このページの本文へ

最新ユーザー事例探求 第24回

決め手は「仮想ファイアウォール単位」のコストと性能

インテックが「Check Point VSX-1」をクラウドで採用した理由

  • この記事をはてなブックマークに追加
  • 本文印刷

システムインテグレーターであるインテックは、クラウドサービスの一部分に仮想化対応のファイアウォール「Check Point VSX-1」を採用している。仮想ファイアウォールのメリットや製品選定の舞台裏のほか、導入時の苦労などを聞いた。

マルチテナントに対応したファイアウォールが必要

 昨今、クラウドサービスは通信やデータセンターの事業者だけではなく、SIerにおいても必須の商材となりつつある。ITホールディングスグループのインテックも、システムインテグレーションや運用などを組み込んだクラウドサービスを2010年4月から提供している。インテック ネットワーク&アウトソーシング事業本部 クラウドインテグレーション部 クラウドサービス課 課長 君塚修氏は、「お客さまごとのプライベートクラウドを物理的に集約する『仮想プライベートクラウド方式』のサービスです。アウトソーシングサービスで培ってきた高度な設計、構築、運用力を活かしたマネージド型サービスですので、さまざまなお客さまのご要望に応えられる柔軟さを持っている点が強みです」とサービスの概要について語る。

インテック ネットワーク&アウトソーシング事業本部 クラウドインテグレーション部 クラウドサービス課 課長 君塚修氏

 同社が、こうしたクラウドサービスのエッジ部分で利用するファイアウォールを検討し始めたのは、2009年5月にまでさかのぼる。当初の予定では、5年間で40のエンタープライズシステムをサービス基盤で動かす予定であったため、まずスループットの合計が15Gbpsに満たないと厳しいという要件があった。また、コスト面でも顧客に転嫁しないよう、製品自体や運用面でなるべく安価な製品が求められた。

 さらに複数の顧客で異なる設定や運用が行なえるマルチテナントに対応した製品という点も重視された。インテック ネットワーク&アウトソーシング事業本部 クラウドインテグレーション部 クラウドサービス課 鈴木宏昌氏は、「従来製品でマルチテナントを実現しようとしても、単一のハードウェアではテナントごとのポリシーやネットワーク設計に制限が生じてしまいます。また、異なるお客さまを同じファイアウォールにつないだ場合、IPアドレス重複の問題が起こってしまうのです」と語る。小型のファイアウォールを顧客ごとに設置するというプランもあったが、運用コストやスペース、消費電力などの負担も大きくなる。そのため、単一のハードウェアでマルチテナント化できるものが求められたわけだ。

ネットワーク&アウトソーシング事業本部 クラウドインテグレーション部 クラウドサービス課 鈴木宏昌氏

仮想ファイアウォール単位の性能やコストに差

 こうした要件の結果、候補として絞り込まれたのが、チェック・ポイント・ソフトウェア・テクノロジーズの「Check Point VSX-1」と競合ベンダーのハイエンド機種であった。両機種ともポリシーの異なる仮想ファイアウォールを複数搭載する機能を持っているため、マルチテナントでの運用が可能だ。

 そして性能や価格、運用面などさまざまな検討の結果、インテックでは検討開始から3ヶ月後の8月にVSX-1導入を決定した。VSX-1は単一のアプライアンス上にファイアウォール、IPsec/SSL VPN、侵入防御(IPS)、VoIPセキュリティ、URLフィルタリングなどの機能を持つ仮想ファイアウォールを最大150台までを搭載できる。また、複数台クラスター構成での負荷分散やフェイルオーバーなどにも対応し、サービスプロバイダーでの利用に十分な実力を発揮する。

仮想化に対応する「CheckPoint VSX-1 9090 Bundle」

 Check Point VSX-1を選定した最大の理由はコストだという。「競合製品はハードウェアが古いので、ギガビットのトラフィックを流すのに専用ボードが必要でした。そのため、性能価格比が低かったんです」と説明しており、VSX-1と2.5倍くらいの開きがあったという。全体のスペック差もVSX-1が出たばかりの製品ということもあり、3.5倍程度あった。両方とも仮想ファイアウォールをサポートしていたが、この仮想ファイアウォールの単価も2.5倍程度異なっていた。「クラウドサービスで提供する製品なので、お客さまにもコストメリットを提供しなければなりません。ですから、仮想ファイアウォール単位でのコストも重視したんです」(鈴木氏)。

 もう1つの選定理由は、管理のしやすさだ。同社は、チェック・ポイントが買収する前のノキアIPシリーズを10年以上前から数多く社内導入していたという経緯もあり、運用管理のノウハウがあった。「チェック・ポイント製品は専用のGUIクライアントを持っており、設定や管理性が優れていることがわかっていました。競合製品ではオプションで用意しなければなりませんでした」(鈴木氏)という。

苦労した仮想ファイアウォールの理解

 製品選定ののち、さっそくVSX-1の発注をかけたが、チェック・ポイントとしてアプライアンス版のVSXであるVSX-1は日本で初めての導入事例ということもあり、実際に製品が届くまでには数ヶ月かかったという。調達した製品で1ヶ月くらいかけて初期構築したのち、販売代理店であるアズジェントの協力の元に検証を行なった。

 一番苦労したのは、仮想ファイアウォールの概念だ。マニュアルはあるものの、CPUやメモリなどのハードウェアリソースをどのように振り分けるかなどは、アズジェントでもノウハウがなかったという。「仮想ファイアウォール間でどのように通信しているのかは独自プロトコルらしく、特に手探りでの仮説検証を繰り返しました」(鈴木氏)と述べている。また、マルチテナントということで、顧客単位でCPU使用率やTCPセッション数による内部的な制限を設けているため、いずれかの通信が他の顧客に影響を与えることもないという。こうした仕様も検証の中から生れたものだ

 検証ののち、2010年3月インテックの食品トレーサビリティシステムでβサービスを開始。途中、ハードウェア1台が故障するというハプニングもあったが、アズジェントの迅速な対応により、翌日には代替機が届き、万全の体制でβテストにこぎつけたという。

今ならバーチャルアプライアンスも有力な選択肢

 サービスは2010年4月に無事スタート。現状、計8台(ユーザー用7台、検証用1台)のVSX-1がクラウドサービスのファイアウォールとして動作している。以下のとおり、テナントごとに異なるポリシーの仮想ファイアウォールが用意されており、インテック側で集中管理されている。

VSX-1のマルチテナント運用のイメージ

 10年に渡って使っている経験を踏まえ、鈴木氏にチェック・ポイント製品全般について聞いたところ、「物理アプライアンスなのでハードウェア故障やファームウェアは付き物です。製品仕様として、リブートしないとできない作業もあります。その点、ファイアウォール単体で見れば、安定性に対する評価はやや落ちます。しかし、お客さまシステムのサービス全体を止めない仕組みがきっちり動作しますし、インシデントが発生してもチェック・ポイントや販売代理店のアズジェントを含めた、サポート体制やナレッジベースが強力なので心強いです」という評価が戻ってきた。

 クラウドサービス開始当初は物理アプライアンス上で複数の仮想ファイアウォールに構成できるタイプのVSX-1を選択したが、最近ではハイパーバイザー上で動作するバーチャルアプライアンス製品も一般的になってきた。ハードウェアに依存しないバーチャルアプライアンスは、展開や拡張がきわめて容易で、マルチテナント型のサービスには最適。ハードウェアやハイパーバイザー性能向上により、オーバーヘッドも小さくなってきたため、以前のような性能面での課題も解消されつつある。こうした点から、鈴木氏は、「チェック・ポイント製品のハードウェア性能は高いですし、サービス開始当初は選択肢がなかったので、VSX-1を選ぶことが正解だったと思いますが、今ならバーチャルアプライアンスも有力な選択肢だと思います」と語る。

 この背景には、顧客がクラウドサービスに求めるスピード感がある。君塚氏は、「昔はハードウェアの調達に1~2ヶ月かかりますという話でしたが、クラウドサービスでは5営業日でインフラ環境をお客さまに引き渡さなければなりません。我々も高品質なサービスを保ちつつ最善の努力を行なっておりますが、お客さまも営業担当もクラウドに慣れてきて、より一層の調達スピードの向上を求められております」と最近の動向について語る。こうしたニーズを吸収し、今後はセルフ型のクラウドサービスも展開していく予定となっている。

カテゴリートップへ

この連載の記事
ピックアップ