インターネット分離(3) – 有効策、日本マイクロソフトの「RDS(リモートデスクトップサービス) on Azure」とは

    前島 鷹賢氏

    >第1回から読む

    標的型攻撃やランサムウェアなどの脅威が巧妙化、複雑化し、企業の事業継続を脅かすようになっています。最近では従来のセキュリティ対策に加え、多くの脅威がインターネットを介して侵入することに着目した「インターネット分離」という対策手法が注目を集めています。

    今回は第2回目から引き続き、具体的な対策のひとつである「RDS on Azure」について、日本マイクロソフト株式会社の前島鷹賢氏にお話をうかがいます。

    >インタビューをはじめから読む

    インターネット分離の手法として「RDS on Azure」を利用する3つのメリット

    –では「RDS on Azure」を活用するメリットは何でしょう。

     Azureならではのメリットは、大きく3つあります。ひとつは「大がかりな初期投資を必要とせず、すぐに始められること」です。オンプレミスのように、まずサーバを調達するといった必要がないのは当然として、AzureではRDS環境を数ステップで構築可能なテンプレートが用意されています。これは「Azure クイック スタート テンプレート」というもので、RDSを動かすために必要なコンポーネントがすべてテンプレート化されています。

     

    Azureを利用する3つのメリット-大がかりな初期投資不要

     たとえば「Azure クイックスタート テンプレートfor RDS on Azure」の「Azureに展開」というボタンを押せば、必要最小限のパラメーターの入力だけで、AzureのRDS環境を作ることができます。RDSにあまり詳しくなくても一定の品質で構築できますし、属人性を省けるわけです。なお、テンプレートは無料で利用可能で、「GitHubで参照」を選ぶとソースコードを見ることもできます。

     2つ目は「ランニングコストの最適化」です。インターネット分離はエンドユーザが使うシステムなので、企業の形態にもよりますが、夜間はほとんど使われていません。たとえば夜間は1割しか使っていないのであれば、残りの9割は簡単に止めることができます。Azureは分単位での課金ですので、止めた時間がそのまま経費の節約になります。たとえば週末2日間、夜間8時間止める運用では、24時間フル稼働に比べて単純計算で半額以下になります。逆にリソースを増やすことも簡単です。

    Azureを利用する3つのメリット-ランニングコストの最適化

     
     3つ目は「いつでも止められること」です。今はインターネット分離がブームになっていますが、サイバー攻撃の手法はどんどん進化していますし、セキュリティ側の技術も進歩しています。そうしますと、たとえば5年後にはインターネット分離の手法が必ずしもベストな対策であるとは限りません。そのときに、すぐに利用をやめて別の対策に移行することができます。オンプレミスで構築してしまうと減価償却もありますし、そうはいかないですよね。

    「RDS on Azure」導入の傾向と構成で注意すべきこと

    –「RDS on Azure」によるインターネット分離を導入、または検討している企業や団体の業種や傾向はいかがでしょう。やはり自治体と金融でしょうか。

     今は自治体が一番多いですね。そして金融。特に自治体では数年前からインターネット分離の採用が進んでいますが、一方で予算の問題で導入が先延ばしになっているケースも少なくありません。そこに費用対効果の高い「RDS on Azure」をご提案していくことになるでしょう。また、最近では製造業などほかの業界でも同様の動きが出始めていますので、まだまだ旬のソリューションといえるでしょう。

    –「RDS on Azure」を実装する上での注意点があれば教えてください。

     まさに構成の話に入ってくると思うのですが、基本的には構成テンプレートを使うことで構築できます。冗長化なしのベーシックな環境を作るテンプレートもありますし、HAデプロイメントである程度の冗長化を考えて展開するモデルもあります。

     たとえば冗長化なしの場合、エンドユーザがつなぎにくる入口になるWebサーバ(RD Webアクセス)、それからADドメインコントローラ、RD 接続ブローカー、RD ライセンスサーバ、プロファイル管理サーバといったサーバ群、そして、実際にエンドユーザがインターネットを見るためのWebブラウザやPDFリーダーを置くためのサーバ。これが最小限の構成になります。

     

    冗長構成なしのインターネット分離
    冗長化なしの構成

     

     インターネット分離は、業務上クリティカルではないと判断するお客様は、冗長化なしの構成を使用することがあります。しかし、今の時代はインターネットアクセスもビジネス上クリティカルです。可用性を担保しておかないと業務が止まってしまう可能性があります。そこで冗長化を考えたパターンもテンプレートで簡単に構築できます。入口は一般的なWebの仕組みですし、その他管理系のサーバ群の冗長化もOSが標準機能として持っています。

     ただ、ネックになるのがデータベースサーバと、プロファイル管理サーバです。データベースサーバはセッション情報を管理する非常に小さなものですが、ここが死んでしまうとユーザが新しくRDSにアクセスできなくなってしまいますので、非常にクリティカルです。

     プロファイル管理サーバはユーザのお気に入りやマイドキュメントを保存するファイルサーバですが、これらもクッキー情報などを消さずにインターネット上の業務を効率的に継続していくためには、冗長化して可用性を担保する仕組みが必要になります。インターネットアクセスができなくなってしまうと、従業員が個人のデバイスで業務を継続しようとする可能性もあり、それは新たなリスクになってしまいます。

     そこで、「DataKeeper」を使ってサーバを2台並べて、2台間でブロックエンドのレプリケーションを取ることで冗長化するというご提案をしています。ここはマイクロソフトの製品技術だけではできない部分です。オンプレミスでは共有ディスクがありますので、共有ディスクベースのクラスタのファイルサーバが一般的でした。でもAzureをはじめとするパブリッククラウドは基本的に共有ディスクという概念がないので、可用性のためには別のクラスタを組む手段が必要になります。その際、「DataKeeper」は非常に有効ですね。

     

    「DataKeeper」を活用した冗長化構成
    「DataKeeper」を活用した冗長化構成

     


     前島 鷹賢氏  前島鷹賢(まえじま たかまさ)氏

       日本マイクロソフト株式会社
       クラウド&ソリューションビジネス統括本部 
       クラウドプラットフォーム技術部
       テクノロジースペシャリスト

     


    日本マイクロソフト株式会社について

    マイクロソフトは、モバイル ファースト&クラウド ファーストの世界におけるプラットフォームとプロダクティビティのリーディング カンパニーで、「Empower every person and every organization on the planet to achieve more.(地球上のすべての個人とすべての組織が、より多くのことを達成できるようにする)」を企業ミッションとしています。日本マイクロソフトは、この企業ミッションに基づき、「革新的で、安心でき、喜んで使っていただけるクラウドとデバイスを提供する会社」を目指します。
    企業サイト: https://www.microsoft.com/ja-jp/

    Microsoft Azure について
    Microsoft Azure は、分析、コンピューティング、データベース、モバイル、ネットワーク、ストレージ、Web などを統合した、現在急成長を遂げているクラウド サービスのコレクションです。より速く動き、より多くを達成し、コストを削減します。
    公式サイト: https://azure.microsoft.com/ja-jp/

     

    >>最終回 インターネット分離(4) – Azure上でRDSの可用性を担保し、鉄壁のインターネット分離ソリューションを実現 に続きます