ネットワーク仮想化でマイクロセグメント化、セキュアな仮想デスクトップ環境を構築
新明和工業、VMware NSXの導入効果は「やっぱりすごかった」
2014年11月20日 06時00分更新
11月5日、6日に開催されたヴイエムウェアの年次カンファレンス「vForum 2014」において、クラウドサービスの「vCloud Air」と並び来場者の注目を集めた技術が「ネットワーク仮想化」だ。ルーティング、スイッチングに加え、ファイアウォールや負荷分散、VPNといったネットワークサービスも仮想化し、ソフトウェア定義可能にすることで、柔軟なネットワーク環境が実現できる。vForumのセッションでは、「VMware NSX」をいち早く導入してネットワーク仮想化に取り組んだ新明和工業が、その狙いと実際の導入効果を語った。
顧客がネットワーク仮想化に寄せる「3つの期待」
セッションではまずヴイエムウェアの種子野亮氏が登場し、ネットワーク仮想化に対して顧客がどんな期待を抱いているかを調査した結果を紹介した。同社セミナー来場者に対し「ネットワーク仮想化に期待すること」を尋ねたところ、回答上位には「ハードウェア削減によるコスト削減」「調達スピードの向上」「設計、構築段階での工数削減」といった答えが並んだという。
ヴイエムウェア ソリューション本部 本部長の種子野亮氏
ネットワーク仮想化に期待されている項目
また、より具体的に、ネットワーク仮想化によって既存のハードウェアをどの程度削減できそうかを尋ねたところ、ファイアウォールでは「平均38%」、ロードバランサーでは「同41%」という答えになったという。これについて種子野氏は、次のような見解を示す。
「インターネットと内部ネットワークの境界線に置くファイアウォールを置き換えられるとは思っていない。しかし、データベースとWebサーバーの間とか、開発環境と本番環境の間といった部分にも多くのファイアウォールが設置されており、それらを仮想ファイアウォールで置き換えられるのではないかと考えている」(種子野氏)
ロードバランサーについても同様で、レイヤー7まできっちり見るようなハイエンド装置の置き換えは難しくても、単純な冗長構成や負荷分散といった領域では置き換えが可能だと顧客は見ているわけだ。
ネットワーク調達期間についての質問では、現時点では「平均して5日程度」の作業期間を要するという結果となった。これもネットワーク仮想化によって、仮想マシンをデプロイするのと同じスピード、つまり数分単位で実現できるとの期待が寄せられている。「ハードウェア調達のプロセスも、ネットワークチームに開通を依頼する必要もなくなり、デプロイメントのスピードアップが期待できる」(種子野氏)。
設計/構築の工数削減への期待も高い。種子野氏は、「いまネットワーク設定の際に工数がかかっているのは、ファイアウォールの設定などの作業の部分だ」と指摘する。VMware NSXの導入によって、その設定作業を集約/一元化できるだけでなく、スクリプトによる自動化も可能となるため、スピードアップに加えてオペレーションミス削減の効果も見込まれると説明する。
一方、ネットワークセキュリティの向上に対する期待度はそれほど高くなかったという。だが実際には、VMware NSXによるネットワーク仮想化によって、内部での被害拡散を防ぐ「ゼロトラストセキュリティ」や仮想マシン単位でセキュリティを適用する「マイクロセグメンテーション」といった新たなセキュリティが実装できる。さらに、仮想マシンの変動に応じたポリシー適用も可能になる。
NSXでマイクロセグメント化、よりセキュアなゾーンを構築
続いて、新明和工業 航空機事業部 IT管理部 情報管理チームの浅田高伸氏が登壇し、同社におけるVMware NSX導入の経緯について説明した。
新明和工業 航空機事業部 IT管理部 情報管理チームの浅田高伸氏
新明和工業の前身となる川西航空機は、「紫電改」などの戦闘機を開発した飛行機製造会社だった。戦後は社名を改め、現在では救難飛行艇や特装車、パーキングシステムなどの開発、製造に当たっている。
同社がVMware NSX導入に取り組んだのは、調達/倉庫業務を委託している外部業者にも内部の生産管理システムを使える環境を用意し、調達プロセスのいっそうの効率化を図りたいという思いからだ。セキュリティを確保する手段としてまず取り組んだのは、仮想デスクトップの導入である。
「仮想デスクトップはデータ漏えいに対する強固な対策となるし、海外の拠点でも利用できるという利点がある。しかし、委託業者に仮想デスクトップへのアクセスを許可すると、生産管理システムだけでなくその他の社内システムにもアクセスできてしまう可能性があった。つまり、セキュリティゾーン(=社内)の中で、さらにセキュリティを考慮する必要が生じた」(浅田氏)
従来のセキュリティゾーン(社内ネットワーク)の中で、さらにセキュリティを考慮する必要が生じた
こうした要求を満たす手段として浮上したのがVMware NSXだ。VMware ESXによる仮想デスクトップを、NSXを使って最小単位のネットワーク区画「マイクロセグメンテーション」に閉じ込められるようにすることで、同一の仮想デスクトップ基盤上で「社内用」と「委託業者用」という2種類の仮想デスクトップをセキュアに構築できた。
こうした仕組みにより、同社ではセキュリティを確保しながら、委託業者が生産管理システムを一気通貫の形で利用できる環境を整え、調達スピードを「16%改善できた」という。
(→次ページ、「難しそう」「高そう」というイメージは裏切られた)
