1.テレワーク「常態化」で新たなリスク、接続サービスが単一障害点に(5.29 日経XTECH)
新型コロナ禍で多くの企業が予行演習なしでテレワークに突入し、テレワークが働き方のニューノーマル(新常態)として受け入れられつつある。あくまで非常時の手段だったリモート・アクセス・サービスが業務運営に欠かせない手段に変わるなか、そのつながりにくさがテレワークの単一障害点になってきた。新たなリスクだ。
テレワークを緊急導入した企業では、会社パソコンの画面を自宅パソコンから操作するリモートデスクトップを使うケースが多いとみられる。仮想デスクトップ環境(VDI)を構築するには手間と時間が掛かるからだ。IT各社はリモートデスクトップを実現できるリモート・アクセス・サービスを提供している。
ただ「リモート・アクセス・サービスはそれ自体がBCP(事業継続計画)強化のため、バックアップとして導入されるケースが多かった。複数のリモート・アクセス・サービスを併用して冗長性を持たせる企業は少ないだろう」。IDC Japanの渋谷寛シニアマーケットアナリストはこう指摘する。
TISは2020年4月16日、同社が提供するリモートアクセスのSaaS(ソフトウエア・アズ・ア・サービス)である「RemoteWorks」にシステム障害が発生したため、4月13日から5月末まで全面停止すると発表した。状況次第で6月以降も停止するとしていたが、6月末まで全面停止を続けると5月21日に発表した。
突然のサービス停止により400社2万ユーザーが影響を受けた。RemoteWorksを全社の推奨ツールとしていたJTBは4月16日時点で「テレワーク環境での代替手段がない業務については担当者が出社して対応している」(広報)と取材に答えた。ここぞという場面で力を発揮できなかった格好だ。
RemoteWorksは画面転送型のリモートデスクトップ方式のサービスである。TISが運営するSaaSセンターがゲートウエーとして中継することで、自宅パソコンから会社パソコンをWindowsのリモートデスクトップ機能で操作できるようにする。
画面転送方式のメリットは低コストで手軽に導入できる点にある。遠隔操作するために新たな業務アプリケーションなどを構築する必要がないからだ。加えて初期設定では自宅パソコンに会社パソコンのファイルをダウンロードできないようにするサービスが多く、セキュリティーも確保しやすい。一方で中継用のインフラに不具合があった場合、社内システムを使った一切の業務をリモートでできなくなる恐れがある。
TISがRemoteWorksの提供を始めたのは約8年前の2012年に遡る。ここにきて新型コロナウイルス感染症対策のため利用者数が急増し、システム障害が断続的に生じるようになった。
TISは原因について「認証サーバーのパフォーマンス不足および高負荷クエリによる認証系サーバーの停止」と公表した。障害対応のため4月10日に認証サーバーの機能を分け、負荷が高まっている機能のプログラムを改修することで負荷を低減させる計画を立てた。
だが障害対応が完了する前に、再び4月1日と2日にもWebブラウザーからログインできなくなる不具合が発生した。急ぎアプリケーションサーバーのメモリーを増やして対処したが、不具合に対しシステム側で何らかの策を打てたのはここまでだった。4月3日以降、TISは不具合回避のため「ユーザーにログイン時間の分散を依頼する」という対処策を取った。
TISが公開しているだけでも、不具合は3月26日から4月13日まで合計12回あった。アクセスできなくなる時間は当初、1日に1時間程度だったが徐々に長くなっていった。
4月13日には午前8時50分ごろから午後6時30分ごろまで、つまり一般企業の通常の営業時間を通して使えなくなり、その日のうちに「緊急メンテナンス」として全面停止するに至った。緊急メンテナンスは終了予定時刻の14日午前9時になっても終わらず、そのまま全面停止が続いている。
2.「雲が空を飲み込む」、クラウドがすべてのネットワークを吸収する日も近い(5.29 日経XTECH)
インターネットの向こうに浮かんでいたクラウドが、最近は「エッジ(端)」と呼ばれ始めているのをご存じだろうか。ユーザーはまずクラウドにアクセスし、そこからオンプレミスのデータセンターやインターネット上の各種サービスを利用する。そんな企業システムの利用形態が急速に普及しているためだ。クラウドがネットワークを飲み込んだ、と言い換えることもできる。
新しいシステム利用形態の分かりやすい例が、米アマゾン・ウェブ・サービス(AWS)が提供するAWS VPNだ。VPN(仮想私設網)装置のクラウドサービスである。ユーザー企業はあらかじめ、オンプレミス環境とAWS上の仮想ネットワークVPC(Virtual Private Cloud)とを専用線やIP-VPNによって接続しておく。そして社外で働くエンドユーザーにはAWS上のVPN装置にアクセスさせ、AWS経由で社内システムを利用させる。AWSのクラウド上にあるVPN装置はハードウエア容量を自由に伸縮させられるので「VPN渋滞」とも無縁になる。
AWS VPNは、企業における従来のVPN運用とは真逆の構成である。従来のVPN運用においては、エンドユーザーはまずオンプレミスにあるVPN装置にアクセスし、そこから社内サーバーを使ったり、社内プロキシーを経由してクラウドを使ったりしていた。つまり社内ネットワークのエッジにオンプレミスのVPN装置があった。それに対してAWS VPNの場合、社内ネットワークのエッジにクラウドが来る。
VPN装置だけでなく本社と拠点を結ぶWANもクラウドに載せてしまうと、今度は拠点にとってもクラウドが社内ネットワークのエッジとなる。この場合はAWS Transit Gatewayというサービスを使う。AWS Transit Gatewayは、AWSが世界中に展開するリージョンをまたいでVPCを相互接続する機能だ。例えばユーザー企業の東京本社はAWSの東京リージョンのVPCに、関西の拠点は大阪リージョンのVPCに、米ニューヨークの拠点は米国東部リージョンのVPCにそれぞれ接続させ、各VPCをAWS Transit Gatewayで相互接続する。こうするとAWS上にユーザー企業のWANができるのだ。
AWSや米マイクロソフト(Microsoft)、米グーグル(Google)といった大手クラウド事業者は世界中にリージョンを構築し、リージョン間を自社専用線で接続している。ユーザー企業はクラウドにさえ入れば、インターネットを介さずとも、ましてや自社で専用線を用意せずとも、世界中に高速アクセスできるようになった。クラウドが通信サービスを飲み込んだ結果、クラウドがユーザー企業にとっての全てのアクセス先(=エッジ)になったわけだ。
ネットワークに加えてセキュリティーもクラウドに移行すると、セキュリティーベンダーが最近力を入れて売り込んでいるSASE(サシー)と呼ばれる製品になる。SASEはSecure Access Service Edgeの略で、VPN装置やプロキシー、SWG(Secure Web Gateway)などが含まれるクラウドサービスである。エンドユーザーの通信をすべてクラウド経由にしてセキュリティー状況などを監視し、ネットの各種サービスや社内システムを安全に利用させる仕組みだ。実態はクラウドのサービスなのに、製品はエッジと呼ばれている。
米ガートナー(Gartner)は2019年に「ネットワークとセキュリティーがクラウドに統合される」と述べ、それをSASEと定義した。その結果、CASB(Cloud Access Security Broker、キャスビー)やSDP(Software Defined Perimeter、ソフトウエア定義の境界防御)などのクラウドサービスがSASEと呼ばれるようになった。本コラムの冒頭で「クラウドがエッジと呼ばれるようになった」と言ったが、具体的にはSASEのことを指している。
最近日経クロステックや日経コンピュータでも力を入れて報じている「ゼロトラストネットワーク」とSASEは、コインの表と裏の関係にある。ゼロトラストネットワークとは、社内ネットワークを含めて全てのネットワークを危険と見なす考え方である。
全てのネットワークが危険という前提に立つと、社内ネットワークやその中にあったセキュリティー機能やリモートアクセス機能は全てクラウドに移行できることになる。そうなるとSASEの出番となる。新型コロナウイルス感染症対策としてテレワークが広がる中、クラウドを社内ネットワークのエッジとして使う形態は、当たり前のものになるだろう。
ネットワークとクラウドの融合は急ピッチで進んでいる。今回は企業内ネットワークとクラウドの融合を取り上げたが、キャリアネットワークとクラウドもこれから、急速に融合していく。
マイクロソフトは2020年5月、米アファームドネットワークス(Affirmed Networks)と米メタスイッチネットワークス(Metaswitch Networks)という、通信キャリア向けに仮想ネットワークソフトウエアを販売するベンダーを買収すると相次ぎ発表している。その狙いは通信キャリアのインフラをMicrosoft Azureに取り込むことにある。空に浮かんでいた雲が、これから空全体を飲み込もうとしている。
3.社内システムもネットサービス並みに厳重防御せよ、ゼロトラストの基本(5.28 日経XTECH)
守る対象をネットワーク境界から、アプリや端末に変える。これがゼロトラストネットワークの基本的な考え方だ。具体的には何をどう守ればよいのか。3つの観点で説明しよう。
「グーグルにおけるゼロトラストの取り組みの背景には、約10年前にセキュリティー侵害を受けたことがあった」。グーグルでクラウドセキュリティーを担当するゼネラルマネジャー兼バイスプレジデント(GM兼VP)であるスニル・ポッティ氏はこう語る。
グーグルは2010年1月に、中国からのサイバー攻撃を受けて機密情報などを盗まれたと発表した。高度な標的型攻撃によって社内ネットワークへの侵入を許したことが端緒となった。
安全だと見なしていた社内ネットワークにあるシステムに関しては、ログの保管や分析が十分でなかったため、攻撃に気付くのが遅れた。境界型防御の限界に、グーグルは10年前の時点で直面していたわけだ。
この事件を教訓にグーグルが8年がかりで構築したのが、ゼロトラストネットワークの「BeyondCorp」だ。同社はその詳細を2017年にWebサイトや論文で公開している。
2020年現在、様々なベンダーがゼロトラストをうたう製品やソリューションを提供しているが、そこには厳密な定義はない。ユーザー企業にとって悩ましいことに「これを導入するだけでゼロトラストが実現できる」といった製品も存在しない。
そこでまずは世界でもいち早く構築されたグーグルのBeyondCorpを参考に、ゼロトラストのポイントを3つまとめる。そしてそれぞれのポイントについて、ユーザー企業が入手可能な製品やソリューションを紹介しよう。
社内アプリも厳重防御
ゼロトラスト第1のポイントは、「ネットワークの防御からアプリケーションの防御へ」だ。
従来の境界型防御においては、社内は「安全」と見なされていたので、社内アプリの防御のレベルは低かった。ID・パスワードに加え別の手段をユーザー認証に使う「多要素認証」や、デバイスの種類や場所、時間、ユーザーの振る舞いなどを認証に使う「コンテキストベース認証」などネットサービスで当たり前の防御手法は、社内アプリでは使われてこなかった。
それに対して全てのネットワークを信頼しないゼロトラストにおいては、社内アプリであってもネットサービスと同レベルの防御を講じる。特に重要なのが、ユーザーの認証やアプリへのアクセス認可の強化である。
要となるのがアイデンティティー&アクセス管理(IAM)だ。ゼロトラストには、米オクタの「Okta Identity Cloud」やグーグルの「Cloud IAM」、マイクロソフトの「Azure Active Directory」などクラウドサービスのIAMを使うのが一般的だ。これらのサービスが多要素認証やコンテキストベース認証など、アプリ利用を信頼できるユーザーに限定する機能を標準で備えているためだ。
4.5G基地局の仮想化とマルチベンダー接続、KDDIにNEC、ノキア、富士通が参画(5.27 日経XTECH)
KDDIは2020年5月20日、NECやフィンランドNokia(ノキア)、富士通と協力して、5G基地局仮想化およびマルチベンダー接続性に関する実証実験を同年3月から9月の日程で実施中と発表した(KDDIのニュースリリース)。
従来の基地局では、専用のハードウエアとソフトウエア一体型の装置を用いて、決められた周波数やリソース配分に基づき運用を行っていた。そのため、モバイルブロードバンド回線に多くのリソースが割り当てられているエリアで、新たに低遅延サービスなどの要望を受けても、柔軟に対応することが難しいという課題があった。
このような課題に対しては、低遅延など特定のサービスを利用したい顧客向けに、ネットワークを分割してリソースを配分するネットワークスライシング技術が有効となる。今回は、このネットワークスライシングを導入するために、汎用のハードウエア上で多様なソフトウエアを動作可能にする仮想化技術を導入し、仮想化された基地局の実用性検証を行う。
基地局仮想化に際しては、5G基地局を構成する装置のうち、データ処理部であるCU (Central Unit)と無線信号処理部であるDU(Distributed Unit)に仮想化技術を適用し、検証を行っている。
今回の実証では、複数ベンダーの装置を組み合わせた相互接続性検証も進められている。従来の基地局では、構成する装置の接続仕様がベンダーごとに異なっていたため、同一ベンダーの基地局装置を使用する必要があった。しかし今回は、O-RAN Alliance(Open Radio Access Network Alliance、5Gをはじめとする次世代の無線アクセスネットワークのオープン化、高度化を目的に活動する業界団体)の定めるインターフェースに準拠するベンダー各社の装置を使って、DU部と無線装置RU(Radio Unit)間フロントホール(無線信号処理部と無線装置間インターフェース)の相互接続性検証を進める。
KDDIでは、こうした実証実験で培った技術を基に、今後導入予定の5G SA(Standalone)構成に向けて、ネットワークの柔軟性向上とネットワークスライシング対応を進め、さまざまな分野に5Gの超高速、低遅延、多数同時接続を生かしたネットワークを提供していくとしている。
NECは、RU部分を提供している。富士通は、4G、5G共通の課題を洗い出す検証に用いる4G LTE向け仮想化基地局およびコアネットワーク構築、性能可視化ソフトウエアの開発・提供、5G向け仮想化基地局の性能要件の類推、要件仕様の作成を担当している。ノキアでは、完全クラウド化した5G基地局環境の提供を行っている。
5.5Gビジネス成功に欠かせない3大トレンド、ファーウェイが自社イベントで披露(5.26 日経XTECH)
中国Huawei Technologies(ファーウェイ)は2020年5月19日、同社主催の「Huawei Global Analyst Summit 2020」の基調講演「Simplification and Convergence Empower 5G Business Success(ネットワークの簡素化、集約化が5Gビジネスを成功に導く)」の概要を公開した(Huaweiのニュースリリース)。以下はその要旨となる。
トレンド1:TDD方式のみのサービスからTDD+FDD協調方式のサービスへ
世界的な5Gサービスの多くがMassive MIMOを使ったTDD方式で開始され、現在これが主流となっている。中国だけでもこの方式で20万カ所の基地局が建設され、2020年末までには、約340の都市で80万基に増えると予想されている。性能については、5G導入により4Gの10倍のデータレートを実現し、3.5GHz帯でのMassive MIMOを使ったTDDと従来の4Gネットワークを組み合わせることで、屋外と屋内のカバレッジを著しく改善することも報告されている。
一方で、TDDには、上りリンク時のカバレッジと性能に制限があり、FDDのような上りリンク時と下りリンク時でのバランスの取れた通信を確保できない。FDDでは室内の奥まった場所まで届くカバレッジを確保できるほか、手持ちのリソースを利用した迅速な5Gサービス開始が可能となる。5Gを積極的に進める欧州の一部の国では、TDDとFDDを併用することで、上りリンク時性能やカバレッジの改善を行っている。
トレンド2:B2C、B2H向け単独サービスからB2C、B2H、B2B全般に向けたサービスへ
現在の5G商用ネットワークは、eMBB(enhanced Mobile Broadband、高速大容量通信)に対応しており、主にB2C(Business to Consumer)やB2H(Business to Human)サービスに向けた設計となっている。例えば、中国北京市の中日友好病院(China-Japan Friendship Hospital)の5G高解像度動画による遠隔医療や、四川大学の華西第二病院(West China Second University Hospital)の5Gを使ったICU(集中治療室)直接/遠隔病棟回診など、スマート医療が進んでおり、5Gネットワークはすでに中国国内の300を超える病院に提供されている。
一方で、港湾業や製造業、V2X(vehicle-to-everything)、パワーグリッドなど、URLLC(ultra-reliable low-latency communication、超低遅高信頼性の通信)が必要な産業向けアプリケーションに向けては、現在、仕様標準化、技術検証、産業への導入支援などの検討が進んでいるところだ。
トレンド3:5Gビジネス成功に向けた運用コストの削減
5G時代には、全体的に運用コストを削減する必要がある。複数の無線アクセス技術や周波数帯の共存が不可避となるからだ。現在、2Gと3Gの段階的な廃止(全世界ですでに17のネットワークが廃止されており、12が廃止予定となっている)が進んでおり、事業者の運用コスト削減に貢献している。加えて、基地局の設備を簡素化することで、設置コストを抑えることができる。さらに、複数の無線アクセス技術や複数の周波数帯を連携させることで、ネットワークの運用管理とエネルギー効率改善が可能となる。
こうしたトレンドへの対応に向けてHuaweiは、5Gネットワーク構造の簡素化や、複数の周波数帯連携による性能改善、運用コスト削減、さまざまな分野への対応などに取り組んでいる。
5Gネットワーク構築に当たっては、一貫したユーザー体験を保証するために、初期段階から容量やカバレッジなど十分に考慮する必要がある。マクロ基地局は5Gネットワークの性能やカバレッジの中核となる。電柱などに設置可能な小型基地局は、通常の基地局設置が難しい場所でのカバレッジを改善し、屋内型の小型基地局は、通信が混雑する場所での最適な体験を提供する。
無線アクセス技術や周波数帯、モジュール数の増加に伴い、アンテナ設置場所の確保も課題となる。マクロ基地局向けの「Blade AAU」は、TDD方式のMassive MIMO AAU(active antenna unit)とFDD方式のパッシブアンテナを1つの筐(きょう)体に統合。これにより既存の電柱などを使ったTDD+FDD協調方式のサービスが可能となり、その導入時間も85%短縮できる。電柱設置型基地局では、TDD+FDD統合型「Easy Macro 3.0」や「Book RRU 3.0」により、4Gや5Gのカバレッジを改善する。FDD周波数帯でのソフトウエアアップグレードにより、FDDをアンカーとするTDDの5G NSA(non standalone)環境構築も可能となり、5G環境への円滑な移行をサポートする。屋内型基地局では、「LampSite」がTDD+FDD統合をサポートし、屋内の通信が混雑する場所での4G、5G性能を大幅改善する。
主流であるTDD周波数帯に加えて、サブ3(3GHz未満の周波数帯)のFDD周波数帯を利用することで、素早く5Gネットワークのカバレッジ強化を実施できる。こうした新しいFDD周波数帯に5Gを導入することで、周波数効率やユーザー体験の大幅向上が期待できるようになる。LTEと5Gサービス間でミリ秒単位の動的な周波数割り当てを実現するDSS(dynamic spectrum sharing、動的周波数共有)を使った周波数効率化も可能となる。Huaweiでは、こうしたDSSソリューションの商用に向けた検証を、2019年11月から欧州で開始している。
TDDとFDDを連携させることで、上りリンク時性能改善や遅延時間短縮も可能となる。実際の商用ネットワーク上でも、FDDの上りリンクでTDDを補完することにより、上りリンク時性能を4倍にまで改善可能となる。現在、通信チップやモジュール、端末においてもこうした取り組みが加速している。
産業向けアプリケーションが多様化し、上りリンク時性能への要求が高まるなか、100MHzといった広帯域幅での上りリンクのみのサービス提供に向けた調査や検証も進んでいる。この取り組みでは、上りリンク時ピークレートとして1Gビット/秒を目指している。
SA(Standalone)は一般に、5Gネットワークの目指す最終的なアーキテクチャーとみなされている。しかし、NSAとSAのデュアルスタック(並行稼働)により、NSAとSA端末への同時アクセスを可能にし、B2C、B2HとB2Bを網羅するフルサービス機能をコスト効率よく開発できるようになる。B2CやB2Hサービスに向けては、NSAネットワークに優先的にアクセスすることで、ユーザーに、より快適な5G体験を提供する。NSAのデュアルコネクティビティー(同時接続)により、5G性能をどこでも確保できるようになる。B2Bサービスに向けては、SAネットワークに優先的にアクセスすることで、産業向けアプリケーションの商用サービスを円滑にすすめることができるようになる。
SAは5Gネットワークスライシングにも不可欠だ。ネットワークスライシングの自動的な生成、運用、管理をサポートする無線アクセスネットワーク、基幹ネットワーク、中継ネットワーク、端末環境を利用することで、事業者は、さまざまな業界からの要望に、同一インフラで対応することができる。その結果、B2C、B2H、B2Bすべての開発が、1つの5Gネットワーク環境上でできるため、産業のデジタル化にスムーズに対応することができる。
ネットワーク機能が向上するにつれて、ネットワークスライシングの可能性も高まっていく。現在でも、eMBBを使った超高解像度動画サービス向けスライシングが提供されているが、URLLCを使ったスライシングも、港湾業や製造業、パワーグリッドなどのスマート化に向けて、2021年までには利用可能となる予定だ。無線ネットワークが高信頼性低遅延でさらに強化されるにつれて、IoV(Internet of Vehicles、自動車用インターネット)向けスライスのサポートも始まっていく。
技術革新や製品革新に加え、ネットワークへのAI導入も、エネルギー効率向上と運用管理費削減といった包括的な費用削減に貢献する。
革新的な処理技術やアルゴリズム、最新の材料や放熱技術により、5Gネットワークは、4Gの50倍のエネルギー効率を達成している。今後はAIを使ったエネルギー削減により、多様な分野からの要望に対応可能なさらなる効率化が進み、最終的に5Gは4Gの100倍のエネルギー効率を実現する。
ホームページへ