情報漏えい対策の一環として,クライアントPCにはディスクを持たせずに,情報を集中管理することがトレンドになっている。クライアントPCに情報を保存させなければ,PCの盗難や紛失が原因の情報漏えいを防げる。しかし,ディスクや情報などのIT資産の“集中化”の流れは最近始まったことではない。情報漏えい対策が,従来のどのような動機付けよりも強力であったために,やっと注目され始めたに過ぎないと筆者は考える。
集中化と分散化の両立を模索
「IT資源を集中管理することで運用コストを軽減させる」という考え方と,「分散配置によって個人の生産性を向上させる」という考え方をいかに両立させるか,企業の多くは,そのシステム・アーキテクチャのあり方に悩んできた。IT資源を集中化させれば,運用管理にかかる負荷を軽減できる。その一方で,個人の生産性が犠牲になるケースも出てくる。
この悩みは,ワークステーションやWindowsパソコンの出現により始まった。これらが手軽に導入できるようになると,汎用機やオフコンなどを利用するそれまでの一極集中型から,CPU処理機構とデータ・ストレージの両方をエンド・ユーザーの手元に置く分散型のアーキテクチャへと舵が大きくきられるようになった。
この結果,個人の生産性は飛躍的に高まり,分散化は加速した。しかし,クライアント管理コストの増大という副作用が生じた。
そこで生まれたのが,分散と集中の“折衷案”である。具体的には,インベントリ情報を一元管理してソフトウエアを自動配布するという運用管理形態である。最終的な責任の所在(自由の所在)はエンド・ユーザーに委譲するものの,パッチやソフトウエアのバージョン・アップ作業を情報システムがサポートすることで,管理負荷を減らすというモデルだ。現在でも,このモデルを採用している企業は多いだろう。
画面情報端末が登場,ただし集中化は進まず
管理コストの軽減は十分ではないものの,エンド・ユーザーの利便性を考えると,上述のモデル以上のものは望めない状況が長く続いた。その状況を打ち破った仕組みが,画面情報端末,すなわち米Citrix SystemsのICA(Independent Computing Architecture)や米MicrosoftのRDP(Remote Desktop Protocol)である。Windowsクライアントの環境をそのまま利用できるという利便性を維持しつつ,ソフトウエアのバージョン・アップやデータ保護など,クライアント管理負荷を減らすことができる。
画面情報端末が広まった一番の要因は,WAN回線が安価になったことである。ネットワーク・インフラが安くなれば,遠隔拠点に分散配置したIT資源を,本社のデータ・センターに一極集中化できる。システム管理者が遠隔拠点に定期的に出張して維持管理するコストよりも,WAN回線のコストの方が安い。
画面情報端末を取り扱うベンダーは,WAN経由でも問題なく利用できることをアピールするために,必要とする帯域が少ない点を強調した。「32kビット/秒あれば実用になる」(ICAを開発した米Citrix Systems)といった具合だ。
しかし画面情報端末がある程度広まったといっても,資源の集中化はそれほど世の中に訴求できなかった。導入コストや利便性を考えると,前述の折衷案の方が好ましかったからだ。管理コストの軽減だけでは,システム・アーキテクチャを変更させるには弱かった。
集中化の効果はセキュリティだけではない
時代が動くきっかけとなったのは,2005年4月に全面施行された個人情報保護法と,同法に基づく情報漏えい対策である。元はと言えば,行政サービスである住民基本台帳ネットワークを健全に運用するために作られた個人情報保護法は,現在では企業情報システムの姿を変えるまでに浸透した。情報漏えい対策は,企業におけるIT資源の集中化を進める大きなけん引力となった。ローカルにディスクを持たなければ,PCを紛失しても情報が漏えいする心配はない。
個人情報保護法の施行以降,富士通やNECなどパソコン・ベンダー各社がディスクを搭載しない画面情報端末(シン・クライアント)を相次いで出荷したことは記憶に新しい。ブレード・クライアント大手の米ClearCube Technologyや米DELLなどにシン・クライアント端末をOEM(相手先ブランドによる生産)供給する米Wyse Technologyの予測では,2004年の実績で3万7000台だった国内のシンクライアント市場は,2007年には9万5000台にまで成長する。
米Citrix SystemsのICAをセキュリティ対策に適用した注目事例では,UFJ銀行のWWWアプリケーションがある。WWWブラウザをデータ・センター側で動作させ,WWWブラウザのグラフィックス画面をユーザーのクライアントPC上で表示するものだ。ブラウザを手元で実行しないことで,ウイルスやスパイウエアといったWWWアクセスに起因するセキュリティ上の実害を防止するのが狙い。
集中化の議論ではいつも問題にされていた利便性だが,現状ではほとんど問題なくなっている。逆に,利便性が向上するといえるだろう。まず,前述のようにWAN回線が安価になったことに併せて,インターネット・アクセスが容易になっている。これにより,いつでもどこでもインターネットを経由してファイルにアクセスできる。デバイスを選ばないので,ファイルを持ち歩く場合よりも便利な場合が少なくない。
また,従来の議論ではあまり強調されていないことだが,ローカルにディスクを持たないということは,各ユーザーが直接さらされているディスク障害の脅威から解放されるというメリットをもたらす。
集中化を“支援”する仕組みも
画面情報端末はデータ・ストレージに加えてCPU処理までもデータ・センターに集中化させるが,情報漏えい対策だけを考えれば,CPU処理は手元に置いておき,ストレージだけを無くす方法もある。LAN上でネットワーク・ファイル・システムを利用する形態は昔から使われてきたが,ここへきて,WAN回線を経由してファイル・システムをマウントするための製品が登場した。WAFS(Wide Area File Services)である。
WAFSのアプライアンスを出荷するベンダーには,米Riverbed Technologyや米Cisco Systems,米Brocade Communications Systemsなどがある。WAFSでは,TCPコネクション成立時にかかる3-Wayハンドシェイクの工程を排除したり,プロトコルを単純化させたり,転送データの圧縮や差分転送などの手法を採る。ネットワーク・ファイル・システムのプロトコルを変換するプロキシと思えばよい。
画面情報の転送でも,プロキシによってプロトコルを変換する製品がある。例えば,加HummingbirdのXサーバー(X端末)ソフト「Exceed onDemand」は,X11プロトコルを,X11を圧縮した独自プロトコル「Thin X Protocol」に置き換える。X11ベースのソフトウエアとの間でX11を直接やり取りするよりも少ない転送量で画面情報を扱える。もちろん,ICAやRDP経由でXサーバー(X端末)の画面を操作することも可能だが,Thin X ProtocolはX11に準拠した描画命令を手元で実行できる。
ローカルにデータを置かないという流れでは,PDA(携帯情報端末)へのデータ同期ソフトもまた,昨今では情報漏えい対策を売り文句としている。そのシナリオはこうだ。「(グループウエアのデータと同期した)PDAを外出先で紛失しても,空のデータでリモートから同期させることで,データを消去できる」(米Intellisync副社長の荒井真成氏)。このプレゼンを聞いた時,筆者は「すごい発想だ」と感心した。
情報漏えい対策を契機に加速し始めた“集中化”。当分,止まることはないだろう。
