IIJ GIOインフラストラクチャーP2 内部統制評価保証基準「SOC2 Type1」報告書を受領しました。

カテゴリー: サービスアップデート
このエントリーをはてなブックマークに追加

こんにちは。鍋倉です。

今回は、IIJ GIOインフラストラクチャーP2(以下IIJ GIO P2)に対して、
内部統制を評価する保証基準SOC2 Type1報告書を受領したご報告を兼ね、SOC2 Type1報告書について簡単に触れたいと思います。

■SOC2報告書とは

SOC2報告書は、アメリカ公認会計士協会(AICPA)が定めた”Trustサービスの原則と規準”に基づいて評価される、受託業務に関する内部統制の報告書となります。
IIJ GIO P2はIaaS(システムインフラを提供するサービス)ですので、お客様にシステムインフラをご提供することを、”受託業務”として捉えて頂ければと思います。

SOC2の報告書では、時点評価である”Type1”と、期間評価である”Type2”があります。今回IIJ GIOP2は、SOC2 Type1の報告書を受領しておりますが、SOC2 Type2報告書 (期間評価)の受領に向けた準備を現在進めています。(※1)

(※1) SOC2 Type1,2の違いについては、こちらの記事をご覧ください。

■Trustサービスの原則と規準とは

“Trustサービス”とは、システム(IIJ GIO P2を指します)の信頼性に関する内部統制について、第三者である監査法人(ITに関する専門的能力を持っている公認会計士)が保証を与えるサービスのことで、AICPAとカナダ勅許会計士協会(CICA)によって基準化されています。
すでに世界基準として欧米を中心に、各国で広く認知されています。

“Trustサービスの原則と規準”とは、この保証業務における原則と規準になります。
「セキュリティ」、「可用性」、「処理のインテグリティ」、「機密保持」、「プライバシー」の1つまたは複数の原則と規準に基づいて、評価が行われます。
今回のSOC2報告書では、この内の「セキュリティ」と「可用性」を評価されています。「セキュリティ」、「可用性」については、主に以下の観点から評価されます。

セキュリティ
システム(IIJ GIO P2のサービスインフラ)が物理的・論理的に未承認のアクセスから保護されていること
可用性
サービス仕様として定められている通りの利用ができること

IIJがお客様に透明性の高いクラウドサービスを提供していること、「セキュリティ」および「可用性」に関するIIJ GIO P2の取組状況SOC2 Type1報告書から理解いただくことにより、お客様の内部監査等に役立てることができます。

IIJ GIO P2を始めとした、IIJ GIOのコンプライアンス・セキュリティの取り組み一覧については、こちらを参照ください。

IIJ GIO P2をご利用頂いているお客様については、今回受領したSOC2 Type1報告書をお渡しできますので、ご用命があれば問い合わせください。

(クラウド本部 サービス企画部 鍋倉)

【IIJ GIOの裏側を語る#最終回】IIJ GIOが目指す未来

カテゴリー: IIJについて, インフラストラクチャーP2, 裏側を語る
このエントリーをはてなブックマークに追加

『IIJ GIOの裏側を語る』連載企画の最終回です。

今回は、クラウド本部の染谷が「IIJ GIOが目指す未来」をお伝えします。

執筆者の紹介

株式会社インターネットイニシアティブ
クラウド本部
副本部長 染谷 直

「最終回:IIJ GIOが目指す未来」

最終回の今回は、クラウドを取り巻く事業環境が大きく変化している中で
『次のIIJのクラウドはどこを目指すのか』についてお話します。

はじめまして、私はIIJでクラウド事業および、IoT事業を担当している染谷と申します。IIJのクラウドが今後どのような未来を考えているのか、簡単にご紹介したいと思います。

クラウドを取り巻く環境の変化

私はつい最近まで、クラウドソリューション事業の担当をしていて、特に、企業の業務基幹パッケージである独SAP社のソフトウェアのクラウド化を推進、お客様への提案を行っていました。

従来は企業の重要業務である会計や販売・仕入・生産管理機能は、オンプレミスの自社専用の設備に導入することが当たり前であったはずですが、私が訪問した中でも、中小企業だけでなく大企業までもが、基幹業務システムをクラウド化することにはほとんど抵抗がないことには驚きでした。

それは、我々が主に情報系システムを対象にクラウドサービスを始めた2010年頃には全く考えられなかったことです。

既に、日本中の企業の約半数がなんらかの形でクラウドを活用し、特に資本金50億以上の企業の約8割がクラウドを利用しています。しかしながら、最近になって企業のクラウド活用が進むにつれて、クラウドの利点を享受できるだけではなく、課題があることも分かってきています。

我々のクラウドサービスIIJ GIOの利用ユーザにアンケートをとったところ、実に70%のお客様が複数のクラウドを併用しているというデータがあります。ある程度予想はしていましたが、想定以上の数字でした。

お客様に聞いてみると、もともとは効率化・迅速化を目指してクラウドを導入したものの、実際は、複数のクラウドを利用することでシステムが複雑化し、また、クラウド毎に異なる機能特徴を理解し安定して運用し続けることは、各社情報システム部門のメンバのスキル面、リソース面で大きな負担を抱えているとのことです。

図1:IIJ ユーザのマルチクラウド活用状況

クラウドに対する考え方、様々な利用形態は日本の企業に確実に定着が進んでいるのですが、これからの時代はオンプレミスやIIJ GIO、パブリッククラウドをいかに適材適所、効果的・効率的に利用するか、という点が重要だということを痛感しました。

新しいクラウドサービスコンセプト - Sharing Value & Intelligence -

IIJ GIOはいままでは、インフラIaaSの機能そのものを提供してきました。
高い技術力を用いた高信頼・高性能のP2パブリックリソースと、オンプレミスの環境をそのままクラウドへ移行できるP2プライベートリソース

また、我々のクラウドサービスの特徴として、単なるIaaSの提供だけでなく、ハイブリットクラウド、マルチクラウド利用環境下でのお客様のシステム導入コンサルティング、設計・導入、ならびに運用を引き受けるサービスも行っています。

巨大なクラウドサービスを開発、運営するだけでなく、そういったお客様システムの運用を通じて培った技術情報、対応ナレッジが蓄積されていて、我々のサービス運用に寄与しています。

実際に、我々が運用するノード数はすでに数万を超え、年間1,000万件ものインシデントアラートが発生していますが、蓄積されたナレッジを活用した自動処理機能を自社開発し、実に94%ものアラート対応を自動化することに成功しています。

これからの我々のクラウドサービスは、こういったサービス運用にて培ったノウハウ、技術情報の価値をお客様へ提供し、お客様のビジネスそのものを止めないサービスの提供を目指して行きたいと思っています。

例えば、あるシステムで発生した障害情報を基にしたリスク情報の展開や、運用負荷の大幅軽減、我々のサービスシステムの開発や運用により得た知見を基に、コストを大幅に削減できるシステム設計をお客様システムに繋げる形です。

次世代のサービス像としては、単なるIaaSやその付帯機能の提供だけではなく、蓄積され続ける膨大な運用ノウハウ・データ、AIを利用した自動処理機能を更に高度化させ、お客様システムの運用情報の可視化、予兆検知、さらにはシステムの自動運転を実現するサービスへと進化させていきます。

図2.サービスコンセプト

IoTへの取組 -真のOne Cloudへ-

もうすでに、「IoT」というキーワードが新聞紙面上やインターネット上で目にしない日はほとんど無いと言ってよいでしょう。あらゆる産業において、IoTに新たな成長の可能性を感じ、欧米を始めとした世界中が注目をしています。

IIJは創業当初からインターネットという技術革新を利用し、従来の考え方、ビジネスモデルに変革を与えることを基本的なコンセプトとしてきましたが、IoTはまさに我々が目指していた世界です。

一方、IoTに携わる、もしくは検討をしたことが有る方は理解されているかと思いますが、その適用範囲は、従来のITの範囲を超え、いわゆるOT、デバイスやリアルビジネス上の運用技術が必要となり、高度に多層化された複雑システムを必要とします。

IoTを検討しているユーザ企業の企画部門や事業部門の方は、デバイスから集められたデータから新たな価値を産み出すことを主目的としているにも関わらず、データを収集・集約することに多大な労力を必要としているのが現状です。

IIJには、従来から得意としてきたMVNOモバイルを始めとした多彩なネットワークサービス、さらには、WAN拠点のネットワーク機器の遠隔自動運用を可能とした、SACMというデバイス管理の自社開発技術を有しています。

我々は、IoTを活用してビジネス変革をもたらしたいユーザに対して、コンセントに繋ぐように簡単にデバイスから自動的にデータがIIJ GIO上に収集・集約され、データ活用できる世界を目指しています。

IIJのネットワークサービスIIJ OmnibusとクラウドサービスIIJ GIO、そしてセキュリティサービスを融合し、「真のOne Cloud」の世界を実現し、今後本格化されるIoT世界の到来に向けて、最適なIoTサービスを提供していきます。

図3. IIJ IoT

過去の連載記事

【IIJ GIOの裏側を語る#10】ナレッジが詰め込まれた運用管理システム

カテゴリー: 統合運用管理, 裏側を語る
このエントリーをはてなブックマークに追加

『IIJ GIOの裏側を語る』連載企画の第10回です。

今回は、サービス基盤本部の福原が「ナレッジが詰め込まれた運用管理システム」をテーマに解説します。

執筆者の紹介

株式会社インターネットイニシアティブ
サービス基盤本部
サービス運用企画部 福原 亮

「第10回:ナレッジが詰め込まれた運用管理システム ~運用現場って大変ですよね~ 」

・滝のように流れるアラートはいったい何者か?

大変ありがたいことで、IIJでは多くのお客様の運用をアウトソース頂いています。IIJのサポートセンターでは監視システムで検知したアラートを、チケット管理システムに登録してオペレーションやエンジニアリングをしていますが、実にその数が、日に1万件を超えることもしばしば。歴史を振り返ると、この膨大なアラートを手作業で、要るもの要らないものを仕分けして、オペレーションしていました。そもそもいったいどんなアラートが出ているのか?と分析してみると、、、

障害検知と復旧が大抵は対になるので、50%近くは復旧メッセージです。それはまぁそうですよね。でもこれは原則オペレーションしないので、そもそも見ないようにすればよいだけですね。残りの50%は?というと、作業影響によるもの、アプリケーション不具合等でアクセスする度に検知しちゃうもの、といった類が結構多かったですね。連絡して見ると、作業影響です!とか、ログを調査していると誰かログインして何かやってる。など現場あるあるです。

事情はあるにせよ、作業に伴うアラートは作業前に連絡をもらって、アラートを静観/無視すればいいのでは?と安易に考えがちですが、何せ母数が多いので、オペレーターで対応するのはどうしても限界があります。であれば、機械的に消し込んでしまえばいいのでは?

・アラートフィルタリングシステム

そこで、開発に乗り出したのが”中継システム”と呼んでいる、アラートフィルター機能。要するに、ある一定期間、特定のアラートを機械的に無視フラグを立ててあげる。チケット管理システムはフラグをみて表示制御すればよい筈だ、と考えたわけです。発想はいたって単純ですね。

図1:アラートフィルター

理屈は単純なんですが、作業している側からすると作業前に運用者のために依頼や申請を出すのって、結構な負担ですよね。なぜって、すぐ作業したいのに、作業の前工程が増えるわけですし、いざ依頼しようと思ってもそもそも監視の設定情報を知らないと無視対象を伝えられなし、依頼ができない。。。とするなら、作業する側も依頼や申請が出しやすい方が良いわけで、依頼の仕方にも工夫が要るだろう。

そこで、申請画面、運用コントロールパネルと呼んでいますが、これを開いたときに、監視設定の情報を監視システムから引っ張ってきて、ノード情報、監視項目情報を画面に表示しています。そうしておけば、作業者も覚えていなくてもその場で確かめながら申請できます。

でも、障害中にすぐやりたい!といった場合に、運用コントロールパネルをポチポチ開くもの、ちょっと手間なんじゃないか?と考えて、ポータル画面でも操作出来るように、改良しました。単純にポチポチの回数を減らしたかったんです。

図2:ポータルでポチッと監視停止

最近の利用状況をみて見ると、この無視に関する申請数はダントツトップでして、結果的に不要なアラートを機械的に消し込める数が大きくなりました。もう一方の、アプリケーション不具合やデータベース障害等で発生する、垂れ流しになってしまうログ関係のアラートは?というと、5分間でまとめてしまおう。と考えました。どうやってまとめるかというと、同一のサーバの同一監視項目を1件にマージしています。重複排除って呼んでいます。

障害が発生してしまうのは仕方ないとして、オペレーション現場からみると、突発的にバーストするこの手のアラートの対応は、すごく大変なんです。ずっと出っ放しなので、1件ずつ対応してたのではとんでもない対応遅延になってしまいます。アラート全体からみると、この重複排除した件数はさほど多くは無いですが、運用現場にとってはすごくありがたい機能だったります。こういった中継システムの機能を使った結果、年間1,000万件を超えるアラートの94%を機械的に無視するまでに至りました。

図3:ノウハウから生まれた自動アラート処理機構

この他にも、中継システムには様々な機能がありますが、動的な手順書自動生成機能、自動アラート通知機能(これ、電話もメールも出来るんです)、大量アラート検出機能、API連動、メール連動などなど、運用現場ならではの機能をスクラッチ開発しています。

図4:機能一覧

・運用管理機能をSaaS提供

そんな中継システムを中核に据えた、運用管理システムをSaaSで提供しているのがIIJ統合運用管理サービス、略してUOM(Unified Operation Management)です。主要機能の監視、運用、ジョブ、に加えて、統合管理ポータル、チケット管理、通知といったサブ機能までをラインナップにしたサービスです。実は中継システムは商品にはなっていなくて、勝手についてくる基本機能です。これらの機能はすべてが結合されていますので、ご契約頂いてからすぐに使い始めることができます。

図5:サービスメニュー

機能カットでみると、OSS(Open Source Software)や各社から製品が出ていますが、フルSaaSで提供しているのは大きな特徴です。しかも、長年アウトソーシングをやってきた我々がコア部分をスクラッチ開発していますので、運用者に優しいサービスになっていると思います。

・マルチクラウド時代の運用

昨今はマルチクラウドがどんどん浸透しており、現場に求められる、スキルセットやスピード、品質が日に日に増しています。従来型のオペレーションのあり方では、到底太刀打ち出来ないのも明白で、新しい取組が必要だろうと感じています。そこで、統合運用管理サービスは”マルチクラウド運用の自動運転”に向けて、新たな挑戦に挑み始めています。

【プレスリリース】

IIJ、マルチクラウド運用の自動運転を実現する「IIJ統合運用管理サービス」を提供開始(2017/3/13)
http://www.iij.ad.jp/news/pressrelease/2017/0313.html
すでにAzureの対応が完了し、他のクラウドにも対応すべく準備を進めています。また、自動オペレーション機能や予兆、予測といった未来を見据えた運用の検証も始めています。

今後の発展にぜひご期待ください。

今後の連載予定

【IIJ GIOの裏側を語る#9】大規模インフラの安定運用

カテゴリー: 裏側を語る
このエントリーをはてなブックマークに追加

『IIJ GIOの裏側を語る』連載企画の第9回です。

今回は、サービス基盤本部の川本が「大規模インフラの安定運用」をテーマに解説します。

執筆者の紹介

株式会社インターネットイニシアティブ
サービス基盤本部
川本 信博

「第9回:大規模インフラの安定運用」

大規模インフラの安定運用

クラウドコンピューティングサービスを利用しているお客様にとっては、物理的なインフラを気にすることなく欲しい機能を必要なだけ利用ができることが大きな利点ですが、その裏でサービスを提供する我々は如何に物理インフラを安定稼働できるかを考え運用をしています。物理インフラの運用には、製品の目利き力、ハードウェアの知見、物理ケーブルの選定、日本のデータセンターに合わせたネットワーク設計・維持、電力・熱問題の対処といった挙げたらきりがないほどの技術要素と経験が必要です。今回はその中からいくつかのトピックを紹介します。

製品選定のプロセス

IIJ GIO P2を構成しているハードウェアは、メーカ製のものがほとんどです。自社で開発していない分、組み合わせて動作の保障と長期にわたり安定運用をするため、「製品のより詳しい動作原理の知見を得ること」「トリッキーなことはせず、より安定稼働できてエンジニアであれば誰が見ても分かり易い構成で利用すること」をポリシーにしています。

例えば、iSCSIを利用しているネットワークでは、マイクロバーストなどでストレージに負荷が一時的に集中した場合、ネットワークスイッチのポートバッファの容量が少ないとパケットロスが起き、急激にストレージアクセスが遅くなることがあります。その問題を未然に防ぐため、よりポートバッファが多く積まれた(deep buffer)ネットワークスイッチを利用して、バーストトラフィックをバッファでキャッシュさせパケットロスを防ぎます。機器の採用を決める際も、実環境でのテストだけではなく、高負荷テスト、ランニングテストを必ず行い、動作原理や挙動を把握した上で採用の可否を決めています。
(図1-1,1-2はそのときの負荷をかけ続けた時のバッファの挙動)

図1-1 負荷テスト構成

図1-2 Deep bufferテスト結果

リソース増設作業

IIJ GIOはコンピューティングリソースを提供するサービスのため、サーバ等の在庫を常に確保できるよう定期的にサーバ増設を行っています。
以前は、必要なサーバ数を都度発注し構築していましたが、IIJ GIOサービス提供以降は増設する量が飛躍的に増え、必要数を都度発注していては追いつかない状態となりました。
また、機器の納品からお客様利用までの時間短縮の必要性にも迫られました。
そのため、物理作業の分散化と構築・テストを自動化し、問題の解決を図っています。

また、今まではサーバ機器の納品をデータセンターで行っていたため、サーバ機器をラックに設置しケーブル結線するといっ作業工程がボトルネックとなっていました。
そこで、サーバ工場で、サーバとネットワーク機器を直接ラックに設置し、ラック内の結線まで済んだ状態で、ラックまるごとデータセンターに搬入することで、
データセンター内ではラックの設置とコアネットワークへの接続だけで済むようになり、大量のサーバを順次設置することが可能になりました。(図2-1,2-2)

図2-1 ラックまるごとデータセンターに搬入

図2-2 従来と現在の違い

また、自社開発したツールで、初期の簡単な設定以外は電源投入から結線確認までの設定やテスト等を自動処理で行うようにしています。(図3)

図3 自動処理

このツールは、自動でサーバーの電源のオンオフ、PXEブートを繰り返しながらサーバの設定を行い、サーバ構成情報を収集し、サーバ物理構成に問題がないかの確認、ネットワークスイッチからのMac Address Table情報と比較し、ケーブル結線も含めた物理構成の確認まで行ってくれます。

ケーブル一本へのこだわり

IIJ GIO P2内の内部ネットワークは、40ギガビットイーサネット(40GbE)をベースに作られています。それ以前は、10ギガビットイーサネット(10GbE)をベースにしていましたが、P2開発当時40GbEのデータセンターで利用できる多ポートのスイッチ製品が出始めてきたこともあり、お客様のEast-Westトラフィックの増大によるトラフィック量増大に対処するため、40GbEの採用を決めました。(2017年現在、既に25G/50G/100Gの製品が出てきているため、今後40GbEは主流ではなくなり、この25G/50G/100Gが主流になっていくと考えています)

IEEE802.3baで標準化された40GbEの規格は、10GbEをベースに多重化することで帯域を増やすものです。そのため、10GbEでは、光ファイバーケーブルが1対(2芯)で済んでいたものが、4対(8芯)必要となります。(40GBASE-SR4 ,40GBASE-LR4)

光ファイバーケーブルは、8芯以上あるMPOコネクタの多芯(一般的に、12芯のケーブル)が必要です。このMPOコネクタのケーブルは、1つのコネクタで多芯を接続できますが、当時コネクタ種の多様性もあり発注先の業者も間違えて納品するといったトラブルも多く、多芯によるコスト増もあったため、運用上の現地オペレーションのミスを防ぐためMPOコネクタの採用をできるだけ避けるべきという結論に至りました。
そこで、トランシーバーで波長を多重化することで、従来利用していたLCコネクタで2芯の光ファイバーが利用できるトランシーバーの採用を決定し、従来通りの運用性を確保することができました。(図4)

図4 トランシーバーとケーブル

以前からデータセンター内のシステムを設計・運用をされていた方にとっては目新しいものが無いかもしれませんが、クラウドコンピューティングサービスの裏側は、地道に運用している物理インフラが支えているのです。

今後の連載予定

マルチデータベース対応のデータレプリケーションを提供しています。

カテゴリー: サービスアップデート, データベース
このエントリーをはてなブックマークに追加

こんにちは。鍋倉です。

前回までは、月ごとに“IIJ GIOサービスアップデート“としてIIJ GIO関連のサービスアップデートを簡潔にご紹介してきた本トピックですが、今月からは趣向を変えてサービスアップデートの内容をより深くご紹介していきます。

アップデートがあれば、月次でこれまで通りご紹介していきますので、今後とも宜しくお願いします。

さて、今回は、先月プレスリリースをした、IIJ GIOアドバンストDBソリューションの新メニューについて話をしたいと思います。

IIJ GIOアドバンストDBソリューションは、専門的な作業を要求されるデータベースの移行、構築、運用を提供するソリューションです。
IIJ GIOサービス上での構築はもちろん、オンプレミスやMicrosoft Azureを組み合わせた構成でのご提供も可能です。ご要件がございましたらお気軽にお問い合わせください。
本ソリューションでは、異なるデータベース間でのデータレプリケーションを可能とする、”Attunity Replicate”という製品を採用した、新メニューを提供しています。主にデータベースの移行や、災害対策目的のバックアップ・ディザスタリカバリ(DR)用途にご利用になれます。

Attunity Replicateとは

マルチデータベース対応のデータレプリケーションソフトです。

本製品には以下のような特徴があります。
1. 対応するデータベースの種類が豊富
Oracle Database、MySQL、Microsoft SQL Server 等のデータベース製品を始め、Data WarehouseやHadoop等にも対応しています。
2. エージェントレスで利用可能
既存でご利用いただいているデータベースの構成を変更せずに導入できます。DBサーバ同士のレプリケーションをAttunity Replicate Serverがコントロールして実現します。(図1参照)
3. 高速な差分同期
ソースDBからのredoログをAttunity Replicate Server上で処理し、ターゲットDBヘ最適化されたSQLでリアルタイム更新します。

図1 構成イメージ

いかがでしょうか。
ご興味がありましたら、お気軽に弊社営業またはお問い合わせフォームまでご連絡ください。

お待ちしております。

鍋倉