粉飾されている
場合があるという。
メモリもパフォーマンスを左右する要素の1つだ。「マ
ルチスレッド・アプリケーションを仮想化する場合は、
メモリの性能が特に重要となる」とWolf氏。1つのOS
内で、個別のスレッドが継続的にメモリのリフレッシュ
を実行しようとすると、ハイパーバイザのシャドー・ペー
ジ・テーブルがバックアップされ、それによって遅延
が発生する。メモリ依存の大きなアプリケーションの
場合、そうした遅延がアプリケーションの応答性に大
きな影響を及ぼす。場合によっては、接続のタイムア
ウトが多発することさえあるのだ。
「仮想マシン・モニタの負荷を軽減するハードウェア・
アシスト・メモリを採用することも1つの解決策だが、ア
プリケーションによっては、ハードウェア・アシスト・メモ
リによる仮想化が効果的な場合と、シャドー・ページ・テー
ブルが効果的な場合がある」とWolf氏は注意を促す。
仮想マシンのパフォーマンス低下がもたらす悪影響
はきわめて大きい。その対処のためにサーバを追加し、
さらに資金を投じなければならない場合が出てくるだ
ろうし、ビジネス部門からは、彼らが使用するアプリ
ケーションを元のサーバに戻せと要求されるかもしれ
ない。「いったん社内で信頼を失うと、仮想化に再び
着手するまでに、おそらく数年はかかるだろう」と
Wolf氏は語っている。
成功の成果は大きく失敗のダメージも大きい
貧弱なパフォーマンス、スタッフの準備不足、見え
ないコストなどは、サーバ仮想化に取り組むうえで気
September 2008 Computerworld 63
P a r t 2│サーバ仮 想化の“不 都合な真実 ”
をつけるべき“代表的な落とし穴”にすぎない。仮想マ
シンは物理サーバ間で簡単に移動させたり、ポータブ
ル・ハードディスクで持ち運んだりすることができるが、
それらの所在を常に把握するには多大な手間がかか
る。また、セキュリティ・リスクも山積しており、セキュ
リティ・ゾーンの区分けができていないために生じる監
査ミスは、仮想化環境においては頻繁に起きている。
そして、もう1つ忘れてならない落とし穴は、仮想サー
バのスプロール現象だ。仮想化環境では新しいアプリ
ケーションも簡単に立ち上げて実行することができる
ため、「ある仮想化導入企業は、アプリケーションの数
を1,000から1,300に増やしてしまった結果、アプリケー
ションのライセンス・コストだけでなく、管理タスクも増
大してしまった」とIDCのHumphreys氏は指摘する。
同氏は、「仮想化はユーザーのアプリケーション導入意
欲を余計に高めてしまう」と警告している。
もちろん、サーバ仮想化の前にさまざまな落し穴が
待ち受けているからといって、ユーザーの仮想化に対
する過熱ぶりが収まることはない。何と言っても、導
入に成功したあかつきには、計り知れないほどの大き
な利益が得られるからだ。ここまで述べてきたように、
仮想化への取り組みにはさまざまなリスクが伴うこと
を理解し、それらをうまく回避することができれば、
仮想化への旅は楽しく、最後に得られる果実も甘い
ものとなるだろう。テストセンターのDineley氏は言う。
「仮想化に成功したときの成果は非常に大きい。ただ、
もし落し穴に落ちてしまったら、相当な苦難を強いら
れることを覚悟しなければならない」
自社のITインフラに仮想化技術を導入した企業のCIOに、この技術の最大のメリットは何かを尋ねると、ほとんどのCIOがコスト削減効果よりも、システムの俊敏性向上を挙げる。仮想化の活用で、ビジネス部門の要望にすばやく対応できるようになるというのだ。このことは、多くのIT部門にとって大きな進歩だが、実際にビジネス部門のさまざまな要望に対応可能にするには、システムのキャパシティの再整備が必要となる。 米国の調査会社IDCのリサーチ・ディレクター、ステファン・エリオット
(Stephen Elliot)氏は、仮想化を導入したシステムのキャパシティを必要に応じて随時再検討するよう、以下のように提言している。 「IT部門の多くは、キャパシティ・プランニングが1回限りのプロジェクトであるという考え方から出発するが、実際には、仮想化技術の利用が拡大していくなかで随時実施する必要がある。現在、多くのIT部門が初期サービス契約段階でキャパシティ・プランニングの手法を利用しているが、刻 と々変化する需要に対応するための手法とは認識していない。しかし、仮想化技術の基本はアプリケーション・サービスであり、この技術を活用することでITの俊敏性を向上させることが可能であるということが理解されるようになれば、状況も変わるはずだ」(Elliot氏) 仮想化管理ソフトウェア・ベンダー、米国CiRBAの共同設立者でCTO(最高技術責任者)を務めるアンドリュー・ヒラー(Andrew Hiller)氏は、仮想化技術を導入した場合、アプリケーションの変更や物理システムのメモリ・ドレイン、新たなプロセスに起因するセキュリティ上の問題などさまざまなことが起こると指摘する。 CiRBAは、同社が6月17日にリリースした仮想化管理ソフトウェアの新版
「Data Center Intelligence 5.0」を使えば、サーバ構成やビジネス・プロセス、実用性の問題などを考慮しながら、仮想マシンに物理マシンを統合するための方法を詳しく分析することができるとアピールする。また、新版には、チャージバック・プランニングや電力消費量の分析作業を支援する機能も備わって
いるという。これらの機能は、IT部門にとって今後、いっそう重要になると思われる。 D a t a C e n t e r I n t e l l i genceは、物理インフラと仮想インフラの稼働状況を可視化(メモリを多く消費するアプリケーションなどトラブルの原因となりそうな“ホットスポット”を3Dグラフィックスで表示)し、セキュリティ上の理由から専用の物理マシンを確保する必要があると思われるデータベースなどの情報を通知してくれる。また、同ソフトウェアは、主要な仮想化ソフトウェアやサーバ・ハードウェアについての情報を収めたデータベースにアクセスできるようになっている。例えば、特定のシステム設定で「VMware」の稼働するDell製ブレード・サーバと「LDoms」の稼働するSun製サーバを比べたり、「Hyper-V」とVMwareの両仮想化環境の自社での動作状況を比べたりすることができる。 CiRBAのHiller氏は、「仮想マシンの構成や処理能力のトレンドを追跡したり、潜在的なリスク(セキュリティ上の問題など)を特定するだけではなく、データセンターに関する過去の情報を利用して仮想マシンの配置や管理をさらに自動化できるようにしたい」と語っている。 ともあれ、どのような仮想化管理ソフトを導入するにしても、継続的なキャパシティ・プランニングは、IT部門にとっての最優先の課題であり、ビジネス部門の要望にすばやく対応できる体制を整えるための重要なステップと言えるだろう。
Column Laurianne McLaughlin/CIO米国版
仮想化の真のメリットは、コスト削減よりも俊敏性向上メリットを享受するには、継続的なキャパシティ・プランニングが必要
CiRBAの仮 想 化 管理ソフト「Data Center Intelligence 5.0」は、物理インフラと仮想インフラの稼働状況をグラフィカルに表示する機能を備える
Computerworld September 200864
特集 システム統合[今日的課題と手法]
事態発生時に備えたルールの不在、体制整備面の不
十分といった課題が浮き彫りとなった(注2)。
また、2007年は、実にさまざまなシステム障害が発
生した年だった。5月に、JR東日本、NTT東西日本、
全日本空輸において大規模なネットワーク障害が立
て続けに起こり、メディアやIT業界で議論が沸騰し
た。
5月22日に発生したJR東日本のシステム障害は、
JR券申込サービス「えきねっと」において、インターネッ
トからの予約・変更・払い戻しの取り扱い、および、
すでに予約が成立している指定券・乗車券の駅窓口
や指定席券売機などでの受け取りができない状態に
陥ったものである(注3)。
5月23日に、NTT東日本とNTT西日本で発生した
障害は、IP電話サービス「ひかり電話」のNTT東西間
接続装置(中継系呼制御サーバ)の故障発生により、
同電話サービスが東西間で接続できないというもの
だった。原因は、NTT東西間のひかり電話中継網に
情報システムの歴史はシステム障害の歴史
本題に入る前に、まずは、2000年以降に国内で起
きた主なシステム障害の事例を振り返っておきたい。
2002年4月に発生した、みずほフィナンシャルグルー
プにおけるATMシステム障害はメディアに大きく報じ
られたこともあって、まだ記憶に新しい。これは、み
ずほのATMオンライン・システムに障害が発生し、
キャッシュカード取引の一部の取り扱いができなく
なったというもので、それに伴い、現金が未払いにも
かかわらず、通帳に引き落としが記載されるといった
事態に陥った(注1)。 2005年12月から2006年2月にかけては、東京証券
取引所でシステム障害が連続発生して、これも話題
となった。11月1日に発生したシステム・ダウン、12月
8日に発生したみずほ証券誤発注へのシステム対応、
そして、1月18日に発生した約定処理キャパシティ不
足による取引強制停止の3件である。これらのシステ
ム障害における技術的原因として、運用の問題、ア
プリケーション仕様の不備、システム・キャパシティ
計画の見積もり不足などが指摘された。また、マネジ
メントの側面からは、技術による対応の限界や異常
求められるのは「ビジネスとの統合」と「アーキテクチャの統合」
今日、システム統合というテーマを考えるとき、「コンピュータ・システム」の統合という観点からだけでは、さまざまな要因が複合的に絡み合い発生するシステム障害のリスクを減らすことに十分に貢献することができない。求められるのは、「ビジネス・システムとの統合」「異なるアーキテクチャの統合」という観点である。本パートでは、システム統合に起因するシステム障害発生について近年の国内事例と共に考察したあと、ビジネスとの統合/アーキテクチャとの統合を実践するうえで重要な考慮点を解説する。
飯島淳一東京工業大学 大学院社会理工学研究科 経営工学専攻 教授 工学博士経営情報学会 アドバイザリーボード 議長
システム統合の着眼点と考慮点
Part
3
注1:みずほ銀行「今回のシステム障害の発生原因、再発防止策とお客さまからの信頼回復に向けて」(http://www.mizuhobank.co.jp/company/release/2002/news020619.html)
注2:経営情報学会サイト「一連の『東証』の問題に対する見解 」(http://www.jasmin.jp/jp/pr/social/event/20060206/)
注3:えきねっと「5月22日 えきねっとJR券予約システム障害のお詫び」http://jreast.eki-net.com/apology/20070522_shiteiseki.html
September 2008 Computerworld 65
P a r t 3 │シス テ ム 統 合 の 着 眼 点 と 考 慮 点
おける接続装置(中継系呼制御サーバ)のハードディ
スクを交換した際のデータ設定により、ハードディス
クに格納されていた一部のデータが破壊されたためと
されている(注4)。
5月27日未明に発生した全日空のシステム障害は、
予約/チェックイン・システムの障害により、国内便
が多数、欠航・遅延したというもので、原因は、ネッ
トワーク・システム内の国内旅客系ホスト・コンピュー
タと空港設置端末間にある通信機器が故障し、通信
制御コンピュータ内に影響を及ぼしたため、ホスト・
コンピュータと空港設置端末間の通信が滞る状態に
なったとの発表があった(注5)。
そして、この年の7月の参議院議員選挙で、政権
与党が大幅に議席を減らしたが、その原因の1つと
なった社会保険庁の年金記録問題は、広い意味での
システム障害だったと言っても過言ではないだろう。
周知のように、年金記録問題の原因は単に1997年に
行われた基礎年金番号への統合がうまくいかなかっ
たことだけではない。きちんと納めたにもかかわらず
台帳に記録のない事例や、紙台帳にのみ記録があり
コンピュータ管理対象となっていない記録、さらには
コンピュータ管理対象とはなっているが氏名や生年月
日が不明などの欠損データ、基礎年金番号導入後の
記録として誤入力や欠損のあるデータ……こうした
データに関するさまざまなミス、不具合が何重にも重
なって生じた問題だ。これは、単に狭い意味での情
報システムの問題ではなく、年金の取り扱いを任され
た組織・職員としての業務に対する姿勢にまつわる問
題であったと言えよう。
その後もシステム障害は続く。10月12日と18日には、
交通系ICカードの「Suica/PASMO」に対応した自動
改札機、窓口処理機でのシステム障害が発生した。
これは日本信号の製造した機種において、ネガデータ
の読み込みプログラムにバグがあったためであった
(注6)。
このように、情報システムが大規模化、複雑化す
るに伴い、システム障害発生の可能性も高まり、また、
ひとたび障害が発生すると、その影響は社会全体に
及ぶことになる。
障害分析から浮かび上がるシステム統合という作業の性質
前述したようなシステム障害の発生原因は多様で
千差万別であり、共通点を見つけることは難しい。単
純な操作ミスであったり、単なるソフトウェアのバグ
であったりするケースもあるし、プロジェクト・マネジ
メントの失敗によるケースもある。
ただし、「テスト不足」という点は共通点と言えるか
もしれない。一般に、システム障害におけるリスクは、
その生起確率と発生時の影響度の積で定義される。
したがって、定義に倣えば、システム障害が発生する
ことによって大きな影響を与えるものは、小さいもの
に比べ、さまざまな状況を想定したテストの実施に
よって、その生起確率を小さくするための努力を払う
必要がある。しかしながら、テストに莫大な費用をか
けることでシステム障害発生の可能性を下げることは
できるが、それにも限度がある。人間が作るものであ
る以上、情報システムにおけるある程度の障害発生は
避けられないと考えるべきである。
そして、システム障害発生のタイミングとしては、
システム統合の際に生じるものが多く見られる。これ
については、システム統合は企業が経営活動を進め
ていく過程で発生する「ビジネスの統合」に対応して
行われるものであるにもかかわらず、単なる「コン
ピュータ・システムの統合」であるというIT面に寄った
観点からこのテーマをとらえてしまうことが1つ、大き
な原因となっていると筆者は考えている。
異なる複数の情報システムを統合するということ
は、当然、システム障害発生のリスクが高くなる。例
えば、現在、三菱東京UFJ銀行は、旧東京三菱銀行
と旧UFJ銀行のシステムの完全統合プロジェクトを進
めているが、今年5月12日には、キャッシュカードがセ
ブン銀行のATMで使えなくなるというシステム障害が
注4:NTT東日本「ひかり電話のNTT東西間接続装置の故障について(最終報)」(http://www.ntt-east.co.jp/release/0705/070524a.html
注5:全日本空輸「5月27日システム障害の原因と再発防止について」(http://www.ana.co.jp/topics/notice070613/index.html)
注6:日本信号「日本信号製窓口処理機等の不具合発生について」(http://www.signal.co.jp/ir/news_release/pdf/071018owabi.pdf)
Computerworld September 200866
特集 システム統合[今日的課題と手法]
発生した。その原因を三菱東京UFJ銀行は、セブン
銀行側では扱えない文字種を伝送していたことに原
因があったと発表している(注7)。
莫大なコストと労力を投じ、長期にわたってきわめ
て慎重に進められてきた大規模統合プロジェクトであ
るにもかかわらず、こうした想定外の障害が発生して
しまったという事実は、いかに大規模なシステム統合
が困難なものであるかを物語っている。同時に、いか
に万全の体制で臨んだとしても、システム障害の発
生リスクは完全には避けられないものだということを
示している。
システム統合はアーキテクチャ統合
そもそも、「システム」とは何か。それは、「(ある目的
を達成するために)構成要素が互いに関連し合ってい
る1つの全体」のことであり、「情報システム」だけを指
すものではない。また、「情報システム」とは、例えば
代表的な教科書には、「組織における意思決定や、調
整、管理、分析、見える化を支援するために、構成
要素が互いに関連し合って協働することにより、情報
を収集し、処理し、貯蔵し、伝達するシステム」と説
明されており(注8)、「コンピュータ・システム」そのもの
のことではないことがわかる。
この定義に従えば、企業の情報システムは、企業
活動における意思決定や管理を支援するために用い
られるものであるから、情報システムの統合を考える
注7:三菱東京UFJ銀行「セブン銀行STMにおける一部取引の不成立について」(http://www.bk.mufg.jp/news/news2008/pdf/news0512_2.pdf)
注8:K.C.Laudon、J.P.Laudon著『Management Information Systems, 9th edition』(Prencitice-Hall、2006年)。引用部の原文は次のとおり。
「Interrelated components working together to collect, process, store , and disseminate information to support decision making, coordination, control, analysis, and visualiza tion in an organization.」
*より理解しやすくするため、筆者が部分的に変更を加えている
目標
システム
アーキテクチャ記述
観点
環境
関係者
関心
アーキテクチャ
原理
モデル
を達成する 1..*
を統合する 1..*
からなる 1..*
によって組織化される 1..*
関係する
規定する
をカバーするために用いられる 1..*
に影響を与える
の中に存在する
を持つ
を持つ 1..*によって記述される
1
を同定する 1..*
を同定する 1..*
にとって重要である 1..*
に向けられる 1..*
を持つ 1..*
図1:IEEE 1471のアーキテクチャ記述モデル
September 2008 Computerworld 67
P a r t 3 │シス テ ム 統 合 の 着 眼 点 と 考 慮 点
ときには、それらが支援の対象としている企業活動そ
のものの統合を考える必要がある。
この考え方に基づき、本稿ではシステム統合という
テーマを、「コンピュータ・システム」の統合というよう
に「システム」の意味する範囲を限定するのではなく、
組織や人材を含んだ「システム」を統合する活動とし
てとらえてみることにする。
ここで重要となる視座は、システム統合の本質は、
「異なるアーキテクチャの統合」であるということだ。
アーキテクチャとは、「構成要素、構成要素間の関係、
そして設計原理」を指している。設計原理とは、なぜ
そこにその要素が存在し、なぜ他の要素とそのような
関係になっているかについての「わけ」であり、企業文
化などその企業組織の持つ「土壌(institution)」によっ
て規定される。このように考えると、システム統合は、
単に技術的な統合の視点だけで論ずることはできな
いものであることは明らかだ。
さて、アーキテクチャの代表的な定義としては、
IEEE 1471に示されたアーキテクチャ記述モデルが
知られている(図1)。 アーキテクチャ記述モデルが表現していることは次
のとおりである。
──システムには達成すべき目標がある。システム
は環境の中に存在し、アーキテクチャを持っている。
アーキテクチャは、アーキテクチャ記述によって記述
される。アーキテクチャ記述は、そのシステムの持つ
原理によって規定されている。アーキテクチャ記述は、
1つあるいは複数の観点によって組織化されている。
システムには、1人あるいは複数のステークホルダーが
存在する。各ステークホルダーは、おのおの1つある
いは複数の関心を持ち、観点は1つあるいは複数の関
心をカバーするために用いられる。観点は1つあるい
は複数のモデルからなり、アーキテクチャ記述は、そ
れに関係する1つあるいは複数のモデルを統合するこ
とによって与えられる──
図1に示したように、アーキテクチャの記述は、複
数の観点と各観点に対応するモデル群からなる。ソ
フトウェア設計における代表的な観点には、「構造
(constructional)」「ふるまい(behavioral)」「機能(func
tional)」「データモデリング(data-modeling)」がある(注9)。
また、図2に示す、ジョン・ザックマン(John A.
注9:David Budgen著『Software Design』(Peason、2003年)
立場
観点 関係者
スコープ プランナー
企業モデル 所有者
システム・モデル 設計者
技術モデル 構築者
構成要素 下請け業者
ビジネスで重要な物事のリスト
実体関連図
データ・モデル
データ設計
データ定義記述
ビジネスで遂行する
プロセスのリスト
プロセスフロー図
データフロー図
構造チャート
プログラム
ビジネスが遂行される場所のリスト
ロジスティック・ネットワーク
分散システム・アーキテクチャ
システム・アーキテクチャ
ネットワーク・アーキテクチャ
ビジネスで重要な組織や
エージェントのリスト
組織図
ヒューマン・インタフェース・アーキテクチャ
ヒューマン・テクノロジー・インタフェース
セキュリティ・アーキテクチャ
ビジネスで重要な
イベントのリスト
マスタ・スケジュール
処理構造
制御構造
タイミング定義
ビジネス目標/戦略のリスト
ビジネス・プラン
知識アーキテクチャ
知識設計
知識定義
データ(What)
機能(How)
ネットワーク(Where)
人々(Who)
時間(When)
動機(Why)
「企業モデル」の観点に立つモデル群がビジネス・システムの表現として重要
図2:ザックマン・フレームワークが示す情報システムのアーキテクチャ
Computerworld September 200868
特集 システム統合[今日的課題と手法]
Zachman)氏による有名なエンタープライズ・アーキテ
クチャ(EA)のフレームワークである「ザックマン・フ
レームワーク」にもさまざまな観点がある。図に示した
ように、これらの中では、企業モデルの観点に立つモ
デル群がビジネス・システムの表現として重要である。
システム統合のさまざまな型
システム統合とは、すなわち複数のアーキテクチャ
の統合である。このことを前提にしたうえで考察を進
めよう。
システム統合の典型的な型は、一方のシステムに
合わせて統合する方式である。一般に、「片寄せ型」
あるいは「巻き取り型」と呼ばれている。経営統合にお
いて、一方の企業のパワーが他方を上回っている場
合、ほとんどはこの型で統合が行われ、しかも成功
するケースが多い。例えば、2002年の安田火災海上
保険と日産火災海上保険の合併による損害保険ジャ
パンの発足時の統合や、2004年の日本航空と日本エ
アシステム(JAS)の統合など、この型を採用した多く
の事例がある。
上記の典型的な型のほかには、両方のシステムの
折衷案として部品ごとに“いいとこどり”をするという
アプローチもある。これは「組み合わせ統合型」と呼ば
れている。代表的な事例は、冒頭にも述べた、2002
年のみずほフィナンシャルグループのケースである。
これは、統合の対象となる企業間にパワーの差がな
い場合に起こりやすく、うまく実現することは難しい
とされている。
また、場合によっては、片方のシステムに吸収する
「吸収型」、あるいはまったくの「新規開発型」も採用さ
れるケースがあるが、これらはまれである。吸収型の
例は、1986年に行われた住友銀行と平和相互銀行
のシステム統合が挙げられ、新規開発の例としては、
JFEスチールの新基幹業務システムを挙げることがで
きる(これについては後述する)。
さらに、吸収型の逆のアプローチとして、「併存型」
と呼ばれる、統合を行わずにおのおののシステムを別
個に走らせ、必要なものだけを外付けの形で新たに
付加するというアプローチもある。だが、システム統
合がコスト削減を意図している以上、この型は非常に
まれである。
これらのシステム統合の型は、システム統合が「統合
されたビジネス・システム」を支援するためのものである
以上、どのようなビジネス・システムを実現するかによっ
て、それに見合った最適なアプローチを選択すること
が必要である。そして、新規開発でないかぎり、統合
されたビジネス・アーキテクチャに完全に合致した型は
作りえないということに留意するべきなのである。
システム統合プロジェクト推進時の考慮点
これまで説明してきたように、システム統合は、ビ
ジネス・システムの統合であり、異なるアーキテクチャ
の統合であるというとらえ方が重要な着眼点となる。
このことを踏まえ、以下では、システム統合プロジェ
クトを成功に導くうえでの考慮点をいくつか挙げて説
明したい。
「言葉合わせ」から「土壌」まで システム統合プロジェクトを進めるうえでまず必要
なことは、「言葉合わせ」から始まり、異なる企業文化、
社風の壁を越えて、理解し合える「土壌」を作ること
であるが、言うまでもなく、これらは一朝一夕にでき
るものではない。
例えば、コニカミノルタホールディングスの場合は、
インフラ統合といった比較的難易度が低いとされると
ころから統合作業を始め、徐々に成功体験を積んで
いくというプロジェクトの進め方をとった(注10)。こ
れは多くの企業にとって有用なスタイルであると考え
られる。
システム統合における概念データ・モデル ここで、システム統合の実施における概念データ・
注10:経営情報学会システム統合特設研究部会編『成功に導くシステム統合の論点(第17章)』(日科技連出版社、2005年)
September 2008 Computerworld 69
P a r t 3 │シス テ ム 統 合 の 着 眼 点 と 考 慮 点
写真1:JFEスチールの新統合システム「J-Smile」は、IT Japan A ward 2007の受賞に続いて、今年5月20日にマレーシアのクアラルンプールで開かれた「世界情報サービス産業機構(WITSA)2008 民間部門IT賞」も受賞した(中央が同社システム主監の菊川裕幸氏)
モデルの利用について説明しておきたい。システム統
合を成功に導く1つのカギは、概念データ・モデルを
構築することにあると言われているからである。
経営情報学会システム統合特設研究部会編『成功
に導くシステム統合の論点』(日科技連出版社、2005
年)の第8章では、システム統合プロジェクトを進める
際の概念データ・モデルの重要性について述べられて
いるが、これは、データモデリングの観点からのモデ
ルである。一方、業務プロセスの「見える化」の1つと
して用いられているBPMN(Business Process
Modeling Notation:ビジネス・プロセス・モデリング
表記)によるプロセス表現は機能観点からのモデルに
対応している。
概念データ・モデルは、ER(Entity-Relationship)
図などにより、そのビジネス・システムにおけるもの(実
体)とその間の関係を表現したものである。これに関
して同書の第9章では、概念データ・モデル作成にあ
たっては、「要」のものを表現することが重要であると
している。
上述したように、概念データ・モデルの構築が、シ
ステム統合を成功に近づけるものとなると言われる。
これは、ビジネスにおいて変わらない部分を明らかに
するフェーズが、機能やプロセスといった、変わりや
すい部分を固めるフェーズよりも先にくるべきである
というのが1つの論拠となっている。このことはシステ
ム統合だけでなく、一般の情報システムおよび業務ア
プリケーションの開発やビジネス・プロセスの設計にお
いても同様である。
そして、もう1つの論拠として、関係者間のビジネス・
システムに対する認識が、ビジネスにおいて変わらな
い部分での議論を通じて共有できるようになるという
ことがある。
概念データ・モデルから着手したJFEスチールの成功事例 この概念データ・モデルによるアプローチは、2007
年度のユーザー企業のイノベーションを表彰する「IT
Japan Award」の準グランプリを獲得した、JFEスチー
ルの新基幹業務システムの開発でも用いられている。
JFEスチールは、2003年4月に、当時の川崎製鉄
と日本鋼管(現JFEエンジニアリング)が経営統合して
誕生した鉄鋼会社である。経営管理、購買、販売、
生産、物流などの基幹業務を支えるシステムは、
「J-Smile」と呼ばれ、2006年4月に稼働開始した。大
規模な統合プロジェクトでとられたアプローチは、シ
ステム統合において一般に見られる片寄せ型ではな
く、新規開発型であった。その理由は、「ビジネスの
変化に応じて、すばやく修整できる」という要請に応
えるために、変化に強いシステムを構築する必要が
あったからと言われている。
こうして、基幹システム開発が概念データ・モデル
の作成から行われ、成功したというケースを紹介した。
JFEスチールによると、このアプローチによって、シ
ステム部門と利用部門が共通認識を持つことができ、
また、旧2社の社員の間での意思疎通も図ることがで
きたという。また、新基幹業務システムの稼働により、
生産性の向上や経営判断の迅速化、利益率の向上な
どの効果が得られたとされている(注11、写真1)。
注11:日経BP社「日経コンピュータ 特別編集版 IT Japan Award 2007」注12:飯島淳一著『情報システム開発における形式的手法』(日本情報経営学会
誌、Vol.28, No.2, p.16-24, 2007年)注13:経済産業省「情報システムの信頼性向上に関するガイドライン」(http://
www.meti.go.jp/press/20060615002/guideline.pdf)
*写真提供:JFEスチール
Computerworld September 200870
特集 システム統合[今日的課題と手法]
「形式的手法」による動作保証
システムの信頼性確保は、システム統合を行う際
に最重要要件の1つとして検討される。このシステム
の信頼性を高める方法として最近、注目を浴びてい
るものの1つに、形式的手法による動作保証がある(注12)。これは、2006年に経済産業省から発表された「情
報システムの信頼性向上に関するガイドライン」におい
ても「形式手法・ツール等の活用」として言及されてい
る(注13)。以下で詳しく説明しよう。
代表的な形式的手法には、構造化設計、静的な情
報構造、ふるまい仕様の3つがある。
構造化設計とは、いわゆるモデル指向型の形式仕
様であり、「VDM(Vienna Development Method)」「Z
記法」「Bメソッド」などが知られている。これらのアプ
ローチの持つ特徴は、対象が集合論的実体であり、
また、操作の過程でそのシステムにおける不変な性質
(不変条件と呼ぶ)に注目していること、また、操作が
適用できるための事前条件と適用後に成立する事後
条件を明示するということが挙げられる。上記の中で
も、VDMは現在最も注目を集めている形式仕様言語
である。
一方、UML(Unified Modeling Language)のク
ラス図やオブジェクト図などの、実体間の継承や集約
などの静的な関係構造を表現するものが、静的な情
報構造に関する形式的手法である。UML自体が形
式手法であるかどうかは意見の分かれるところであろ
うが、例えば、2000年初めごろに注目を集めた
preciseUMLのように、UMLに対して厳密な議論を
行おうという試みはさまざまに行われている。OCL
(Object Constraint Language)もその1つである。
また、ふるまい仕様には、モデル検査ツールと呼
ばれるものが相当する。代表的なツールに「SPIN」が
ある。モデル検査ツールは、状態遷移モデルをベー
スにして、組み込み系を中心に利用されている。モデ
ル検査の目的は、有限の状態空間を網羅的に調べて、
与えられた性質が成り立つかどうかを検査することに
ある。
形式仕様記述の利点としては、第一に、仕様を厳
密に表現すること自体が、曖昧性の除去につながると
いうことが挙げられる。また、それにより、厳密な型
チェックが可能となる。さらに、証明という形で正当
性を示すことができ、これにより、要求仕様の妥当性
や、予測可能な例外発生への対応とシステムの頑健
性に対する保証が与えられる。
ただし、形式的手法が必ずしも万全なわけではない。
その理由は、失敗の多様性は予測範囲を超えること
にある。まさに、想定できることしかチェックできない
のである。ただ、一般的で膨大な数のパラメータ設
定を行うテストとは異なり、論理的に証明という形で
(その範囲内では)すべての場合を尽くすことができる。
また、このシステムを利用する組織や、それを取り囲
むビジネスに対しても、同様の形式的なアプローチを
することが必要になる。
「モデル操作」についての議論の必要性
システム統合がアーキテクチャの統合であり、アー
キテクチャがモデル群によって記述されるのであるな
らば、モデルの統合や変換といった議論は、システ
ム統合における重要な論点の1つとなるはずである。
しかしながら、モデル操作については従来、あまり論
じられてこなかった。筆者らは現在、クラス図を形式
化することにより、複数のクラス図の統合についての
基礎的な議論を整備しようとしている(図3)。
また、クラス図という同じカテゴリのモデル間の議
論だけでなく、ER図からクラス図への変換といった、
異なるモデル間の関係についての議論や、図式モデ
ルに基づいた推論などについても検討することが必要
であろう。これらは今後の課題である。
障害発生を前提にシステム構築/統合を検討する
現在のような、巨大化し、複雑化した情報システ
ムに対して、その実装や運用におけるミスを100%防
September 2008 Computerworld 71
P a r t 3 │シス テ ム 統 合 の 着 眼 点 と 考 慮 点
止することは可能であるはずがない。したがって、シ
ステム障害に対しては自然災害と同じように、発生す
ることを前提として、BCP(Business Continuity
Plan:事業継続計画)などの対処法を考えておくべき
であろう。
さて、経営情報学会では、年金記録問題を受けて、
『官』の情報システムこそが、問題ではないかと考え、
2008年4月から特設研究部会(主査:森田勝弘広島
県立大学教授)を発足した。ここでの問題意識は、「年
金記録問題は、広義の情報システムの問題ではある
が、最も大きな問題は、発注者側のガバナンスの問
題である」というものであった。
システム統合については、大規模な障害発生がし
ばしば起こったこともあり、ビジネス・サイドからの関
与の重要性がようやく認識され始めたが、一般の情
報システムについても、もはやITとビジネスは切り離
せないという認識に立ち、ビジネス・サイドからの積
極的なかかわりが必要である。
企業名:String
卸
企業名:String
メーカー
担当者:String
発注者
発注日:String
発注
担当者:String
受注者
商品名:String個数:Int
注文情報
企業名:String
卸
企業名:String
小売店
企業名:String
メーカー
担当者:String
発注者
発注日:String
発注
担当者:String
受注者
商品名:String個数:Int
注文情報
商品名:String個数:Int金額:Int
注文明細
企業名:String
卸
企業名:String
小売店
担当者:String
発注者
発注日:String
発注
担当者:String
受注者
商品名:String個数:Int金額:Int
注文明細A A
A
図3:クラス図の統合
すべてのITリソースはインターネットの雲(cloud)の向こう側から提供され、ユーザーはその際、リソースの構造や格納場所などをまったく意識することがない――クラウド・コンピューティングというコンピューティング・モデルはおおむねこのような説明がなされる。クラウドは別段新しいものではなく、企業コンピューティングの世界においては、SaaS(Software as a Service)やグリッド、ユーティリティ・コンピューティングなどクラウドの考え方に沿った、ないしは類似したモデルがすでに登場済みである。本企画では、これら既存のモデルとの比較によってクラウド・コンピューティングを定義したのち、ユーザー企業やIT業界全体に与える影響の分析を行い、このパラダイムの本質を探ってみたい。
ユーザー/IT部門はどうとらえ、備えるべきか
September 2008 Computerworld 73
栗原 潔テックバイザージェイピー 代表/金沢工業大学 客員教授
クラウドコンピューティングインパクト
特別企画
の
74 Computerworld September 2008
クラウド・コンピューティングとは
クラウド・コンピューティング(注1)という言葉に注
目が集まっている。端的に言うと、インターネット上
に存在するサーバ上でほとんどの処理が行われ、利
用者はそれらのサーバ群を直接意識することなく、提
供されるサービスを享受できるというコンピューティン
グ・モデルである。利用者には「cloud:雲」の中身は
わからない(知る必要もない)が、そこから有益なサー
ビスが降ってくるというイメージだ(図1)。 このクラウド・コンピューティングは、米国Google
のCEO、エリック・シュミット(Eric Schmidt)氏が
2006年8月に行った講演で使い始めた言葉だと言わ
れている。ただし、古くからインターネットを図示する
ときによく雲の絵が用いられてきたので、2006年の
夏以前から、この言い回しが使われていた可能性は
高い。
クラウド・コンピューティングとその関連用語
登場したばかりのあらゆるバズワードと同様、現在、
クラウド・コンピューティングという言葉の定義には混
乱が見られる。インターネット上のサーバ中心型のシ
ステム形態を表すという点については議論の余地は
ないが、人によりそのニュアンスはさまざまだ。また、
このようなネットワーク中心型コンピューティングの概
念を表す言葉は、クラウド・コンピューティングが初
めてというわけではない。そこで、いくつかの関連用
語とクラウド・コンピューティングとの相違を検討する
ことで、その定義を明確にしてみたい。
クラウド・コンピューティングとSaaS あらためて説明するまでもないが、SaaS(Software
as a Service)とは、アプリケーション・ソフトウェア
の機能をネットワーク経由でユーザーに提供するコン
ピューティング・モデル(あるいは、ビジネス・モデル)
のことである。ユーザーがソフトウェアを自社の施設
内のコンピュータに導入したのち利用するオンプレミ
ス(on-premise)型と対照をなすモデルと言える。
SaaSはクラウド・コンピューティングの主要な応用
例の1つだ。SaaSとクラウド・コンピューティングを同
義とする見方もあるようだが、これは正確ではないだ
ろう。クラウド・コンピューティングには、SaaSのよう
にアプリケーション階層まで含めた全階層をホスティ
ングで提供する場合だけではなく、ユーザーの独自ア
プリケーションの開発・実行プラットフォームを提供す
る形態(PaaS:Platform as a Serviceと呼ばれる)や、
ストレージなどのハードウェア・リソースだけを提供す
る形態(リソース・オンデマンドと呼ばれることもある)
もあるからだ。
クラウド・コンピューティングとグリッド・コンピューティング グリッド・コンピューティングは、定義の混乱が著
しく、意味が希釈化している用語の1つである。もと
もとは、「ハードウェア・リソースが仮想化され、管理
ポイントも含めて広域分散化されたシステム形態」と
いう定義であったと考えられるが、ITベンダー各社が
自社に都合のよいマーケティング用語としてグリッド
という言葉を多用し、特にクラスタ(データセンター内
で複数のサーバが密結合されたシステム形態)とグ
リッドを同義で扱うケースが出てきたために混乱に拍
車がかかってしまった。
元来のグリッド・コンピューティングの概念とクラウ
ド・コンピューティングの概念は類似している。イン
ターネットをグリッド(送電線ネットワーク)に例えたの
を、クラウド(雲)に例えるようにしただけとも言えるだ
ろう。また、両者を同義であるとする見方もあるようだ。
筆者としては、(もともとの定義における)グリッド・
コンピューティングは、クラウド・コンピューティング
の理想を実現するための重要な技術の1つであると位
置づけるのが妥当ではないかと考えている。しかし、
例えば、1つのデータセンター内で閉じたクラスタ構成
によりクラウド・コンピューティングが実現されている
75September 2008 Computerworld
クラウド・コンピューティングのインパクト
特別企画
ケースもありえるため、「クラウド・コンピューティング
の実現にグリッド・コンピューティングが必須である」
とまでは考えていない。
クラウド・コンピューティングとユビキタス・コンピューティング ユビキタス(ubiquitous:偏在する、いたるところ
にある)コンピューティングは、あらゆる物があらゆる
場所でネットワークにつながり、コンピューティング・
サービスを享受できる形態の概念である。いわゆる“ど
こでもコンピューティング”だ。
ユビキタス・コンピューティングの理想を実現する
ためには、クラウド・コンピューティングの存在が前提
となる。利用者がどこにいてもサービスを提供できる
ようにするためには、ネットワーク上にすべてのリソー
スとデータが存在しなければならないからだ。その意
味では、ユビキタス・コンピューティングはクラウド・
コンピューティングと同じ考え方を別の立場から述べ
たと言えるかもしれない。つまり、サービス利用者の
立場から見ればユビキタス・コンピューティング、一方、
サービス提供者の立場から見ればクラウド・コン
ピューティングということだ。
クラウド・コンピューティングとユーティリティ・コンピューティング ユーティリティ・コンピューティングにおける「ユー
ティリティ」とは、電気・ガス・水道などの公益事業の
ことを指す。そして、ユーティリティ・コンピューティ
ングは、まさに電気や水道のように提供元を気にせず
に、どこにいても従量制料金でコンピューティング・
サービスを利用できるという概念を示す用語だ。
ユビキタス・コンピューティングにも類似しているが、
サービスが標準化されており、しかも従量制料金で
利用できるという点に、あえてユーティリティという言
葉を当てはめる意図があったと言える。ユビキタスと
同様に、ユーティリティ・コンピューティングとクラウド・
コンピューティングは表裏一体の関係にある。大きな
違いがあるとすれば料金体系だろう。過去において
ユーティリティ・コンピューティングという言葉が使わ
注1:「クラウドソーシング」という言葉も注目を集めているが、こちらのクラウドは「crowd:群衆」であり、カタカナ表記では区別がつかなくなってしまうので注意が必要だ
図1:クラウド・コンピューティングの概念
*資料 : テックバイザージェイピー
MPEG4
MPEG4
76 Computerworld September 2008
れていたときには、広告モデルによりコンピューティ
ング・サービスを利用者の立場から無料で使えるとい
うケースはあまり想定されていなかったと思われるか
らだ。一方、クラウド・コンピューティングのビジネス・
モデルにおいては、直接課金に加えて、広告モデル
を中心とする「無料経済」が重要な役割を果たすこと
になるだろう。
その他のクラウド・コンピューティング関連用語 クラウド・コンピューティングとデータセンター・ビ
ジネスが同列で語られることがある。しかし、データ
センターはクラウド・コンピューティングを実現するた
めの基盤の構成要素と考えるべきだ(この点について
は後述する)。
クラウドと仮想化も、関連はしているが相互に独立
した技術である。確かにクラウドの利用者はサーバの
物理的存在を意識しなくて済むので仮想化環境が実
現されているとも言える。しかし、例えば、「http://
www.google.com/」というURLにアクセスして
Google検索エンジンを利用する際に、利用者はサー
バの物理的存在(検索サーバが具体的にどのような機
種であってどこのデータセンターに存在しているのか
など)を気にする必要はない。その意味ではインター
ネットの世界はすでに仮想化されている。仮想化は、
ITの世界では古くからあらゆる階層において適用され
てきた技術なので、クラウド・コンピューティングの実
現に仮想化が必要であるとは言えない。
もちろん、サーバ仮想化やストレージ仮想化などの
このリポートによれば、クラウド・コンピューティングは、データの完全性や復旧、プライバシーなどのリスク評価のほか、電子情報開示、コンプライアンス、監査に関する法的問題の評価が必要だという。Gartnerはクラウド・コンピューティングを、
「きわめてスケーラビリティの高いITシステムを『サービス』として提供するタイプのコンピューティング」と定義しており、Amazon.comの「Amazon EC2(Elastic Compute Clo ud)」やGoogleの「Google App Engine」をその例として挙げている。 一方でGartnerは、サービスを利用するユーザー企業に対しては、セキュリティ・プログラムに関する詳細情報の開示を拒むクラウド・ベンダーの利用を避け、透明性を保てるように心がけねばならないと述べている。「ポリシー作成者/アーキテクト/コード記述者/オペレーターの持つ資格についてベンダーに質問し、リスク管理の手順や技術的な仕組みを確認することが必要だ」 また、「サービスや管理プロセスは意図したとおりに機能して
いるか」「予期せぬ脆弱性を把握する能力はあるか」などの検証テストをベンダー側がどの程度行っているかについても、顧客はチェックしなければならないとしている。 Gartnerは、クラウド・ベンダーを選定するにあたり、ユーザー企業がベンダーに確認するべきセキュリティ関連事項は大きく7項目あるとし、以下のような説明を行っている。
①特権ユーザーによるアクセス アウトソースされたサービスは、企業のIT部門が社内プログラムに対して行使する、物理的管理、論理的管理、人的管理の影響を受けない。そのため、社外で処理された機密性の高いデータは最初からリスクを含有している。よって、従業員の具体的な情報をベンダーに提供させ、特権を持つ管理者や彼らに対するアクセス監視/制御を行うよう求める必要がある。
②コンプライアンス関連 たとえ管理するのがベンダーの側だとしても、自社データの
クラウド・コンピューティングの利用で注意すべき「7つのセキュリティ・リスク」
Jon BrodkinNetwork World米国版Gartner、「サービス利用前のサードパーティへの評価依頼を推奨する」
米国の市場調査会社Gartnerは6月3日、「Assessing the Security Risks of Cloud Computing」と題した調査リポートを発表した。その中でGartnerは、クラウド・コンピューティングはセキュリティ上のリスクをはらんでいると警告しており、サービス利用の前には問題となりそうな点を厳しい目で洗い直し、中立的なサードパーティへの評価依頼を検討するのが賢明だとアドバイスしている。
SideStory
77September 2008 Computerworld
クラウド・コンピューティングのインパクト
特別企画
技術は、クラウド・コンピューティングの基盤層を実
現するために重要な役割を果たす。ただし、これはク
ラウドだからというわけではなく、あらゆる大規模シス
テムの実現にはサーバ/ストレージ仮想化技術が重
要な役割を果たすというだけのことである。
同様に、SOA(サービス指向アーキテクチャ)とクラ
ウド・コンピューティングも、関連性はあるが独立した
技術である。SOAにおける「サービス」はソフトウェア
部品を指しており、「ネットワーク・サービス」とは意味
が異なる。例えば、企業内で完全に閉じたSOAベー
スのシステムを構築することもありえる。しかし、
SOAによりアプリケーションの部品化を実現すること
で、アプリケーション特定機能だけをクラウドから提
供し、利用者にアクセスさせることが容易になる(この
ような考え方をホステッドSOAと呼ぶこともある)。そ
の意味では、SOAとクラウド・コンピューティングは
相互補完的な関係にあると言えよう。
ところで、米国Sun Microsystemsが1982年の創
業以来、「The Network Is The Computer」という言
葉を企業スローガンとして長きにわたり使ってきたこ
とはご存じだろうか。「(コンピュータの本質は企業内
に置いてある大きな箱ではなく)ネットワークこそがコ
ンピュータなのだ」というこの考え方は、まさにクラウ
ド・コンピューティングのビジョンを先取りしていたも
のと言えるだろう(注2)。
注2:Googleはクラウド・コンピューティングを牽引する主要プレーヤーの1社だが、同社CEOのEric Schmidt氏がSun出身であることは興味深い事実だ
安全性と完全性は、最終的に顧客が責任を持つことになる。通常のベンダーであれば、基本的に外部の監査や安全性のチェックを受けている。だが、この種の調査を拒否しているクラウド・ベンダーもいるため、そうしたベンダーには重要性の最も低いデータしか任せられないことになる。
③データの保管場所 クラウド・コンピューティングの特性ではあるが、多くの場合、データがホスティングされる正確な場所は顧客にはわからない。したがって、「データの保管/処理は明確な法的権限に基づいて行われるのか」「現地のプライバシー保護規制に従うことを契約条件に盛り込めるか」といった点を、ベンダーに事前に確認しておきたい。
④データの隔離 クラウド内のデータは、通常は他の顧客データとシステム環境を共有することになる。こうした環境下では暗号化が有効な対策となるが万全ではなく、どのような方法で保管しているデータを隔離しているのかを把握しておく必要がある。クラウド・ベンダーは、経験豊富な専門家と共に暗号化スキームを設計し、検証結果を顧客に示さなければならない。暗号化スキームに不備があると、データがまったく使えないという事態が発生する。ごく一般的な暗号化であっても、利便性を損なう場合がある。
⑤データの復旧 クラウド・ベンダーは、たとえデータの保管場所を明らかに
しないとしても、災害が起こった際に顧客のデータおよびサービスがどうなるのかは開示しておくべきである。データおよびアプリケーション・インフラのレプリケーションを行っていないサービスの場合、大規模な災害時に顧客が致命的なダメージを被ることになる。したがって、「完璧なリストアを実行するだけの備えがあるのか」「復旧までにどれぐらい時間がかかるのか」をベンダーに確認しておく必要がある。
⑥調査に対する協力姿勢 クラウド・コンピューティングにまつわる不適切行為や違法行為は、現状では調査が難しい。多数の顧客のログイン記録やデータが共同保管されていたり、複数のデータセンターに分散保管されていたりする可能性があるため、クラウド・サービスの実態を追跡調査するのは非常に困難だ。特定の調査にベンダーが協力するという条件を契約に盛り込むことができる、もしくは当該のベンダーがそうした調査を積極的に受け入れてきたという実績がある場合を除き、調査や証拠開示に対する要求はまず通らないと考えたほうがよい。
⑦長期にわたる事業継続性 理想を言えば、決して倒産せず、また、大手企業に買収や合併吸収されることのないクラウド・ベンダーを選びたいところだ。とはいえ、そうした出来事が起こった後もデータを利用し続けられるよう、ユーザーも準備しておく必要がある。契約を結ぶ可能性のあるベンダーとの話し合いでは、データの回収方法と、その際に利用するフォーマットが後継アプリケーションに移植可能なものであるか否かを確認しておきたい。
78 Computerworld September 2008
クラウド・コンピューティングのミーム・マップ
このように整理してみると、クラウド・コンピューティ
ングは、今までに何度も議論されてきたネットワーク
中心型コンピューティングのさまざまなビジョンを総
合的な概念として言い換えたものと言うことができよ
う。しかし、これをもって「クラウド・コンピューティン
グという言葉に意味がない」などと結論づけるつもり
はない。
Web 2.0という用語が登場したときにも、「総花的
で明確な定義がない」「すでに起きている現象の単な
る言い換えであり新しい考え方ではない」といった批
判が多く聞かれた。しかし、当時インターネットの世
界で同時多発的に発生している多様なパラダイム・シ
フトを総合的に表現できる言葉(いわゆる、「アンブレ
ラ・ターム」)としてWeb 2.0が登場したことで、Web
の世界で起こりつつあるムーブメントを明確化できた
という意義は大いにあっただろう。クラウド・コンピュー
ティングという言葉も、Web 2.0という言葉が果たし
てきたのと同様の役割を今後果たしていくのかもしれ
ない。
ところで、Web 2.0という言葉が登場した当初は、
米国O'Reilly Mediaの創設者、ティム・オライリー(Tim
O'Reilly)氏によるミーム・マップがWeb 2.0の全体
像を表現する図として使用されることが多かった。ミー
ム・マップとは関連する概念を列挙した図のことで(注3)、おそらくは、O'Reilly氏がブレーンストーミングの
ような場でホワイトボードに描いた図をそのまま使っ
たのであろう。
決して完全に整理されているとは言えないが、この
ミーム・マップによりWeb 2.0の理解が進んだ人は多
いはずだ。ここでは、同様にクラウド・コンピューティ
ングのミーム・マップを描いてみた(図2)。クラウド・
図2:クラウド・コンピューティングのミーム・マップ
Sun
IBM
MicrosoftAmazon.com Google Salesforce.com
Cisco
etc.
SOA
広告モデル
従量制課金Webサービス
Web OS広域分散
ユビキタス・アクセス
SaaS
PaaS
スマートフォン
●サーバ中心型●ネットワーク中心型●軽量(ステートレス)クライアント●疎結合型の連携●大規模データセンター●仮想化/ワークロード管理●並列処理/グリッド●プラットフォーム化/API公開
*資料 : テックバイザージェイピー
79September 2008 Computerworld
クラウド・コンピューティングのインパクト
特別企画
コンピューティングの全体像が多少なりともクリアに
なるのではないだろうか。
クラウド・コンピューティングの推進要因
今後、クラウド・コンピューティングの世界が進展
していくことは、テクノロジー面、そして、ビジネス面
から見て必然的な流れであると考えられる。クラウド・
コンピューティングは一時の流行語ではなく、今後、
長期的に有効であるメガトレンドと考えるべきだろう。
クラウド・コンピューティングを推進する動向として
は、少なくとも以下の要素が挙げられる(図3)。
サーバ中心型コンピューティングの優位性継続 第一に、近年、サーバ中心型コンピューティングの
優位性がいっそう増していることがある。コンピュー
タとネットワークの世界では、処理をどこで行い、デー
タをどこに置くかという決定は固定化された判断によ
るものではなく、技術条件の変化と共に変化してきた
ものだ。つまり、その時点の技術の制約条件に基づ
いて、最も効率的な配置形態が採用されていったわ
けだ。
メインフレームの時代には、何よりもコンピュータ
(の利用コスト)が高価だったため、巨大なコンピュー
タを中央に設置し、それを多くのユーザーが共用する
という形態が唯一の選択肢であった。そして、ネット
ワークが高価というよりも、そもそも高速なネットワー
クの選択肢が存在しない状況であったため、ユーザー
とコンピュータの対話は限定的なものであった。
1980年ころから、安価なマイクロプロセッサ・ベー
スのハードウェア(ミニコンやPC)の登場により、クラ
イアント/サーバ型コンピューティング・モデルが一
般化していった。この時代には、組織が多数のコン
ピュータを確保できるほどにコンピュータの価格は低
下したが、ネットワークの速度とコストが依然としてボ
トルネックになっていた。ユーザーとコンピュータの
対話的処理を効率的に行うために、データを分散し、
「データをユーザーの近くに置く」ことでネットワーク・
トラフィックを最小化することが設計目標とされること
図3:クラウド・コンピューティングの推進要因
サーバ中心型コンピューティングの優位性継続
ビジネスの「選択と集中」指向の
高まり
データセンターの集約の進展
疎結合型アプリケーション統合/連携の進展
*資料 : テックバイザージェイピー
注3:ミーム(meme)は、生物学的遺伝によらずに人から人に伝えられ自然淘汰されていく、いわば文化的な遺伝子を指す言葉である
80 Computerworld September 2008
が多かった。
そして、1990年代後半以降のWebコンピューティ
ングの時代には、コンピュータ、そしてネットワークも
低価格化が急速に進んだ。では、何が高価なのかと
言えば、運用管理のための人件費である。さらに、デー
タを分散配置することによるデータの一貫性確保の
課題も深刻になっていった。
こうして結局、「処理とデータの集中、および、アク
セスの分散」というサーバ中心型コンピューティング
に基づくシステム形態が最も効率的になってきた。将
来的にも、コンピュータおよびネットワークの価格対
性能比の向上が継続していく可能性は高く、管理の
ための人件費が急速に低下する可能性は低い。ゆえ
に、サーバ中心型コンピューティングの優位性は長期
的に変わることはなく、これがクラウド・コンピューティ
ング推進の大きな原動力となるだろう。
データセンターの集約の進展 第二の理由として、データセンターの集約という動
きが挙げられる。これは、上記のサーバ中心型と同じ
ベクトル上にある。サーバ中心型のシステム形態を実
現するためには、サーバやストレージなどのハードウェ
ア機器を集約して稼働するためのデータセンターが必
要となる。
そして、こうしたデータセンターの運営は「規模の
経済」の効果が顕著なビジネスだ。造船や鉄鋼などの
装置産業に近いと言ってもよいかもしれない。した
がって、自社でデータセンターを運営するよりも、社
外の大規模データセンター事業者に任せたほうがコス
ト的にもサービス・レベル的にも有利なケースが増え
ている。これは、特に、インターネット接続の帯域幅
が重要であるインターネット・データセンター(iDC)の
領域で言えることだ。
もちろん、機密性のきわめて高い情報を扱ったり、
サービス・レベルがきわめて高いアプリケーションを運
用したりする場合には、依然として社内のデータセン
ターで稼働することが一般的であり続けるだろう。例
えば、銀行の勘定系システムを社外のデータセンター
事業者に完全に委嘱するケースを、当面は想定し難
い。しかし、銀行業務であっても、例えば地方銀行
の業務を共同センターで運営するなど、特定グルー
プ内に閉じたデータセンターであれば、社外のデータ
センターにリソースを集約する動きは広がってきてい
る。社内で運用しなければならないシステムがまった
くなくなるとは言えないが、その領域は段階的に縮小
していくだろう。社内ではなく、クラウドのどこかで処
理をしてもらえれば十分というケースが増えてくると
いうことだ。
疎結合型アプリケーション統合/連携の進展 第三の理由として、疎結合型のアプリケーション統
合の重要性が高まっていることが挙げられる。過去に
おいて、アプリケーション統合は特定の企業内でデー
タベース連携などのベンダー独自の方式により行われ
ることが多かった。つまり、密結合型のアプリケーショ
ン統合が主流だった。絶対的なデータ整合性が要求
される業務、例えば、銀行の合併に伴う勘定系シス
テムの統合などにおいては、このような密結合型の統
合は依然として必要だ。しかし、絶対的な整合性よ
りも俊敏性・柔軟性が重視されるような短期戦術的な
システムにおいては、オープンな方式でより迅速なア
プリケーション統合(「統合」と言うよりも「連携」と呼
んだほうが適切かもしれない)の方法論が求められて
いる。
Webサービス、SOA、マッシュアップなどは、この
ような方向性に合致する疎結合型のアプリケーション
統合手段だ。このような疎結合型の統合手段の選択
肢が増えたことで、複数のクラウド・サービスを連携
させたり、クラウド・サービスと自社のアプリケーショ
ンを連携させて新たな価値を生み出したりすることが
以前に比べ容易になっている。
いわゆる一枚岩型の社外アプリケーションをネット
ワーク経由で利用するだけでは、過去のASP(Appli
cation Service Provider)の時代と比較して大きな
付加価値があるとは言えない。だが、柔軟かつ迅速
に実装できる疎結合型アプリケーション統合の進展
81September 2008 Computerworld
クラウド・コンピューティングのインパクト
特別企画
により、クラウド内の複数のサービスの統合の敷居が
低くなっていくことは、クラウド・コンピューティング
の価値を大きく高めていく動きだと言える。
ビジネスの「選択と集中」指向の高まり 最後の理由は、ビジネス的な必然性だ。あらゆる
機能を社内で実行しようとする自前主義が終焉を迎
えていることはいまさら言うまでもないだろう。ここで
重要となる観点は「選択と集中」である。企業は、差
別化の源泉となる業務(コア)を選択して、そこに社
内リソースをできるだけ集中し、それ以外の業務(コ
ンテキスト)はできるだけアウトソースすることで軽量
化すべきという考え方だ。この考え方は当然、今やビ
ジネスと密接にかかわり合うITについても当てはまる。
なお、ここで言う選択と集中は、あらゆる企業が自
社のIT業務をアウトソースすべきであるということを
意味しない。大規模なIT基盤の管理が自社のコアで
あると考えている企業は、そのIT基盤を自社業務で
活用するだけではなく、積極的に社外にサービスとし
て外販すればよい。そして、差別化要素をIT基盤管
理以外の領域に定めている企業は、できるだけ他社
のクラウド・サービスを活用するようにすればよい。つ
まり、「自身がクラウド化する企業」と「クラウドを活用
する企業」の2極分化が進行すると言い換えてもよい
だろう。
クラウド・コンピューティングがIT業界に与えるインパクト
では、今後、クラウド・コンピューティングはIT業
界にどのような影響を与えていくのだろうか。最初に
理解しておきたいのは、クラウド・コンピューティング
が不可避な長期的メガトレンドである一方で、その普
及には相当の時間がかかるだろうという点だ。
特に、企業の基幹業務を支えるエンタープライズ・
コンピューティングの領域において、このモデルが一
般化するまでには10年レンジの長い期間を要すること
になろう。この領域はリスクの最小化が最優先事項で
あり、いったんシステムが稼働し出せば平均10年以
上使い続けられていくことが通常だ。過去の歴史を
見てもわかるが、この領域における新たなパラダイム
の浸透には、多くの人が考えるよりもはるかに長い期
図4:クラウド・コンピューティングのプレーヤー階層構造
エンドユーザー層
*資料 : テックバイザージェイピー
クラウド・サービス利用層
SaaSプロバイダー、Web 2.0系企業などプレーヤーの例
クラウド・サービス提供層
Amazon.com、Google、Microsoft、Salesforce.comなどプレーヤーの例
クラウド基盤提供層
データセンター事業者、サーバ/ストレージ・ベンダー、運用管理ソフトウェア・ベンダーなど
プレーヤーの例
82 Computerworld September 2008
間を要してきた。
その一方で、俊敏性を何よりも重要視するネット企
業や、大企業における基幹業務以外の機会追求型の
戦術的なアプリケーションにおいては、クラウド・コン
ピューティングの考え方が浸透していくことが予想さ
れる。また、企業コンピューティングの世界を離れて、
一般消費者向けの世界を考えてみれば、例えば携帯
電話向けサービスの領域においては実質的にクラウ
ド・コンピューティングの世界が実現できていると言っ
てもよい状況だ。以下では、企業コンピューティング
に特化した形で、クラウド・コンピューティングがIT
業界に与えるインパクトに関する考察を深めてみたい。
ビジネスの各階層に与える影響の度合い ここで行う影響分析においては、クラウド・コン
ピューティングのビジネスの階層構造ごとに検討する
ことが重要であると考える。クラウド・コンピューティ
ングに関連するプレーヤーの階層構造を81ページの
図4に示した。
最も下に位置するクラウド基盤提供層、すなわち、
データセンター事業者、そして、ハードウェアや基盤
ソフトウェアを提供するベンダーにとって、クラウド・
コンピューティングがビジネス機会となるのは明らか
だ。しかし、前述のとおり、この領域は規模の経済
が大きくものを言う領域であることを忘れてはならな
い。データセンター・ビジネスの集約は今後も継続し
ていくことが予想される。そして、ハードウェアにつ
いては大量生産型の業界標準ハードウェアを効率的
に生産・販売できるベンダーがますます有利になって
いく。また、ソフトウェアにおいては、短期的には大
規模なデータセンター管理の機能を提供できるベン
ダーに市場機会があるが、長期的にはやはりベンダー
の集約が進んでいくことになるだろう。
中央のクラウド・サービス提供層においても、基盤
層ほどではないが規模の経済が重要だ。この階層に
おいて支配力を得るためのポイントはサービス利用の
ためのAPIを標準化し、できるだけ多くの利用者に
使ってもらうことだ。つまり、標準化を推進し、多く
の利用者をついてこさせるだけの影響力を有する企
業でなければ、この階層で成功することは難しいとい
うことだ。結局のところ、Google、Amazon.com、
Microsoftをはじめとする大手ベンダーがこの階層に
おいて中心的な役割を果たすことになるだろう。なお、
これらのベンダーは基盤層においても同時に重要なプ
レーヤーとなっていることが多い。
上位のクラウド・サービス利用層は、多くのベンダー
が公正な競争を行える領域と考えられる。各社がシ
ステム基盤や基本サービスを一から構築することなく、
他社がすでに提供している機能を活用することができ
るため、魅力的なアイデアさえあれば多大な投資負担
なしに迅速にビジネスを展開可能だからだ。実際、多
くのWeb 2.0系ベンダーがこのような動きを行ってい
る。また、SaaSプロバイダーはこの階層に含まれるが、
その対象は従来考えられていたSaaSの領域、つまり、
CRMなどのエンタープライズ・アプリケーションよりも
広がっている点に注意が必要だ。例えば、「Google
Docs」などのオンライン・オフィス・スイートは要注目
の領域だ。
そして、エンドユーザー側においても、すぐれたア
クセス手段/製品の登場による市場機会創出の効果
は大きい。クラウド・コンピューティングの世界では、
超小型の携帯機器であっても、十分な帯域を確保し
たネットワーク・アクセスが可能であれば、全世界中
にあるコンピューティング能力と膨大なデータを活用
することができる。今までは想像もできなかったよう
な新しいアプリケーションが出現する可能性は高い。
さらに、全体的に見てみれば、独自ソフトウェアで
顧客を囲い込み、スイッチング・コストを高めることで
継続的収益を得るという従来型のソフトウェア・ベン
ダーのビジネス・モデルの有効性が、クラウド・コン
ピューティングの普及に伴い、段階的に低下していく
シナリオが十分に考えられる。また、システム・インテ
グレーターのビジネスにおいては、大規模なクラウド・
サービスを実装するためのビジネス、そして、既存の
クラウド・サービスを組み合わせて迅速なシステム展
開を提供するビジネスへの2極化が進行していく可能
83September 2008 Computerworld
クラウド・コンピューティングのインパクト
特別企画
性があるだろう。各企業の独自の要件に合わせたシス
テム構築を行う「オーダーメード」型のSIビジネスが
消滅することはないが、その重要性は段階的に減少
していくことになるだろう。
* * *
クラウド・コンピューティングという用語が指すのは、
まったく新たな概念というわけではない。しかし、今
日起きているネットワーク中心型へのパラダイム・シフ
トのさらなる加速という状況を適切に言い表した用語
と言える。クラウド・コンピューティングが企業の基幹
系システムの世界において短期的に大きな影響を与
えるというシナリオは想定し難いが、より短期戦術的
なシステム、および、機会追求型のネット企業におい
ては、この考え方が一般的なものになっていくだろう。
そして、クラウド・コンピューティングの進展に伴い、
IT業界の競合関係や構造が大きく変化していくとい
うシナリオが十分に考えられる。
「課題は残されているものの、クラウド・コンピューティングはいわゆる“破壊的テクノロジー”になりそうだ」――。米国の調査会社Forrester Researchは3月10日、クラウド・コンピューティングに関する調査リポートを発表し、その可能性と現存する課題を指摘したうえで、このテクノロジーを牽引するベンダー11社を挙げている。 Forresterがクラウド・コンピューティングの注目ベンダーとしてリストアップしたのは、Akamai、Amazon.com、Areti Internet、Enki、Fortress ITX、Joyent、Layered Techno logies、Rackspace、Salesforce.com、Terremark、XCalibreの11社である。 この11社のうち、企業コンピューティングの分野で関係が深いのは、Akamai、Amazon.com、Salesforce.comの3社であろう。Akamaiは、クラウド・コンピューティングを利用するユーザー向けにアプリケーション高速化サービスを提供している。また、Amazon.comは、「Amazon EC2(Elastic Com pute Cloud)」と、クラウド・コンピューティングを利用したストレージ・サービスを提供している。そして、Salesforce.comは、ホスティング・アプリケーションのほか、クラウド・コンピューティング環境に向けたソフトウェア開発プラットフォームとしてPaaS(Platform as a Service)/Force.comを提供している。 一方、Terremark、Layered Technologies、XCalibreおよび新興のEnkiは、クラウド・コンピューティング環境の管理ビジネスを手がけている。 Forresterのシニア・アナリスト、ジェームズ・ステーテン
(James Staten)氏は、「確かにクラウド・コンピューティングは、
この先どうなるかわからない段階にある。それでも企業のIT幹部は、スタッフがどのようにクラウド環境を使っているかを早めに把握しておいたほうがよい。IT部門がクラウド環境のメリットを示せなくても、事業部門が示してくれるだろう。クラウド・コンピューティングは説得力のある技術だ。参入障壁や撤退障壁も低い。学べる点は多いはずだ」とアドバイスしている。 調査リポートによると、クラウド・コンピューティングを標榜するサービスの中にはサービス・レベル契約(SLA)やカスタマー・リファレンスが欠けていたり、セキュリティやコンプライアンスに問題があったりと、企業システムとして導入するには依然として重大なリスクが残されている。しかし、それでもなお、企業の間ではクラウド・コンピューティングを利用する動きが広まっている。 「ある企業の開発者がクラウド・コンピューティングを今まさに試している可能性は高い」と、Staten氏は調査リポートに記している。 クラウド・コンピューティングは、ここ数年でよく聞かれるようになった言葉だが、企業は以前からWeb上のアプリケーションやSaaSを活用しており、クラウド・コンピューティングの発想自体はさほど新しいものではない。 だが最近では、クラウド・コンピューティング環境でホスティング・アプリケーションだけでなく、カスタム・アプリケーションも実行可能なサービスを提供しているベンダーもある。こうしたベンダーは、処理能力を柔軟に調整して、ユーザーが使用した処理能力に対してのみ料金を徴収するというシステムを採用している。
Laurianne McLaughlinCIO米国版
Forrester Researchが選ぶ「クラウド・コンピューティングで注目すべき11ベンダー」「課題はあるが、破壊的テクノロジーとなる」と同社アナリスト
Topics
「話題の製品の機能を詳しく知りたい」「自社では、どのような技術を使うのが最適なのだろうか」──企業において技術や製品の選択を行う「テクノロジー・リーダー」の悩みは尽きない。そこで、本コーナー[テクノロジー・フォーカス]では、毎号、各IT分野において注目したい製品や技術をピックアップし、その詳細を解説する。
[テクノロジー・フォーカス]
TechnologyFocus
Security[セキュリティ]
進化する「シン・クライアント」──ブーム再来の背景と今後の展望
September 2008 Computerworld 85
Security[セキュリティ]
SQLインジェクション攻撃の「最新傾向と対策」
サイトを守るシステム管理者にとっては、すでに対岸
の火事ではなくなっている。
では、どのようにしてSQLインジェクション攻撃を
防げばよいのか。SQLインジェクション攻撃の対象と
なる“Webアプリケーション”は人間(プログラマー)が
開発するものであり、その品質(セキュリティ・レベル)
は不変ではない。そのため、アプリケーション・レベ
ルの対策だけでは、どこかで対策漏れが発生する可
能性が残る。
SQLインジェクション対策をより完全に近づけ、
SQLインジェクション攻撃によるリスクを排除するた
めには、“アプリケーション・レベルでの対策漏れは必
ずある”という前提のうえで、Webシステム(注1)全
般において多層防御という考えに基づいた対策を実
施する必要がある。ここでは、インターネットに公開
しているWebシステム全般で実施するSQLインジェ
クション対策について解説する。
SQLインジェクション攻撃の基本的な手口
まず、SQLインジェクション攻撃の仕組みについ
攻撃対象は「無差別」もはや対岸の火事ではない
昨年末から今年にかけて、SQLインジェクション
攻撃による世界規模のWebサイト改竄事件が発生し
ている。2007年11月には海外のWebサイトのうち、4
万ページ以上がSQLインジェクション攻撃により改竄
されたと米国SANS Instituteが報告している。その
後も攻撃は続き、国内では2008年5月に独立行政法
人の情報処理推進機構(IPA)が「SQLインジェクショ
ン攻撃に関する注意喚起」を発表するまでに至った。
しかし、SQLインジェクションという攻撃手法は古
くから知られており、それ自体は新しいものではない。
では、ここにきてなぜSQLインジェクション攻撃によ
る事件が多発しているのか。その原因はSQLインジェ
クション攻撃の「攻撃対象の変化」とSQLインジェク
ション攻撃を自動化したツールによる「攻撃の簡易化」
によるものであると考えられる。以前のように、機密
情報を持っている特定の企業や官公庁が攻撃対象と
なるのではなく、検索エンジンなどで見つかったWeb
サイトが無差別に攻撃対象にされているのである。こ
のような背景から、SQLインジェクション攻撃はWeb
Computerworld September 200886
Technology Focus
S最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。
矢野 淳NRIセキュアテクノロジーズ コンサルティング事業部 セキュリティエンジニア
ecurity[セキュリティ]
SQLインジェクション攻撃の「最新傾向と対策」
拡大する被害に対して、ITマネジャーがとりうる防御策とは?
user_masterから取得する」となる(図2)。
上記が通常の処理であるが、もしユーザー IDとし
て「nonexistentuser’ or rownum = 1 --」(注3)と入
力された場合はどうなるだろうか(ちなみに、nonexis
tentuserというユーザー IDは存在していないと仮定
する)。
この場合、前述のSQL文は以下のとおりとなる。
select userid, password from user_master
where userid = ‘nonexistentuser’ or
rownum = 1 --’ and password = ‘nrisecure’
て解説するが、これについてはさまざまな書籍やイン
ターネット上などで詳しく解説されているため、ここ
では簡単な説明程度にとどめておく。
Webアプリケーションではデータベースに接続する
際に、内部でSQL文を作成している。この時、アプ
リケーション内では単純な“文字列合成”の処理が行
われていることが多い。例えば、図1のような会員制
Webサイトのログイン処理の場合、アプリケーション
内では下記のようなSQL文があらかじめ定義されて
いる(注2)。
定義されるSQL文の例:select userid, password from user_master
where userid = ‘ユーザーID’ and password = ‘パ
スワード’※ユーザーID、パスワードの部分は可変であり、通常変数名が割り当てられている。
このとき、例えばユーザー IDが「yano」、パスワー
ドが「nrisecure」である場合、ログインするときに生
成されるSQL文は以下のようになる。
select userid, password from user_master
where userid = ‘yano’ and password =
‘nrisecure’
このSQL文の意味としては、「useridがyanoであり、
かつpasswordがnrisecureであるデータをテーブル
注1:ここでは、Webアプリケーション、Webサーバ、データベース、ネットワークを「Webシステム」と表現とする
注2:SQLインジェクションをわかりやすく説明するため、このような平文のパスワードによるマッチング処理を例に挙げたが、本来ふさわしい処理であるとは言えない。実際には、データベース内にはパスワードのハッシュを格納し、ハッシュによるマッチングを行っていただきたい
注3:「rownum」はOracleで利用される擬似列(カラム)。SQL文で返されるデータの行番号として使用することができる
September 2008 Computerworld 87
Security Security会員制Webサイト
ログイン画面
ユーザーID:
パスワード:
Webサーバ
データベース・サーバ
HTTPリクエスト
HTTPレスポンス
インターネット
データ(SQL文の結果)
SQL文
図1:会員制Webサイトの例
user_masterテーブル
useridが‘yano’、パスワードが‘nrisecure’のデータを取得
userid password …… …… ……
Administrator admin …… …… ……
yano nrisecure …… …… ……
…… …… …… …… ……
○× △□ …… …………
図2:SELECT文で取得するデータ(通常の処理の場合)
Computerworld September 200888
Technology Focus
(上記の場合、「nonexistentuser’ or rownum = 1
--」)を与えることにより、元のSQL文の意味を書き
換え、Webアプリケーションに想定外のデータ操作を
させてしまうことを、SQLインジェクション攻撃という。
対策はほとんど進展せず人の“ミス”が大きな要因に
次に、WebサイトのSQLインジェクション対策の現
状を見てみよう。NRIセキュアテクノロジーズでは、
WebサイトにSQLインジェクションなどの脆弱性が存
在していないかを診断する「Webアプリケーション診
断サービス」を提供している。その中で参考情報とし
て2004年から毎年、「どのぐらいの確率でSQLインジェ
クション脆弱性が発見されたか」などの統計をとって
いる(図4)。
この統計を見ると、2005年は大規模な事件があっ
たため、SQLインジェクション攻撃を懸念した企業の
多くがWebアプリケーション診断を受けたことにより、
一時的に35%まで増加しているが、全体的に20%強
の割合でSQLインジェクション脆弱性が存在してい
ることがわかる。つまり、5つのWebサイトがあれば、
そのうち1つにはSQLインジェクション脆弱性が存在
しているという状態が過去4年間にわたり続いている
のである。統計の母数が少ないため、あくまで参考程
度にすぎないが、この結果だけを見れば、少なくとも
この4年間はSQLインジェクション対策がほとんど進
展していないように見える。
しかし、事実は少し異なる。この統計は当社の
Webアプリケーション診断サービスを受けていただい
た顧客の診断結果を基に算出したデータであり、そ
の中には毎年Webアプリケーションの改修があるたび
にWebアプリケーション診断サービスを受けている企
業もある。実際に、ほとんどの顧客は診断後に対策
を実施しており、診断をしている側としても堅牢な
このSQL文の意味としては「useridがnonexisten
tuserのデータ、もしくは1番目のデータをテーブル
user_masterから取得する」となる(図3)。この結果、
nonexistentuserというユーザー IDのデータは存在
しないため、もう1つの条件である“1番目のデータ”が
SQL文の結果として返されることになる。
ちなみに、SQL文中のグレーアウトされている部分
は、手前にある「--」によってコメントとして認識され
てしまい、SQL文としての意味を持たなくなる。よっ
てユーザーIDやパスワードを知らなくとも、データベー
スのuser_masterテーブルの1番目に登録されている
ユーザー(図3の例では、Administrator)として、ロ
グインが成功してしまうことになる(注4)。
このように、入力値からSQL文を生成するWebア
プリケーションの処理を悪用して、入力値に特殊な値
user_masterテーブル
useridがnonexistentuser、または1番目のデータを取得。nonexistentuserというuseridのデータがないため、一番上のデータを取得
Administrator admin …… …… ……
yano nrisecure …… …… ……
…… …… …… …… ……
○× △□ …… …………
userid password …… …… ……
図3:SELECT文で取得するデータ(不正な処理の場合)
注4:ただし、SQL文で返されるデータ群(レコードセット)の並び順は、必ずしも登録した順序にはならないため、“1番目に登録されているユーザー”は厳密に言えば正しくなく、正確には“返されるレコードセットの1番目のデータ”となる
0% 10% 20% 30% 40% 50%
2004年度(n=101)
2005年度(n=167)
2006年度(n=146)
2007年度(n=169)
n:診断対象のWebサイトの数
21%
35%
23%
22%
図4:NRIセキュアテクノロジーズの「Webアプリケーション診断サービス」におけるSQLインジェクションの発見割合推移
September 2008 Computerworld 89
Security Security
わたるアプリケーション開発、保守の問題であり、流
動的な開発人員、下請けや孫請けなど複数階層にも
わたる開発プロジェクトの構造などの要因から、開発
の現場で管理、徹底することが難しい。これらのこと
から、アプリケーション・レベルだけで完全に対策す
ることは、不可能ではないが現実としては非常に困難
だと言える。
攻撃者はいかにして利益を得ているのか
ここで、最近のSQLインジェクション攻撃の傾向
を見ていきたい。最近のSQLインジェクション攻撃の
特徴は、大きく分けて2つあると思われる。「データベー
ス内の情報入手」と、「データベース内の情報改竄」で
ある(図5)。
データベース内の情報入手を特徴とする攻撃は、
昨年末よりも前から存在していた。Webサイトのデー
タベース内にあるクレジットカード情報などの機密情
Webアプリケーションが増えてきていると感じている。
ではなぜ、統計的に見てSQLインジェクション対策
が進展していないのか。それは冒頭にも述べたとおり、
人間による“対策漏れ”によるところが大きい。Web
アプリケーション開発の段階で、ほとんどのSQLイン
ジェクションのの脆弱性をつぶしたとしても、たった1
つ“対策漏れ”があるだけで脆弱性を持つWebサイト
となってしまう。
このような“対策漏れ”が発生する主な要因として
は、そもそも安全な開発方式が事前に定められておら
ず、実装方法やそのセキュリティ・レベルが開発者個
人の能力や判断に依存してしまっている、あるいは、
アプリケーションの改修時や開発担当者の変更時、
チェック担当者の変更時などに、あらかじめ定めてお
いた安全な開発方式やチェック・ルールが守られなく
なるといったことが挙げられる。
前者についてはプロジェクト初期段階での意識お
よび取り決めの問題であり、改善・徹底することは比
較的容易である。しかし、後者については長期間に
インターネット
データベース内の情報入手
Webサーバ
データベース・サーバ
機密情報を入手!
攻撃者
インターネット
機密情報(クレジットカード情報など)
データベース内の情報改竄
Webサーバ
データベース・サーバ
攻撃者Webサイトで利用する情報
Webサイトで利用されるデータを改竄!
図5:最近のSQLインジェクション攻撃の特徴
Computerworld September 200890
Technology Focus
報を盗み出して、それを転売する、もしくは不正利用
するといった形で攻撃者は利益を得ていたのである。
これについては、目的と手段が直結しており、理解し
やすい。
一方、最近の一連のSQLインジェクション事件で
は、データベース内の情報改竄が主な特徴とされて
いる。このように特徴が変化しつつある背景としては、
2005年の大規模なSQLインジェクション攻撃事件以
降、機密情報を扱うWebサイトがSQLインジェクショ
ン対策に力を入れ始めたため、以前のように機密情
報を盗み出すことが困難になってきたことが理由であ
ると推測される。そのため攻撃者はSQLインジェク
ション攻撃のターゲットを、「機密情報を持っている
Webサイト」から、単に「SQLインジェクションの脆弱
性のあるWebサイト」にシフトしていったと思われる。
では、攻撃者は、データベース内にある機密情報
を得ずに“データベース内のデータを改竄する”ことに
よって、どのようにして利益を得るのであろうか。こ
れについてはSANSなどのいくつかのセキュリティ関
連団体からも報告されている。これらの報告や当社の
調査結果から、最近の一連のWebサイト改竄事件で
は、攻撃者は以下のような手口で利益を得ていると
考えられる(図6)。
1 攻撃者は罠のサイトを作り、そこに不正なスクリ
プトを配置する。
2 攻撃者は、自動的にSQLインジェクション攻撃
を行うツール(画面1)上でGoogleや百度などの
RMTで換金 検索サイト
SQLインジェクション脆弱性のあるサイト
攻撃者
罠のサイト
不正なスクリプト
インターネット
1
脆弱性がありそうなサイトを検索2
3
4
攻撃者
SQLインジェクション攻撃が成功すると、データベースのデータに不正なタグを追加する
5エンドユーザーが攻撃の被害に遭ったサイトを閲覧すると、罠のサイトのスクリプトを参照してしまう
6
6
7
7
不正なスクリプトによって、罠のサイトに強制的にアクセスさせられ、Windowsなどの脆弱性を狙った攻撃を仕掛けられる
8攻撃が成功
9
10
9
エンドユーザーのPC内の機密情報が攻撃者へ送られる
自動的にSQLインジェクション攻撃を試行する
エンドユーザー
8
図6:最近のSQLインジェクション攻撃の手口
September 2008 Computerworld 91
Security Security検索サイトへ接続し、「asp」や「?id=」などのキー
ワードで検索する。
3 2の検索にマッチしたWebサイトのURLを前述
のツールが自動で検出し、SQLインジェクショ
ン攻撃を試行する。
4 SQLインジェクション攻撃が成功した場合、攻
撃者はデータベース内の文字列データに、1で
用意した不正なスクリプトを“参照するタグ”を
追加する。
※このデータがWebサイトの画面上に表示され
るため、これによりWebサイトは“改竄”された
状態となる。
5 この改竄されたWebサイトを参照したエンドユー
ザーが、4のタグを読み込み、罠のサイトから不
正なスクリプトをダウンロードさせられる。
6 その結果、エンドユーザーは1で用意された罠の
サイトへ強制的にアクセス(リダイレクト)させら
れる。
7 罠のサイトでは、アクセスしてきたエンドユー
ザーに対して、Windowsの脆弱性(MS06-014/
MS06-057/MS07-004)やRealPlayerなどの
アプリケーションの脆弱性を狙った攻撃を実行
する。
8 攻撃が成功した場合、攻撃者はエンドユーザー
のPCにスパイウェアを仕掛ける。
9 スパイウェアはそのPCの中から、オンラインゲー
ムのアカウント情報やクレジットカード情報など
の機密情報を抜き出し、攻撃者へ送信する。
10 攻撃者はその情報を利用して、インターネット
上のリアル・マネー・トレーディング(RMT)で換
金し、利益を得る。
このような方法で攻撃者はSQLインジェクション攻
撃を利用していたと考えられる。つまり、目的はWeb
サイトが持っている機密情報ではなく、そのWebサイ
トを利用するエンドユーザーのPCの中にある機密情
報であったということになる。
また、今までの傾向では、基本的にマイクロソフト
のSQL ServerとIIS/ASPという組み合わせが狙わ
れていた。その理由としては、この組み合わせには
SQLインジェクション攻撃で悪用されやすい機能や
特徴が多くあるということが挙げられる。しかし最近、
OracleやMySQLなどの他のDBMS(データベース管
理システム)に対するSQLインジェクション攻撃に関
する記述もインターネット上で確認されている。今後
はSQL ServerとIIS/ASPを利用しているWebサイ
トだけでなく、他のDBMSを利用しているWebサイト
も同様に攻撃対象となる可能性があるため、注意が
必要である。
“対策漏れ”を前提に包括的な対策を講じる
では、どのようにしてSQLインジェクション対策を
施すべきか。まず対策の方針としては、冒頭で述べ
たようにSQLインジェクション対策をWebアプリケー
ションだけの問題としてとらえるのではなく、Webシ
ステム全体の問題としてとらえるべきである。SQLイ
ンジェクション対策というとアプリケーション・レベル
での対策をまず考えることが多いが、それだけではプ
画面1:自動でSQLインジェクション攻撃を実行するツールの例
Computerworld September 200892
Technology Focus
ログラミングにミスがあるたびにSQLインジェクション
攻撃のリスクにさらされることになり、対策としては不
十分である。もちろんアプリケーション・レベルでの対
策は必須であり、最も重要ではあるが、“対策漏れは
ある”という前提のうえでさらに一歩進んだ総合的な
対策をとるのであれば、Webシステム全体を見直し、
各ポイントにおいて対策を実施することが重要となる。
インターネットに公開されているWebシステムを例
に、各ポイントでの対策例について表1にまとめた。
この表を見れば対策の内容はおおむね理解してい
ただけると思う。これらの各ポイントで対策を施すこ
とによって、Webシステム全体としての多層防御が可
能となり、たとえ1カ所でミスや漏れがあったとしても、
被害を未然に防ぐ、もしくは攻撃されたときの被害を
最小限にすることが可能となる。
また、意外にもデータベースでできる対策が数多く
あることがわかる。データベースは一般的に可用性、
完全性が重視され、“安定して動き続ける”ことが要求
されている。しかし、世界中でWebアプリケーション
のセキュリティが破られている現在、これらの攻撃か
らWebサイトを守るために、データベースには“安定
稼働”だけでなく、データの機密性を守る1つのとりで
としての役割が期待される。データベースのデフォル
ト設定は比較的脆弱であるが、セキュリティ・レベル
を上げるための手段(設定方法)は用意されているた
め、各種DBMSベンダーの提供しているチェック・リ
ストを参考に対策を実施することができる。この機会
にデータベースのセキュリティ設定を見直し、1つの防
内容
Hiddenパラメータを含む全入力値の妥当性検証を行う。数値データであれば、「数値であること」「想定される範囲内の値であること」、文字列データであれば「シングル・クォートなどの想定外の文字種が含まれていないこと」などが挙げられる。
SQL文を動的に生成するのではなく、バインド・メカニズムを利用し、メタキャラの混入を防ぐ。
Internal Server Errorなどのアプリケーション・エラーの際に、データベースのエラーメッセージをそのままブラウザ上に表示しないように、代わりにカスタマイズしたエラーページを表示するよう設定する。
Webアプリケーションが利用するデータベース接続アカウントに、必要最小限の権限のみを割り当てる。
パスワードは平文で格納せず、ハッシュ値を記録する。それ以外の機密情報も必要に応じて暗号化する。
各種DBMSベンダーが提供しているチェック・リスト等を参考に、データベースのセキュリティ強化を行う。
各種DBMSに、デフォルトで不要かつ危険なストアドプロシージャやファンクションが利用可能となっている場合があるため、それらの実行権限を制限する。
データベース・サーバの名前・アドレス解決にDNSサービスを使用せずに、hostsファイルを使用する。
データベースからインターネットへの接続を、必要なもの以外はすべてフィルタする。
Webシステムの防御ポイント
Webアプリケーション
Webサーバ
データベース
ネットワーク
対策
入力値検証
バインド・メカニズムの利用
エラー・ハンドリングとエラー情報表示の抑止
適切な権限設定
機密情報の暗号化
データベースのセキュリティ強化
不要なデフォルト権限の削除
DNS設定の無効化
ファイアウォール(FW)によるフィルタリング
表1:インターネットに公開されているWebシステム全般におけるSQLインジェクション対策例
September 2008 Computerworld 93
Security Security御壁としてデータベースを再構成していただきたい。
表1で挙げただけでなく、さらにWebシステム全般
のセキュリティ・レベルを上げたいのであれば、WAF
(Web Application Firewall)の導入も検討すべきで
あろう。開発者にセキュア・プログラミングをどれだけ
教育したとしても、アプリケーションに対するテストを
どれだけ実施させたとしても、アプリケーションを開
発しているのが人間である以上、ミスをしてしまう可
能性はある。こういった万が一の事態における損失が
大きいと判断できる場合や、緊急避難的にSQLイン
ジェクション対策をしておきたい場合は、WAFの導
入が有効と言える。
また、カード・信販業界のセキュリティ基準である
PCIデータ・セキュリティ・スタンダード(PCI DSS)
では、2008年7月1日から下記の要件を必須としている。
PCI DSSの要件6.6
すべてのWebに面したアプリケーションは、
以下のどちらかの手法を適用することで既知の
攻撃から防護されなければならない。
● カスタム・アプリケーション・コードについては、アプリケーション・セキュリティに特化した組織に依頼して、一般的な脆弱性についての見直しをしてもらう
● Webに面したアプリケーションの手前に、アプリケーション・レイヤ・ファイアウォールをインストールする
WAFを導入することによって、この要件6.6を満
たすことができるため、クレジットカード情報を取り扱
うWebサイトで、かつPCI DSS準拠を目指すのであ
れば、このような意味でもWAFの導入は検討対象と
なるであろう。
また、今回は“アプリケーション・レベルの対策には
必ず漏れがある”という前提で、Webシステムの総合
的な対策に重点をおいて解説したが、アプリケーショ
ン開発の現場での対策も当然必要である。セキュア・
プログラミング教育、セキュリティ設計レビュー、ソー
スコード・チェックなどをアプリケーション開発サイク
ルに組み込み、SQLインジェクション脆弱性を作りこ
まないようにする予防的な取り組みも、長期的な観点
で実施する必要がある。Webアプリケーションを自社
開発していない場合でも、RFPなどにセキュリティ対
策を要件として組み込み、受け入れ時にセキュリティ
診断を実施するように、あらかじめ計画しておくこと
を推奨する。RFPに記載するセキュリティ対策につ
いてはNPOの日本ネットワークセキュリティ協会
(JNSA)が作成している「Webシステム セキュリティ
要求仕様(RFP)」などの参考資料がある。
しかし、現実の問題として、ここに記載している対
策をすべて実施しようとすると、かなり大変である。
多層防御の観点は理想的な対策ではあるが、実際に
これほどシステム細部にまで手をかけるとなると、か
なり多くの時間とコストが必要となる。手軽でかつ安
価に対策できる方法がほかにあればよいが、残念な
がら現状そういったソリューションはなく、手間かコ
ストのどちらかをかけなければならない。現実的に考
えて、今すぐにSQLインジェクション対策をしようと
した場合、表1の対策を上から実施し多層防御を目指
すか、もしくはある程度のコストをかけてWAFを導
入するかのどちらかが有力な選択肢であろう。しかし、
もう1つ代替策を挙げるとすれば、mod_security(注5)などのオープンソースで提供されているWAFを利
用するという方法がある。前述の自動攻撃ツールに
よる大規模なSQLインジェクション改竄攻撃は、機
械的かつ無差別にSQLインジェクション攻撃を行う
ため、攻撃自体は同じようなものが多い。そのため、
商用でないWAFであっても、自動攻撃ツールによる
SQLインジェクション攻撃のリスクをある程度軽減
注5:オープンソースのWAF。Apacheのモジュールとして動作する。http://www.modsecurity.org/
注6:WAFやIPS/IDSなどのパターンマッチングによる防御を回避するような攻撃も確認されている。そのため、例えばmod_securityであれば、フィルタリング・ルールを工夫したり、ポジティブ・セキュリティ・モデルを利用したりするなどの検討が必要である
Computerworld September 200894
Technology Focus
することができると考えられる(注6)。オープンソー
スであるため、障害が発生しても自己責任で対応し
なければならないというリスクや手間はあるが、“SQL
インジェクション対策をしたいが、商用のWAFを購
入するには予算が足りない”という場合の緊急回避策
として、有力な選択肢となるであろう。
ただし、商用、オープンソース、どちらにしても
WAFを導入するには十分なコストと検証が必要にな
る。それらを踏まえて、表1の対策を実施するために
必要なコストと比較し、検討していただきたい。
手口は変われど攻撃者の狙いは変わらず
92ページの表1で「DNS設定の無効化」と「FWに
よるフィルタリング」が対策項目に入っているが、その
理由について説明したい。
昨年、ラスベガスで開催されたインターネット・セキュ
リティ関連のコンファレンス「DEFCON」において、セ
キュリティ専門家のパトリック・カールソン(Patrik
Karlsson)氏による「SQL-Injection & OOB-
channels」と題した講演が行われた。簡単にその内容
を説明すると、SQLインジェクション攻撃ではHTTP
通信を利用して、データベースの情報を盗み出すの
が一般的だが(図7)、同講演では、SQL Serverの
OPENROWSETやOrac l eのUTL_HTTP/
UTL_TCPなどの機能を利用して、情報を盗み出す
手法が紹介された(図8)。
これらの手法は「データベース内の情報搾取」を目
的とする攻撃であり、データベース・サーバに「インター
ネットへ直接アクセスさせる」、もしくは「DNSによる
名前解決を行わせる」など、自発的なネットワーク・ア
クセスを発生させる点が特徴となっている。
対策としては、まず何よりもOPENROWSETや
UTL_HTTP/UTL_TCPをはじめとした不要な機
能を制限するなど、データベースのセキュリティ強化
を行うことだが、これに加えてデータベース・サーバ
からのインターネットへのアクセスを防ぐという観点も
同時に重要となる。通常、このようにデータベース・サー
バからのインターネット・アクセスが禁止されている
Webサイトが多いが、Webアプリケーション診断をし
ていると、時折、図8の例のようにインターネットへの
アクセスを禁止していないWebサイトを見かける。イ
ンバウンド・パケットのフィルタリングだけでなく、ア
機密情報を入手!機密情報1機密情報2機密情報3
Webサーバ
データベース・サーバ
SQLインジェクション攻撃
SQLインジェクション攻撃結果
インターネット
データ(SQL文の実行結果)
SQL文
通常は、リクエスト、レスポンスともにHTTP通信を経由して攻撃が行われる
攻撃者
図7:通常のSQLインジェクション攻撃の例
September 2008 Computerworld 95
Security Securityウトバウンド・パケットのフィルタリングを行うことで、
このような不要な情報漏洩のリスクを回避することが
できる。
もう1つの対策であるDNS設定の無効化について
は、実際に稼働しているシステムに実施するのは難し
いかもしれないが、FWのフィルタリングについては、
対策を実施しても運用上問題ないケースがほとんどで
あると思われる。仮にデータベース・サーバがインター
ネット上のホストへ接続する必要があったとしても、
インターネット上の不特定多数のホストが対象ではな
いはずである。その場合、必要なホストへのみアクセ
スできるようにフィルタ設定すればよい。ここで今一
度、不要なリスクの可能性を排除するために、FWの
フィルタリング・ルールを見直していただきたい。
最近の一連のSQLインジェクション攻撃で、この
手法が使われたという話はまだ確認できていないが、
これらはすでに公開されている情報であるため、今後
利用される可能性はあると考えられる。仮に今後、こ
れらの手法が使われることがなかったとしても、攻撃
者が利用できる手段の1つではあるため、少なくとも
こういった攻撃があることだけでも、ここで覚えてい
ただき、今後の設計・構築・運用業務やインシデント・
レスポンスの際の参考としていただきたい。
* * *
上述したように、SQLインジェクション対策は総合
的に行う必要がある。1つの層で完結するような完全
な対策はないということを前提に、Webシステム全体
で多層構成での防御を実装し、1つの層が突破され
ても他の層でカバーできるような仕組みを構築すべき
である。そして攻撃手法が変わるたびに慌てて対策
しなければいけないような状況に陥らないよう、Web
システム内にある不要なリスクはあらかじめ排除して
おきたい。
今後、SQLインジェクションを利用した攻撃手法
はさらに自動化・多様化・複雑化していくものと考えら
れる。しかし攻撃手法は変われども、攻撃者の狙い
は今後も、基本的な対策漏れのあるアプリケーション
や必要以上に緩いセキュリティ設定のWebサイトであ
る。ここで今一度、Webシステム全体を見直し、総
合的なセキュリティ・レベルの向上を図ることで、
SQLインジェクションを代表とするWebアプリケー
ションに対する攻撃のリスクからWebサイトを守って
いただきたい。
機密情報を入手!
Webサーバ
SQLインジェクション攻撃
SQLインジェクション攻撃結果
インターネット
SQL文(OPENROWSETやUTL_HTTPなど)
データベース・サーバから、攻撃結果のレスポンスが直接攻撃者の元へ送られる(通信はHTTPとはかぎらない)
データベース・サーバ
攻撃者
図8:「SQL - Injection & OOB - channels」攻撃の例
Citrix Systemsはこのターミナル・サービスを強化す
るアドオンとして「MetaFrame」の提供を開始した。
その後、CitrixのMetaFrameを用いたSIソリュー
ションの充実や、Sunのシン・クライアント・システム
「Sun Ray」の登場により、シン・クライアント、あるい
はアプリケーション処理をサーバ側で行う「サーバ・
ベースド・コンピューティング」が情報システム部門を
中心として広く認知されるようになった。しかし、シ
ステムの導入にはクライアント端末だけでなく、新規
にサーバの導入も必要であるため、システム全体とし
て導入コストが高くなる点などが影響し、シン・クライ
アントは期待されたほど普及しなかった。
そして現在、シン・クライアントに3度目のブームが
到来している。個人情報保護法への対応や情報漏洩
対策に代表されるセキュリティ強化のほか、ビジネス・
コンティニュイティ(BC)のような事業継続性に対する
意識の高まりなど、法令順守や企業が負う社会的責
任への1つの“解”として、シン・クライアントの有効性
が実証されてきたことが、その火付け役となっている
(図1)。 また、2004年ごろからシン・クライアントの企業導
入を支える基盤技術が多数登場している。このことも、
シン・クライアントに到来した3度目のブーム
シン・クライアントは、これまでも何度か話題に上っ
てきたテクノロジーだ。古くは1990年代後半、当時は
まだ高額であったPCに代わる企業向けコンピュータ
として、米国Oracleがシン・クライアント構想に基づ
く「ネットワーク・コンピュータ(NC)」戦略を発表した。
米国Sun MicrosystemsもNCを実現する機器として
「JavaStation」を提供していた。
NCは、「IPベースのネットワーク」、「Javaベースの
プログラミング環境」、「アーキテクチャ上の中立性」、
「維持・導入コストが安価」、「高いセキュリティ性」など、
当時としては先進的なコンセプトを有していた。しか
し、PCの低価格化が進んだことに加えて、ネットワー
ク環境の整備が不十分であったり、NCの普及を目指
すアライアンス・メンバーに米国Microsoftが不参加
であったりと複数の要因が絡み合い、結局、普及に
は至らなかった。
2000年代に入るとシン・クライアントに再びブーム
が訪れる。Microsoftがターミナル・サービスを標準
で備えたWindows 2000 Serverをリリースし、米国
Computerworld September 200896
Technology Focus
S企業の情報システムを担う次世代クライアント技術として「シン・クライアント」が注目を集めて久しい。これまで何度かブームを巻き起こしてきたが、そのたびに導入コストの高さなどがネックとなり、大規模な普及には至らなかった。だが、ここにきて端末価格の低価格化や仮想化技術の応用により、これまでの課題が克服されつつある。さらにシン・クライアントのホスティング・サービスが登場するなど、サービス形態も多様化してきた。そこで本稿では、今回のブームの背景とともに、進化するシン・クライントの最新事情を解説する。
藤吉栄二野村総合研究所 情報技術本部 技術調査部 主任研究員
ecurity[セキュリティ]
進化する「シン・クライアント」──ブーム再来の背景と今後の展望低価格化やサービスの多様化で、普及へ向けて“3度目の正直”となるか
クライアントを定義することは困難になってきた。そこ
で現在では、「端末側にデータ/アプリケーションを置
かず、サーバ側にアクセスして処理するシステム」をシ
ン・クライアントと定義するのが一般的だ。
シン・クライアントは、サーバ・ベースのコンピュー
ティング環境を提供するベンダー各社の製品アーキテ
クチャに基づき、いくつか方式が分かれている。以下
では代表的な4つのシン・クライアント・アーキテクチャ
について解説する(98ページの図2)。
■画面転送型 CitrixのMetaFrameやSunのSun Rayなどに採用
されている画面転送型は、2000年ごろに登場したアー
キテクチャだ。同方式では、クライアント端末に専用
ソフトウェアを実装し、サーバ上で処理したアプリケー
ションの実行結果を画面イメージとして端末に送る。
CitrixはICA(Independent Computing Architec
ture)、MicrosoftはRDP(Remote Desktop Proto
col)、SunはALP(Appliance Link Protocol)、
「GO-Global」(米国GraphOnが開発)のRapid-Xなど、
製品ごとにプロトコルが異なっている。
画面転送型は、サーバ上のアプリケーションを複
数のユーザーで同時に利用するため、アプリケーショ
ン側でマルチユーザー対応の検証が必要である。また、
今回のブームを支える理由の1つであると言えよう。
調査会社のIDC Japanによると、2007年度におけ
るハードディスク未搭載のシン・クライアント端末の出
荷台数は12万台(汎用PCのシン・クライアント利用を
含めると19万台)であり、今後は年率40%前後の成長
が見込めるという。同社は、2012年にはシン・クライ
アント端末の出荷台数が110万台に達すると予測して
いる。3000万台以上と言われる国内の企業向けPC
市場からすると、まだごくわずかであるが、シン・クラ
イアントは着実に浸透していくはずである。
シン・クライアントの4方式それぞれの得意分野
ここでどういったシステムをシン・クライアントと呼
ぶのか、その定義を再確認してみる。「Thin(薄い)」い
う名前が示すように、クライアント端末で実行する機
能をキーボード操作/マウス操作/ディスプレイ表示
など必要最低限のものに限定し、それ以外はサーバ
側で処理を行うシステムをシン・クライアントと呼んで
いる。
最近では、処理の一部をサーバ側で行うAjax
(Asynchronous JavaScript+XML)のような技術も
普及し始めており、ソフトウェア処理だけを見てシン・
September 2008 Computerworld 97
Security Security
第3次ブーム : セキュリティ強化(コンプライアンス)
第2次ブーム : サーバ統合(限定的な利用)
第1次ブーム : シン・クライアント概念の登場
企業利用の可能性
PCの低価格化と企業導入の拡大
高い導入コストや利用可能アプリに制約
●OracleがNCを発表(1996年)
●SunがJavaStationを発表(1997年)
●Microsoftがターミナル・サービスをWindows Serverに搭載(2000年)
●ブレードPC型の登場(2004年)
●仮想PC型の登場(2005年)
●個人情報保護法施行(2005年)
2000年 2005年*資料 : 野村総合研究所
図1:シン・クライアント・ブームの変遷
Computerworld September 200898
Technology Focus
特徴としては、自分好みのWindows環境を再現で
きる点が挙げられる。利用者が増えるほどブレードの
数も増えるため、比較的コスト高になってしまうが、
ブレードPC型はシステム設計が容易であるうえに、
ブレードに搭載されたCPUリソースをユーザーごとに
フル活用できる。
■仮想PC型 仮想PC型は、仮想化技術を利用してサーバ上に
複数の仮想的なPC環境を構築する方式である。サー
バ側では、複数の仮想的なデスクトップ環境を1つの
CPUで動作させるため、CPUの利用効率を上げるこ
とが可能だ。その反面、仮想的なデスクトップ環境の
プロビジョニングやCPUの負荷状況に応じた動的な
再配置など、運用にかかわる高度なスキルが要求さ
れる。
上述した4つのアーキテクチャは、登場した時期こ
そ異なるものの、その特徴は一長一短であるため、実
際に導入する場合には業務形態に応じて最適な方式
を選択する必要がある。図3では業務形態を3つに分
類し、それぞれの特徴に合わせた最適なアーキテク
画面情報の描画方法が製品ごとに異なるため、動画
の取り扱いには適さないケースもある。
■ネットワーク・ブート型 ネットワーク・ブート型は、OSとアプリケーション・
イメージをサーバ側に置き、クライアント端末を起動
した際にこれらのイメージをサーバから取得する方式
だ。クライアント端末のメモリ上でOSを起動するため、
他のアーキテクチャと異なり、アプリケーション処理
はクライアント側で実行される。
また、OSイメージがサーバ側で常に管理されるた
め、クライアント側でOSに問題が発生した場合には、
再ブートさえすればクリーンなOSがクライアントに展
開できる。さらに、性能の向上が著しいクライアント
端末のCPUリソースを生かしやすい。
■ブレードPC型 ブレードPC型では、サーバ・ルームに設置された
ブレード1枚ごとにクライアント端末を割り振る方式で
ある。クライアント側は、Windows XP Embedded
上に専用ソフトウェアを実装し、ICAやRDPなどのプ
ロトコルを使って画面を転送する。
アプリ
Citrix Presentation Serverなど
Windows Server 2003など
CPU/メモリ
仮想PC基盤
CPU/メモリ
Windows Server 2003
CPU/メモリ CPU/メモリ
ブレードPC
CPU/メモリ
Windows Windows
アプリ アプリ Windows
アプリ
Windows
アプリブレードPC
サーバ サーバ サーバ サーバ
画面転送型 ネットワーク・ブート型 ブレードPC型 仮想PC型
RDP/ICAクライアント
OS
CPU/メモリ
Windows
アプリ
クライアントPC クライアントPC
クライアントPC
CPU/メモリ
Windows
アプリ
CPU/メモリ
クライアントPC クライアントPC
CPU/メモリ CPU/メモリ
OS OS
RDPクライアント
RDPクライアント
クライアントPC クライアントPC
CPU/メモリ CPU/メモリ
OS OS
RDP/ICAクライアント
RDP/ICAクライアント
RDP/ICAなどRDP/ICAなど RDP
アプリ
ディスク・イメージ
アプリ
ディスク・イメージ
Windows Windows
図2:4つのシン・クライアント・アーキテクチャ
*資料:野村総合研究所
September 2008 Computerworld 99
Security Security並みの価格と操作性に加え、システム全体における
運用管理の効率化を実現している点にある。以下で
はその具体的な論拠を説明していく。
シン・クライアント端末の低価格化 今回のブームを特徴づける変化の1つが、低価格シ
ン・クライアント端末の登場である。導入障壁となっ
ていた「初期導入コストの高さ」も低価格端末の登場
で風向きが変わりつつある。2007年以降、米国Wyse
Technologyや米国Hewlett-Packard(HP)のほか、
国内ベンダーの提供するシン・クライアント端末が3万
円台から提供されており、そのラインアップも充実し
てきている(100ページの図4)。 「シン・クライアントは高い」という印象により、導入
を控えてきた企業からすれば、端末の低価格化は導
入を推進する契機となりうるだろう。ただし、注意す
べき点もある。低価格端末は機能を絞っているため、
ソフト・フォンに未対応だったり、グラフィックスの処
理能力が低かったりといくらか制約がある。そのうえ、
サーバ側のコストも考慮しなくてはならない。
また、低価格端末は市場に登場してきたばかりで
ある。海外製シン・クライアント端末の品質を懸念す
るユーザーがいることから部品調達と製造体制を国内
に移管したサイボウズ・メディアアンドテクノロジーの
ように、価格面だけを見るのではなく、導入する際に
はその品質や故障時のサポート体制を含めた総合的
な判断が必要である。
チャを示している。
例えば、コールセンターや役場、病院、教育機関
のような、定型的なタスクに従って業務を行う業種で
は利用するアプリケーションが限定的である。特定の
アプリケーションに限定するのであれば画面転送型は
有効であるし、1台のクライアント端末を複数のユー
ザーが利用する教育現場などではネットワーク・ブー
ト型も効果的だ。
一方、特定のアプリケーションであっても、金融計
算やCAD、動画編集など専門性のあるアプリケーショ
ンを利用する業務では、高いCPU処理能力が要求さ
れる。したがって、CPUリソースの確保や動画表示
への対応が必須となる。そのため、こうした業務では、
クライアント端末のCPU能力をフルに活用してアプリ
ケーションの高速処理が可能なネットワーク・ブート
型や、ユーザーごとにブレードのCPU能力を占有で
きるブレードPC型が効果を発揮する。
ユーザーごとに異なるOS/アプリ環境の構築が必
要で、さらにCPUの利用状況がユーザーごとにバラ
バラである場合には、パフォーマンスを重視するなら
ブレードPC型、サーバ・リソースの有効活用を重視
するなら仮想PC型を選択するのが適切だろう。
端末の低価格化や機能面の充実で導入障壁は下がる傾向に
近年のシン・クライアント・システムの特徴は、PC
公共機関(役場や教育現場)やコールセンターなど定型業務が主体
●小・中規模のユーザー数●ユーザーに応じて利用可能なアプリを制限特定業務
画面転送型
ネットワーク・ブート型
トレーダーやCADエンジニアなどCPUリソースやグラフィックス処理を駆使
●CADや動画を積極活用●OSのメンテナンスは最小限(ブートで再設定可)専門業務
ネットワーク・ブート型
ブレードPC型
営業(および営業支援)やエンジニアなど多様なアプリを利用
●ユーザーに応じた複数のOS/アプリ環境を構築●CPUの利用状況はバラバラ一般業務
仮想PC型
ブレードPC型
業務の特徴 システムへの要求例 採用するアーキテクチャ例
*資料 : 野村総合研究所
図3:シン・クライアントの利用シーンと適したアーキテクチャ
Computerworld September 2008100
Technology Focus
従来イメージを覆す充実の機能群 これまでのシン・クライアント端末は、「操作性が異
なる」、「機能面で制約がある」といったイメージが強
かった。例えば、画面転送型では、利用するのにク
ライアント側とサーバ側のそれぞれでログインが必要
であった。また、機能面でも動画処理やソフトフォン
の利用が難しかった。
しかし最近では、端末側とサーバ側の処理性能が
向上しているほか、ミドルウェア製品の機能充実や運
用面での対応により、これらの課題は解決されつつあ
る。上述した2段階ログインは、ほとんどのミドルウェ
ア製品で標準あるいはオプション対応となっている。
動画処理に関しても、例えば、Wyse Technologyの
「Wyse TCX」を利用すれば専用プロトコルを利用し
て動画ファイルのシームレスな表示が可能であるし、
Go-Globalでは、独自のAPIトラップ技術を用いて画
像描画命令をクライアント端末に送り、端末側で画
像処理を行っている。
また、処理する際に一定のCPUリソースを食うソ
フトフォンのようなアプリケーションは、1つのCPUを
複数のユーザーが共有する仮想PC型には不向きであ
る。そのため、NECが提供している仮想PC型シン・
クライアントでは、ソフトフォンの音声処理をクライア
ント端末側で行うことにより、負荷分散を実現してい
る。
仮想化がシン・クライアントの成熟化を後押し これからのシン・クライアントを支える重要な技術と
して仮想化が注目を集めている。仮想化技術を利用
すれば、ユーザーごとのデスクトップ環境をサーバ内
へ効率的に配置でき、運用の最適化が実現される。
仮想PC型シン・クライアントが登場した当初は、サー
バ側のスペックが低く、ブレードPCよりコスト高になっ
てしまうケースも見られたが、最近ではサーバ向け
CPUのクアッドコア化によって共有可能なユーザー
数が1つのCPU当たり倍以上となり、より効率的な運
用ができるようになった。
仮想PC型はこれまでNECの独壇場であったが、
2008年5月には米国VMwareの仮想化技術を用いて
同方式の提供を開始するとHPが発表した。さらにシ
ン・クライアント市場の老舗であるCitrixも、「Xen
Desktop」により仮想PC型の提供を開始した。こうし
た仮想化技術を巡る動向は、今後、シン・クライアン
トのさらなる技術進化と成熟化を推進するだろう。
製品名
OS
CPU
メモリ
消費電力
参考価格(税込)
発売日
MiNT-ACCcute-30U
独自(BasilWare)
HB303300MHz
128MB
平均6W最大19W
3万1,290円
2007年11月
ミントウェーブ
US110E
Windows CE
ARM926J400MHz
128MB
平均11W最大25W
3万7,800円
2008年4月
NEC HP
HPCompaq t5135
独自(HP ThinConnect)
VIA Eden400MHz
128MB
最大40W
3万450円
2008年1月
*資料 : 各社カタログを参考に野村総合研究所が作成
FLORA Se330
Windows XPEmbedded SP2
VIA C7
256MB
平均18W最大37W
7万2,450円
2006年4月
日立製作所
Wyse S10
独自(Wyse Thin OS)
AMD GeodeGX 366MHz
128MB
平均5.6W
オープン(実売4万4,000円程度)
2005年11月
WyseTechnology
RT-500
Windows XPEmbedded SP2
AMD GeodeLX800 500MHz
256MB
6W
オープン
2006年4月
サイボウズ・メディアアンドテクノロジー
図4:低価格シン・クライアント端末の一覧
September 2008 Computerworld 101
Security Security市場環境から見るシン・クライアントの導入シナリオ
企業が置かれた最近の市場環境を勘案すると、具
体的にどのような視点でシン・クライアントを活用すべ
きなのであろうか。以下では企業の視点から見たシン・
クライアントの導入シナリオを解説する。
セキュリティ強化の1つの手段として 現在のブームは、シン・クライアントの技術的進化
もさることながら、個人情報保護法や度重なる情報
漏洩事件など、法令順守や社会的背景によるところ
が大きい。そのような中、多くの企業はシン・クライア
ントを導入せずとも、セキュリティ強化策としてUSB
メモリの使用禁止やインストール・アプリケーションの
登録、リモート監視などさまざまな対策を講じている。
そのため、シン・クライアントを導入すべきかどうかは、
実のところ悩ましい点である。
いっそうのセキュリティ強化を目的としてシン・クラ
イアントを導入するのであれば、USBメモリが接続で
きないシン・クライアント端末を利用してデータの持ち
出しを強制的に制限したり、ICカードや生体認証と
組み合わせて本人確認プロセスを強化したりするなど
の対応を考慮すべきである。
グリーンITといった新たな経営課題への対応 シン・クライアントは電力消費量が少ないため、グ
リーンITの実現に貢献する。専用端末の場合、ハー
ドディスク・ドライブなどの駆動系を有していないため、
低消費なCPUを搭載可能だ。さらにLinuxやWin
dows XP Embeddedなどの組み込み系OSを搭載し
た場合、その平均消費電力は6Wから20W程度となり、
汎用PCと比較して5分の1から半分程度まで電力消
費量を削減できる。
また、BCやディザスタ・リカバリ(DR)においてもシ
ン・クライアントは有効である。例えば、自然災害な
どでオフィスを利用できないようなケースでも、バック
アップ・サイトや自宅からデータセンターに接続するこ
とで、これまでの作業環境を再現してシームレスに業
務を継続することが可能だ。
NECの米国現地法人であるNECコーポレーション・
オブ・アメリカは、住友信託銀行ニューヨーク支店が
実施したクライアント端末更新の第1段として、2008
年1月に30台のシン・クライアント端末を導入した。こ
の背景には、セキュリティ強化と事業継続性に対す
る強いニーズが大きく関係している。さらに今後は、
米国金融機関の間でBCを主目的としたシン・クライア
ントの導入が加速する見通しである。
あらためて求められるTCO削減の視点 周辺技術の進歩により、シン・クライアントはPC並
みの性能と使い勝手を実現しつつ、セキュリティやグ
リーンIT、事業継続性などの経営課題にも対応可能
となった。しかし、これらの課題はシン・クライアント
でなければ解決できないというわけではない。そのた
め、シン・クライアントは部分的に導入はされても、大
規模な導入にはつながってこなかった。
一方、われわれは日々の業務において、もはやPC
なくしてビジネスの遂行は不可能となった。そこで、
シン・クライアントを導入し、社員の手間となりがちな
アプリケーションのセッティングやセキュリティ・パッ
チの適用、さらにはPCのライフ・サイクル管理を自動
化することで社員の生産性を向上させる。つまり、シ
ン・クライアントを導入してコンプライアンスや社会的
問題へ対応するとともに、ビジネスを進めるうえでの
競争優位性となる社員の生産性向上を果たす──。
それがシン・クライアントの“真価”だと言える。
導入を検討する企業は、アプリケーション管理の
効率化や社員の生産性向上を考慮したTCO(総所有
コスト)の再検討を行うべきである。
ホスティング・サービスの登場でより導入しやすく
企業のTCO削減に貢献しつつ、シン・クライアント
化によるIT資産の選択と集中を実現するサービスと
Computerworld September 2008102
Technology Focus
して、2006年ごろからシン・クライアントのホスティン
グ・サービスが登場しだした。
ホスティング・サービスでは、サービス事業者は自
社が保有するデータセンターのサーバとクライアント
端末を月額料金で企業に提供する。サーバの運用・
監視のほか、ユーザーが利用するOSやアプリケーショ
ンのセキュリティ・パッチ更新も、オプションで事業
者に委託できる。こうした点はホスティング・サービス
の強みだと言える。図5に示した企業以外にも、さま
ざまな企業がホスティング・サービスに参入している。
シン・クライアントのホスティング・サービスを提供
しているクオリカによれば、専用の業務アプリケーショ
ンを利用する流通系や、OS/アプリケーションに起
因する業務の停止が許されない業態でホスティング・
サービスのニーズが強いという。その導入規模や利
用期間次第では、企業はPCの管理コスト、しいては
TCOの削減を実現し、競争力の高い企業体質に生
まれ変わることができるはずだ。
しかし、シン・クライアントのホスティング・サービ
スはまだ黎明期にすぎない。このようなサービスの存
在自体がさほど知られていないうえに、自社のオフィ
スで利用してきたアプリケーションをそのままホスティ
ングできない、あるいは事前の動作検証が必要になる
など、煩雑な手続きが発生することもボトルネックで
ある。現状では、シン・クライアント環境での動作を
想定していないアプリケーションも多い。そういった
アプリケーションを使う場合には、ソフトウェアの提
供元やサポート元への確認が不可欠となる。
また、ホスティング・サービスを利用する場合、パッ
ケージ・アプリケーションのライセンスにも注意が必要
だ。例えば、MicrosoftのWebサイトには、シン・クラ
イアントで利用するOffice製品に関して、次のような
規定が明記されている。「サーバへアクセスするクライ
アントごとにライセンスの取得が必要です。ただし、
サーバ上で直接Office製品を使う場合には、サーバ
側でもライセンスの取得が必要となります。これは、
Office製品の全バージョンに共通です」
言葉どおりに解釈すれば、利用するクライアント端
サービス名
NEC 1万4,000円/台
特徴 初期費用月額利用料金
セキュアシンクライアントサービス(ホスティング・タイプ)
●仮想PC型シン・クライアント・システムをNECのデータセンターに設置し、運用監視を支援。IP電話機能もオプション提供
●ユーザーは自宅や外出先からも利用可能別途
NTTコミュニケーションズ
スマートフォン30端末の構成で120万円
スマートフォン30端末の構成で360万円
●Citrix Presentation Serverをベースに独自モジュールを追加。システム監視や救済処置機能を強化。企業が所有する端末を利用可能
●スマートフォン(NTTドコモが提供するhTc Z)に対応
沖電気ネットワークインテグレーション 1万6,800円/台シンクラ@PTOP
●HP製シン・クライアント端末をユーザーのオフィスに設置(最小20台。20台ずつ増設可)し、データセンター側はブレードPCを用意
●Windowsセキュリティ・パッチおよびユーザーが指定するアプリケーション・パッチを1カ月に1回適用
31万5,000円
クオリカ QuaBiz
●HP製シン・クライアント端末をユーザーのオフィスに設置(最小10台。10台ずつ増設可)し、データセンター側はブレードPCを用意
●クオリカのASPサービスのオプションとしても提供
別途
サイボウズ・メディアアンドテクノロジー Remote Style
●工人舎の7インチ型ノートPCを用いたモバイル・シン・クライアントを提案
●サイボウズ「ガルーン2」のオプション提供も実施(別料金)
1万1,800円/台(ブレードPC100台契約時)
7万3,500円(サーバと20名分のリモート・デスクトップ・ライセンス含む)+3,675円/ユーザー
16万円(サーバと20名分のリモート・デスクトップ・ライセンス含む)+8,000円/ユーザー
AGILITシンクライアント
*資料 : 野村総合研究所
図5:シン・クライアントのホスティング・サービス一覧
September 2008 Computerworld 103
Security Security末ごとにライセンスが必要となり、ユーザー1人であっ
てもシン・クライアント用サーバへのアクセス端末が複
数あれば、その数だけライセンスを取得しなければな
らないということになる。
こうした点を加味し、サイボウズ・メディアアンドテ
クノロジーのシン・クライアント・ホスティング・サービ
ス「Remote Style」では、ユーザー当たり月額2,000円
でOffice製品のライセンスをオプションとして提供し
ている。アプリケーション・ライセンスへの対応は、導
入企業が購入するのか、それともサイボウズのように
オプションとして提供されるのかサービス事業者ごと
に対応が異なっており、ホスティング・サービスを利
用する際には確認しておく必要がある。
モバイル環境での実用性向上が普及の起爆剤となるか
セキュリティ強化を主な目的に金融機関や公共機
関でシン・クライアントの導入が徐々に増えているが、
このことは本格普及のタイミングに入ったことを示し
ていると言えるのだろうか。
以前に比べて技術的には格段に進歩しており、シ
ン・クライアントはすでに企業で利用されている
“ファット・クライアント”と同等の機能や使い勝手を実
現しつつある。シン・クライアントを企業が導入するに
足る条件は着実に整ってきており、導入実績も増え
てきている。しかし、実際にはまだ“本格的”とは言い
がたい状況である。
いまいち普及に結びついていないのは、モバイル環
境でシン・クライアントを利用できるほどネットワーク・
インフラが整備されていないことが関係している。シ
ン・クライアントの利用には、起動からアプリケーショ
ンの実行、そしてログオフへ至る全プロセスにおいて、
ネットワークへの常時接続が必須である(ネットワー
ク・ブート型は端末の起動時のみだが、OSとアプリ
ケーション・イメージを転送するための広帯域ネット
ワークが必要)。
現在では、社員の生産性向上を目的としてノート
PCの企業利用が拡大している。このような中、NTT
ドコモやソフトバンク、イー・モバイルが提供する
HSDPA(High Speed Downlink Packet Access)技
術を利用した3G高速通信サービスやKDDIが提供す
るCDMA 1X WINなど、高速な無線ネットワーク・イ
ンフラが整備されてきた。とはいえ、安定したブロー
ドバンド接続および定額かつ低額での利用という観
点では、オフィス内におけるPC環境と同等の利便性
は確保できておらず、シン・クライアントのモバイル利
用は社会的なネットワーク・インフラが充実しないかぎ
り、実用性に乏しかった。
しかし、2009年ごろには、モバイルWiMAX(UQ
コミュニケーションズが提供)や次世代PHS(ウィルコ
ムが提供)で実現される高速無線通信のほか、携帯
電話の次世代高速通信技術「LTE(Long Term Evo
lution)」の登場により、オフィス・ネットワーク並みの
ブロードバンド/常時接続環境がモバイル環境にお
いても整備される。関連ソリューションの充実にはさ
らに1、2年を要するだろうが、近年ではキャリア自身
がネットワーク経由でアプリケーションを提供する
SaaSビジネスに関心を寄せている。例えば、KDDI
は「Business Port Support Program」の一環とし
て同社のSaaSプラットフォームを提供したり、パート
ナー企業のSaaSビジネスをサポートしたりしている。
こうした傾向からSaaS/ASPの1つとして、モバイル
環境も含んだシン・クライアント・サービスを、高速無
線通信を生かしてキャリアが提供することも予想され
る。
モバイル・ワーカーにとって「どこでもネットワーク
につながる」ことは必須の条件だ。米国Intelが提唱す
るネット接続が可能なモバイル端末「MID(Moblie
Internet Device)」や超低価格ノートPC「Netbook」
など、PCやスマートフォンの中間に位置するモバイル・
デバイスがこれから続々と登場する。こうした状況下
でモバイル用シン・クライアント端末が進化し、ネット
ワーク・インフラと併せてモバイル環境での利便性が
向上すれば、それを起爆剤にシン・クライアントの普
及が一気に加速する可能性は十分にあるだろう。
経営管理編販売/サービス編ITトレーナー編システム開発編
ITキャリア解体新書IT業界でサバイバルするための
Computerworld September 2008104
システム運用管理編
業務システムの仕様は、業務を熟知した人とシス
テム・エンジニア(SE)との間で決まる。そして、そこ
にはエンドユーザーの視点は入りにくい。もちろん、
設計段階でエンドユーザーの意見は取り入れられる
が、その意見は操作スキルの高い代表者のものであり、
初心者の視点は反映されにくい。
システムの操作をまちがえるのは、ユーザーが悪い
からではない。まちがいやすいユーザー・インタフェー
スを持ったシステムが悪いのだ。設計時には気づかな
かった問題を記録し、次回のバージョンアップ時に反
映させるのは、ヘルプデスクの重大な役目である。
また、最初は使いやすかったのに、業務内容の変
化に伴って使いにくくなるシステムは多い。システム設
計時には例外処理として手作業で行っていた処理が、
例外とは言えないくらい頻発することはよくある。こう
した変化を発見することも、ヘルプデスクの仕事だ。
必要な経験/スキル
ヘルプデスクの基本は、ユーザーの視点で物事を考
職務概要
ビジネスでコンピュータを使うことは手段であって
目的ではない。コンピュータの操作がわからない場合、
本来の業務を中断し、自分で調べるのは時間のむだ
である。
中規模以上の企業では、従業員のコンピュータ操
作のサポートを行う専用窓口が用意されていることが
多い。これが「ヘルプデスク」である。ユーザーが直
面する疑問やトラブルに対応し、適切に対処するのが
主な職務だ。
存在意義
ヘルプデスクは、単に操作方法を教えたり、トラブ
ルに対処したりする“便利屋”ではない。ヘルプデス
クに特定の機能に関する質問が集中したら、それはシ
ステム改善のサインである。ヘルプデスクは、業務シ
ステムを改善する最前線に立っているのだ。
「システム運用管理」は地味な仕事である。システムが順調に稼働しているときは、その存在を気にかける人は少ない。しかし、一たびトラブルが発生すれば、矢面に立たされる。今回紹介する「ヘルプデスク」は、システム運用の最前線とも言うべき存在だ。ユーザー(従業員)の「なんとかしてくれ」に対応しつつ、システム改善のヒントを生み出していく。彼らの存在が円滑な企業ITを支えていると言っても過言ではないのだ。
横山哲也グローバル ナレッジ ネットワーク、マイクロソフトMVP
ヘルプデスク第6回
September 2008 Computerworld 105
ヘルプデスクの仕事の大半は、電話によるサポート
である。リモート管理用のソフトウェアもあるが、まだ
一般的ではない。「相手の画面を見ないでサポートで
きる」と自信を持って回答できれば、ヘルプデスクと
しては合格だろう。
待遇
高い技術スキルが求められるわけではないため、年
収はあまり高くない。400万円から500万円程度が平
均のようだ。ヘルプデスクからのキャリア・パスとして
は、エスカレーション先となる技術サポートや運用管
理者などがある。
えることである。
一般消費者相手のサポートは、想像を絶する質問が
多い。しかも、対応が悪いとヘルプデスクの人間性ま
で非難される。ヘルプデスクが「感情労働」と呼ばれる
ゆえんである。社内システムのヘルプデスクは、そこま
でひどくないものの、まれにおかしなことが起きることも
ある(詳細は右欄「ワンポイントお役立ち情報」を参照)。
コンピュータの経験 あまり高度なコンピュータ・スキルは要求されない。
操作マニュアルを読んで理解するスキルがあれば十
分である。ほとんどの質問は、操作に関する問題か、
ケーブルやコネクタなど、接続に関する問題である。
前線のヘルプデスクで解決できない問題は、大抵
の場合、上位チームが対処する。これを「エスカレー
ション」と呼ぶ。エスカレーションの仕組みがない職
場のヘルプデスクは、職場環境として危険だ。
コミュニケーション能力 ヘルプデスクに連絡があった時点で、相手はかな
りイライラしているはずである。冷静にトラブルの状況
を聞き出すだけのコミュニケーション能力は必須だ。
企業によってはヘルプデスクを対象に、コミュニケー
ション能力の教育コースを受講させている。
想像力 ヘルプデスクで重要なのは忍耐力と言われるが、
それ以上に重要なのは想像力である。「シイタケのマー
クが出ている」と言われたら、エラー・アイコンだと気
づかなければならない(シイタケ → ) 。想像力も重
要なスキルである。
採用の決め手となる“究極の質問”
ちょっと気になる異性(PC初心者)から、「デスクトッ
プPCを買ったのだけど、インターネットがうまく使え
ない。どうしたらいいか教えてほしい」とお願いされま
した。ただし「家に来てはダメ」だそうです。あなたは相
手がインターネットを利用できるようになるまでサポー
トする自信はありますか?
ヘルプデスクの場合、必須の資格はない。むしろ、介護/福祉(介護福祉士、ホームヘルパー)や、カウンセラー、保育士などの資格を持っていたほうが重宝されそうだ。「まがりなりにも社内からの問い合わせなんだから、不可解な質問はないだろう」などとタカをくくっていると、とんでもない事態に遭遇する。その一例を紹介しよう。
「ノートPCの電源が入らないので、なんとかしてくれ」と言われたヘルプデスクのA君。現場に急行したらドッキング・ステーションはあるものの、肝心のノートPC本体がない。
A君 「本体はどうしました?」質問者 「前から家に置きっぱなしだが、昨日まではこの状態で
使っていた」A君 「……何を?」質問者 「ノートPCに決まってるだろう(怒)」
さすがにこんな体験は、一生に1回あるかないか(普通はない)だと思うが、覚悟はしておくべきだろう。
実際にあったトンデモ例ワ ン ポ イ ン ト お 役 立 ち
2 2 2 2
情 報
年収やりがい将来性モテ度
★★★★★★★
技術スキルが要求されないとはいえ、ちょっと理不尽か
八つ当たりと感謝の比率は4対1だ
将来的に消滅する仕事ではないが、キャリアアップを考えよう
サポートが縁で結ばれたカップルは、いる
番外編
IT
K
EY
WO
RD
42
Computerworld September 2008106
レッドタクトンとは、人体表面を伝送路として利
用する人体通信技術のことである。今年4月、NTT
が基盤技術の開発に成功したことを発表し、レッド
タクトンを用いた入退室管理システム「Firmo」の評
価キットの提供を開始している。
レッドタクトンの最大の特徴は、電波や光ではな
く、人体の表面電界を利用した通信技術である点だ。
人体の一部がレッドタクトンの送受信機に触れるこ
とで、伝送経路が形成されて通信が行われる。原
理としては、データ信号を変換した微弱な交流電界
を送信機が人体表面に誘起させ、受信機がこの電
人体を伝送路にして人の“自然な動作”を通信に利用する人体通信技術
Computerworld 編集部
RedTactonレッドタクトン
▼42
IT KEYWORD
界を検出してデータ信号に再び変換する。これによ
り、データ通信を実現している。
人体以外でも、誘電体であれば伝送路の素材を
選ばない点も特徴的だ。例えば動物や水、金属、
ガラス、木材などさまざまな“モノ”を媒介したデータ
通信が実現できる。
実用化にあたってはオフィス・セキュリティを主な
ターゲットに開発されており、通信速度は230kビッ
ト/秒となる。ただし、理論上は10Mビット/秒以
上の通信速度を実現可能としており、NTTとして
は今後さらなる研究開発を進め、映像/音声データ
の再生など高速性が求められる
用途への展開を指向している。
具体的な利用イメージとして
は、カード状の送信機を上着の
ポケットに入れた状態や首から下
げた状態で受信機を内蔵したドア
ノブに触れることで、送信機に記
録された認証IDが人体表面を伝
わって受信機に送られる。これに
より、認証プロセスが行われ、ド
アが開錠される。例えば、従来の
非接触型ICカードによる認証で
は、カード・リーダにICカードを
かざす必要があり、それに比べる
と認証プロセスが簡略化されるこ
とになる。
ほかにも、床に埋め込まれた受
信機を踏むことで認証するなど、
人の“自然な動作”を認証プロセス
に組み込むことができるという。
携帯するカード型送信機
ドアノブに埋め込まれた受信機
人体の表面を微弱な電界が伝送
レッドタクトンの利用イメージ
September 2008 Computerworld 107
P R O F I L E
ささき・としなお。ジャーナリスト。1961年兵庫県生まれ。毎日新聞社記者として警視庁捜査一課、遊軍などを担当し、殺人事件や海外テロ、コンピュータ犯罪などを取材する。その後、アスキーを経て、2003年2月にフリー・ジャーナリストとして独立。以降、さまざまなメディアでIT業界の表と裏を追うリポートを展開。『ライブドア資本論』、『グーグル——既存のビジネスを破壊する』など著書多数。
なるのだ。
あるいは、もし気圧計が世界中の全
携帯電話に埋め込まれていれば、どん
な可能性が出てくるのか。気圧計内蔵
の腕時計ははるか昔から実用化されて
いるから、これを携帯電話に内蔵させる
のは簡単だ。携帯電話の気圧データを
収集すれば、世界中のすべての場所で
の詳細な気圧の現状が手に入る。これ
は今よりもずっと高度できめ細かい天気
予報を可能にしてしまうはずだ。
さらには、こんなトライアルもSupernova 2008で
発表された。テキサス大学モバイルラボのディーン・
テリー(Dean Terry)氏による、AR(Augmented
Reality:拡張現実)分野でのモバイル利用研究だ。
携帯電話を周囲の光景を見るフィルタのように使うこ
とで、その画面上にメッセージやアバターなどを表示
し、リアルの光景と融合させる。例えば、携帯電話の
カメラを起動して、現在自分がいる街角の一角を表示
させると、レストランの看板に店名やその店のクチコミ
評価などを重ねて表示する、といった仕組みを作り上
げるわけだ。
こうした話を聞いていると、携帯電話には、まだか
なりの可能性が秘められていることがわかる。何しろ
モバイル・デバイスなので、PCとは比べものにならな
いほど外の世界のことを知っている。おまけに現代人
は、PCよりもずっと長い時間を携帯電話と過ごしてい
る。それだけリアルに近いデバイスということなのであ
る。
携帯電話の未来の可能性が、去る6
月に米国サンフランシスコで開かれた
「Supernova 2008」コンファレンスで
語られた。その話を紹介した人気ブロ
グ「ReadWriteWeb」によれば、「モバイ
ル分野で次に重要なのは、センサーだ。
OSやキャリア、デバイスは今さらどう
でもよい」のだという。日本でも米国で
も「iPhone 3G」が話題沸騰だが、将来
はもっと大きな可能性が携帯電話には
開けている、という話である。
ReadWriteWebの記事によると、大手携帯電話メー
カーのNokiaは、カリフォルニア大学バークレー校で、
同校学生の自動車100台に「N95」を組み込むという実
験を行った。N95は、日本では「X02NK」という型番
で販売されているSymbian OSベースのスマートフォ
ンだ。そしてこのN95がある種の「触覚(プローブ)」と
なり、その車が停車しているのか、それとも走ってい
るのか、走行中ならどのぐらいの速度を出しているの
かといった情報をセンサリングできる。つまり100台の
車からリアルタイムの走行情報を取得できるわけだ。
わずか100台では道路状況を調べるには至らない
が、もしこのシステムがありとあらゆる車に搭載される
ようになったらどうだろう。各センサーからの情報は、
携帯電話の電波を経由して中央のサーバに集められ、
解析される。現在のように、道路上に設置されている
固定センサーよりも、ずっときめ細かく情報を収集で
きるようになる。表通りの幹線道路だけではなく、抜
け道や路地の混雑状況さえ拾い集めることが可能に
インターネット劇場
佐々木俊尚T o s h i n a o S a s a k i
携帯電話のさらなる未来
Entry
26
Computerworld September 2008108
P R O F I L E
えじま・けんたろう。インフォテリア米国法人代表/XMLコンソーシアム・エバンジェリスト。京都大学工学部を卒業後、日本オラクルを経て、2000年インフォテリア入社。2005年より同社の米国法人立ち上げのため渡米し、2006年、最初の成果となるWeb2.0サービス「Lingr(リンガー)」を発表。1975年香川県生まれ。
私の尊敬するベンチャー・キャピタリス
トに、ポール・グレアム(Paul Graham)
という人がいます。もともとは自身が凄
腕のハッカーで、ベイズ推定を使った
現在のスパム・フィルタ技術の基礎を
築き、プログラミング言語LISPの大家
でもあり、かつて1990年代後半に立ち
上げた自身の会社ViawebをYahoo!に
売却して財を成したという異例の傑物
です。
彼が率いるファームは、Y Combina
torという、これまたコンピュータ・サイ
エンス・オタクや数学オタクがニヤリとしてしまう名前
なのですが、そんなバックグラウンドもあってか、彼は
シリコンバレーの多くの若手起業家やプログラマーか
らメンターとして仰がれています。
そんなGraham氏が昔からエッセイや講演などでい
つも口を酸っぱくして言うのが、「Webのスタートアッ
プで一番大切なのは、人々が求めるものを作り出すこ
と。これを正しく行うことの難しさに比べたら他のこと、
例えば、ビジネス・モデルを考えることなどは比較にな
らないほどたやすい」というものです。
私はこの考え方に心から共感します。一般消費者向
けのプロダクトやサービスをゼロから立ち上げた経験
のある人ならば、おそらく同様に共感するのではない
でしょうか。これぞ、まさに1998年当時のGoogleが
行っていたことであり、2004年当時のmixiが行って
いたことであり、2006年当時のYouTubeが行ってい
たことでした。
しかし、それらに対して、当時は多く
の人が「このサービスは今、非常に人気
があるけれど、どうやって収益を上げる
のだろう?」と首をかしげていました。私
は、当時、世間がYouTubeに対して収
益性や著作権などの面から懐疑的な視
線を投げかけていたことを鮮明に覚えて
います。
実際にはユーザー数がグングンと伸
びてさえいれば、ありとあらゆる問題がなんとかなって
しまうものです。映画『グラディエーター』に出てくる台
詞ではありませんが、大衆を味方につけた者が最後に
は勝つのです。大衆を味方につけた者は、古代ローマ
の皇帝をも倒してしまう。
何よりも難しいのは、ともかくメガヒットを飛ばすと
いうこと、それ自体です。mixiやニコニコ動画やモバ
ゲータウンのような規模でのヒットは、せいぜい年に1
件出るか出ないかです。それに、最大瞬間風速でのヒッ
トは出せても、すぐに飽きられてしまうようでは持続的
なビジネスにはなりませんから、ユーザーが継続的に
利用してくれることも大切な要素です。
とにかく人が心から望むものを作ること。この単
純明快なルールは、とてつもなく発想を自由にしてく
れると同時に、身震いするほど厳しい世界でもあり
ます。
IT哲学
江島健太郎K e n n E j i m a
新規事業に必要な唯一のルール
Entry
36
September 2008 Computerworld 109
P R O F I L E
くりはら・きよし。テックバイザージェイピー(TVJP)代表取締役。弁理士の顔も持つITアナリスト/コンサルタント。東京大学工学部卒業、米国マサチューセッツ工科大学計算機科学科修士課程修了。日本IBMを経て、1996年、ガートナージャパンに入社。同社でリサーチ・バイスプレジデントを務め、2005年6月より独立。東京都生まれ。
ある米国のベンダーの人と話をしたと
きに、米国ではなぜ、データセンターが
テキサスやジョージアなどの南部に建
設されることが多いのかを尋ねてみまし
た。やはり、土地代、電力料金、人件
費の安さ、地盤の安定度などが好まれ
ているようです。
しかし、データセンター設計における
パラメータは大きく変化しつつあります。
電力料金を削減しなければならない点
は変わらないのですが、環境配慮の観
点から、できるだけ温室効果ガスを排
出しないタイプの電力、具体的には火力発電に依存し
ない電力の使用が求められるようになっています。
例えば、Googleはオレゴン州の水力発電所の近く
にデータセンターを建設しています。火力発電所を使
用しないことで、環境問題により対応するとともに、
送電の距離を縮めることで電力の損失を最小化しよう
としているのです。もう1つ、カリフォルニア州サンディ
エゴ市のデータセンター事業者であるGreenest Host
の例を挙げます。同社ではデータセンターの電力をす
べて太陽光発電でまかなっているそうです。ほとんど
毎日が晴天であるサンディエゴの気候を生かした戦術
と言えるでしょう。
そして、ネットワーク帯域幅がますます低コスト化し、
電力料金が高止まりするという将来予測、さらに、デー
タセンター内機器の効率的冷却という課題が重要度
を増してきている点を考えると、データセンターを設
置する最適の場所の1つはカナダ中央部になるという
意見もあります。この地域は水力発電
による電力供給という点でも、データセ
ンターの冷却の点でも非常に有利です
(テキサスよりもはるかに有利でしょう)。
さらには、アイスランドも有望視され
ています。すでに、完全空冷型(外部の
風を使用して機器を直接冷却する)の
データセンターが建設されており、アイ
スランド政府もデータセンター事業の誘
致を国家プロジェクトとして真剣に検討
しています。また、この国の電力はほと
んどが風力か地熱発電なので温暖化対
策という点でも理にかなっているのです。
一方、日本国内でデータセンターが建設される際に
は、大都市圏の近郊が好まれているようです。第1の
理由はIX(インターネット・エクスチェンジ)に近くネッ
トワークの帯域幅が確保できる点、第2の理由は不測
の事態があった際に担当者が迅速にかけつけることが
できるという点です。土地代、地震発生時などのバッ
クアップ、そして環境問題への対応を考えると必ずし
も適切な場所ではないのですが、顧客は上記の2つの
理由を最優先するということなのでしょう。
しかし、ネットワークのコスト低下や運用プロセスの
標準化の進展に伴い、日本においてもデータセンターを、
北海道などの北部地域、あるいはアイスランドなどの国
外に設置するシナリオも十分に考えられると思います。
環境問題対応は当然として、データセンターのコスト全
体に占める電力と冷却コストの割合が高くなっていくこ
とを考えれば、必然的な動きと言えましょう。
テクノロジー・ランダムウォーク
栗原 潔K i y o s h i K u r i h a r a
グリーンIT時代の
データセンター最適地はどこか
Entry
36
