「世界初の試み」も含むブロケード先進事例

川口市がSDDCを実現、次は「地域ファブリック化」に挑む

2015年09月28日 14時00分更新

文● 川島弘之／TECH.ASCII.jp　写真●曽根田元

制度の方針が未定だからこそ、ネットワークに柔軟性を

　マイナンバー制度は、その施行が目前に迫る一方で、政府から詳細な取り扱い方がなかなか提示されない。ただ、少なくとも、行政機関でのやりとりには「LGWAN（総合行政ネットワーク）」を利用することが決まっている。大山氏によれば、ここで問題となるのが、LGWANと、基幹系や業務端末をいかに安全につなぐかである。

　「年金機構の情報漏洩もあり、マイナンバーを取り扱う端末はインターネットからは切断することが前提となります。LGWANに安全につなぐためには専用のセグメントが必要となりますが、詳細なつなぎ方が提示されない中、物理的な機器を導入すると、投資が無駄になる可能性がありました」（同氏）

　ネットワーク仮想化でこの問題も解消できると考えた。

　「ファブリックなら柔軟な対応が可能だと思いました。統合仮想基盤の中に、基幹系、LGWAN、インターネットのセグメントを用意しておけば、あとはソフトウェアの定義でいかようにもつなげられる。サーバーも開発段階ではどのネットワークにつなぐか、トラフィックがどれだけか、あらかじめ見積もるのは困難だったのですが、SDNによって後から必要な構成に変更できます」（同氏）

ネットワークセグメントの帯域さえ確保しておけば、あとはソフトウェアの定義でいかようにもセグメントを追加できる

　マイナンバー制度への対応は自治体にとって喫緊の課題である。理想は川口市にように論理的にネットワークを分離し、法規制の今後の方向性によっては構成を柔軟に変えながら、マイナンバーがインターネットへ流れないようにすることだ。しかし、現状では基幹系とインターネットの経路が渾然一体となっている自治体も多く、対応に苦慮しているものと思われる。

　「川口市の場合は、基幹系とインターネット系は物理的に分かれていましたが、そうはいっても、年金機構では情報系にデータをコピーして漏洩したとも言われているので、物理的に分かれていても完璧ではありません。様々なことをトータルセキュリティとして実施していく必要があると思いますが、その一環としてLGWANへのセグメントを分離するという流れは今後あると思います。ただ、一朝一夕には難しいので、短期的な対応として、まずはマイナンバーに接続する端末をインターネットから隔離し、その後にネットワークを分離するという流れになるのではないでしょうか」

　ネットワークを分離するためには、もちろん従来型の物理スイッチでVLANを組む方法もある。一方、柔軟性を求めるならファブリックも一考の価値があると大山氏は語る。

　「力技で物理ネットワークを変更するのはコストが高く、柔軟性も生まれません。川口市はすでに3系統のネットワークがあって、重複するVLAN IDも存在していました。これを力技で変えるのは大変で、ファブリックによるメリットが大きかったですね」

（→次ページ、成功体験を発展させ、壮大な「地域ファブリック」へ）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ