オラクルIaaS新発表まとめ、セキュリティ統合やEPYCインスタンスなど

2018年10月29日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　2018年10月22日～25日（米国時間）に開催された「Oracle Open World 2018（OOW 2018）」。2日目にはオラクルのIaaSである「Oracle Cloud Infrastructure（OCI）」についてのプロダクトキーノートが開催され、OCIのソフトウェア開発担当VPを務めるクレイ・マグワイク氏が講演を行った。

　初日基調講演では会長兼CTOのラリー・エリソン氏が“Gen 2 Cloud（第2世代のクラウド）”ビジョンを紹介したが、マグワイク氏はそのビジョンが持つ意味合いを説明したうえで、そのビジョンに基づく新しい機能やサービスの紹介を行った。

米オラクル OCIソフトウェア開発担当VPのクレイ・マグワイク氏。OCIの製品戦略や新発表を紹介した

「顧客のクラウド要件はまだ満たされていない」、“第2世代”の目的は2つ

　オラクルはなぜ“第2世代のクラウド”を標榜し、それを目指すのか。マグワイク氏はまずOCIの戦略を説明した。

　マグワイク氏はおよそ10年前、最初に“第1世代”のIaaSを体験して「これで世の中はずいぶん変わるだろう」と感じたと振り返る。それまでのように、顧客自身がITインフラを所有／運用する必要がなく、使いたいときに使う分だけプロビジョニングができる。大規模なアプリケーションもすぐに構築できる。こうしたクラウド利用のメリットは市場に大きなインパクトを与えた。

　「さまざまな業界において、（第1世代の）クラウドインフラが提供されていたからこそ実現できたことは多くあるはずだ」（マグワイク氏）

　しかしそれから10年が経過し、多くの顧客がクラウドのメリットを享受したいと考えるようになっているものの「まだまだ顧客のデマンド（要求）は満たされていない」（マグワイク氏）。それゆえに、クラウドに移行できないワークロードが数多く残っている。特にオラクルが手がけるようなエンタープライズの業務システムや大規模データベース領域では、その傾向が顕著だ。

“第1世代”クラウドが満たした要求、まだ満たせていない要求

　オラクルではOCIのサービスを設計するにあたって、“第1世代”クラウドに対していくつかの課題を見ていた。たとえばより厳密なセキュリティ、オンプレミスとまったく同等のデータベース環境といったものを実現しなければならない。そのためにオラクルは“第2世代のクラウド”ビジョンを掲げ、従来のクラウドアーキテクチャを一から作り直し、既存顧客がクラウドへ移行できるように促していく。

　“第2世代のクラウド”ビジョンは2年前、2016年のOOWですでに語られていたが、今年のOOWではそのビジョンを拡張し、より深いレベルのセキュリティや運用の自動化／自律化といった点も強化する方針を明らかにしている。それに加えてIaaS（OCI）だけでなくPaaSやSaaS、特に「Oracle Autonomous Database Cloud」の提供基盤としての“Oracle Gen 2 Cloud”でもあるという位置付けも強調された。

強固なセキュリティ機能をサービスに組み込み、運用を自動化して提供

　OCIの新発表、まずはセキュリティについて見ていこう。マグワイク氏は、OCIにおけるセキュリティ実装の特徴について「より深いレベルでの顧客環境のアイソレーション（隔離）」「エンドトゥエンドのデータ暗号化」「ネットワーク保護」「検証可能なコンプライアンス」といったものを実現していると説明する。こうしたセキュリティ機能を「あらかじめプラットフォームに組み込んだかたちで」「運用をなるべく自動化して」提供する点がアピールポイントだ。

　顧客環境のアイソレーションは、インフラを共有する他の顧客環境を介した侵入や攻撃を防ぐためのものだ。OCIでは、ベアメタルインスタンスにおいてコンピュート環境をハードウェアレベルで隔離するだけでなく、ネットワークトラフィックやストレージトラフィックも「オフボックス（顧客環境を提供するサーバーマシンの外）」の物理ネットワーク層であらかじめ完全に隔離する構成を取っているという。

OCIの全体アーキテクチャ（ホワイトペーパーより）。顧客トラフィックを物理ネットワーク／SDN層で分離している

　加えて、OCIインフラ上にあるデータはエンドトゥエンドで暗号化される。具体的には、ブロック、オブジェクトなどのストレージやデータベースに格納されるデータ、あるいはグローバルなバックボーンネットワークを通るデータもすべて暗号化する。顧客が非暗号化を選択することはできず、当然オラクルもデータの内容を見ることはできない。「つまり、皆さんはオラクルを信用しなくても構わないわけだ（笑）」（エリソン氏）。

　今回のOOWでは、このGen 2 Cloudに新たなセキュリティレイヤーとなるサービス群を統合することも発表された。具体的には、CASB、WAF、DDoS防御、KMS（暗号鍵管理サービス）の4つだ。いずれもオフボックス環境で提供されるサービスであり、そこでは積極的な運用の自動化も図られている。

　CASBは、すでに提供している「Oracle CASB Cloud Service」をOCIに対して適用するものだ。OCIの設定や稼働状況を定期的にモニタリングして潜在的な脅威を自動的に検出し、ポリシーベースで予防策を自動適用する。つまり、管理者やユーザーが気付いていない設定上の不備を自動的に防ぐサービスだ。

　「このCASBがなぜ重要かというと、クラウド環境では外部攻撃よりも設定ミスのほうがクリティカルな問題を引き起こすからだ。たとえば『誰かがドアを開けっぱなしにしている』（設定ミスでデータが意図せず外部公開されている）場合は大きな問題となるが、CASBは自動的に検知してアラートを上げてくれる」（マグワイク氏）

　WAF、DDoS防御は「OCI Edge」として提供されているサービスをOCIに統合したものだ。WAFはレイヤー7ロードバランサーの部分に配置され、不正行為やボットアクセスを検知、防御する。これらも攻撃トラフィックの検知や対処などの部分で運用の自動化が図られているほか、OCIの管理コンソールやAPIとの統合が行われているという。