通信サービス料はできるだけ安く抑える。帯域を増やすことなく,システム管理のスキルと知識を武器に,サーバー機能の使いこなしや製品選びのテクニックで乗り切る。寺岡精工の情報システム部は,SIベンダーに任せない自前主義で,適切なネットワーク構築を続けている。
帯域に応じて高くなる通信サービス料という難題をいかに克服するか。解決方法は鮮やかだ(図1[拡大表示])。2001年8月に社内ネットワークをIP化した当時から,サーバー機を活用して帯域の狭さを回避するなど,クライアント管理コストの削減に工夫を凝らしてきた。まず,128kビット/秒というIP-VPNの帯域を増やさずに,Linux機を遠隔拠点に分散配置することでクライアント管理の問題を克服した。
2003年12月には,製品選びを工夫して,通信サービスの切り替えによるコスト削減にも成功。インターネットVPNを使う拠点に置いたルーターと暗号化ゲートウエイ装置を,暗号化機能を内蔵した個人向けのルーターにリプレースすることで,より安価なISPサービスに切り替えた。
このような自前主義に基づいたシステム管理スキルの高さが,寺岡精工情報システム部の特色である(写真1)。
狭い帯域でPC1500台を管理
通信サービスの利用状況はこうである。全国に34カ所ある「営業所」を,日本テレコムのIP-VPNサービス「SOLTERIA」で接続。帯域は128kビット/秒と狭く,これに音声4チャネルとデータが共存する。管理対象となる34カ所のクライアントPCの合計台数は1500と多い。一方,営業所より規模の小さい「出張所」は14カ所。最大1.5Mビット/秒のADSLでインターネットVPNに接続している(122ページの図2[拡大表示])。
ネットワークのIP化を図った当時に問題となったのは,帯域の狭いIP-VPNである。業務アプリケーションや音声通話のトラフィックを確保しつつ,裏ではウイルス対策やヘルプデスクなどのクライアント管理も円滑に進めたかった。このため,帯域制御装置のPacketShaperを導入するとともに,クライアント管理用のトラフィックを可能な限り削減させる必要があった。
同社のクライアント管理は興味深い。内容は大きく2つある。1つはウイルス対策である。ウイルス対策用のデータ・ファイルを本社のサーバーからクライアントPCに夜間バッチで配布する仕組みを用意した。もう1つのクライアント管理は,ヘルプデスクを円滑に進めるための,ホスト名の命名ルールである。
同社はまず,ユーザーの部署名と社員番号からクライアントPCのホスト名が分かる仕組みを構築した。部署を示す3文字の英字と社員番号を合わせたホスト名を付けるのがルールだ。これにより,ヘルプデスク対応の際に情報システム部門が電話でユーザーの社員番号を聞くだけで,ユーザーが使っているクライアントPCのホスト名が分かる。「ホスト名でクライアントPCにアクセスできるのはメリットだ。クライアントPCがpingに応答するか調べたり遠隔操作ソフトで操作する際に,わざわざ台帳からIPアドレスを調べる必要がない」(情報システム部の夏堀貴仁主任)。
ホスト名はDDNSで確定
ホスト名でクライアントPCにアクセスできる理由は,DHCPサーバーとDynamicDNS(DDNS)サーバーを使っていること。DHCPサーバーが動的に割り当てたIPアドレスを,DDNSサーバーに登録する仕掛けだ。固定IPアドレスでもホスト名を管理可能だが,IPアドレスとユーザーの対応表を維持管理し続けるのはコストがかかってしまう。
徹底したトラフィック削減のため,DHCPサーバーだけでなく,DDNSサーバーも拠点ごとに分散配置した。拠点に置いたDDNSサーバーは,DNSのゾーン分割と,拠点に対するDNSサービスの提供を兼ねる。こうした工夫により,IP-VPNを流れるDNSトラフィックを減少させた。
分散配置したサーバー機にも工夫がある。DHCPとDDNSのサーバーとして同社が選んだのは,小さなLinux機「FutureNet ES1-200」(写真2)。このような“Linuxボックス”は「パソコンと比べてメンテナンス・コストを削減できる。なぜならほとんど壊れないからだ」(夏堀氏)。
Linuxボックスは,ウイルス対策データ・ファイルを配布する用途にも使う。Linux機が提供するファイル・サーバー機能を,ウイルス対策データの中継に利用する。帯域が狭い状況で,1500台におよぶクライアントPCが一斉にデータをダウンロードするわけにはいかないからである。
本社に置いたデータ配信サーバーは,日本ネットワークアソシエイツの「ePolicy Orchestrator(EPO)」。クライアントPCはまず,本社のEPOにリクエストを送る。EPOは,クライアントの拠点に応じた最寄りのファイル・サーバーをクライアントに返答する。クライアントは,教えられたファイル・サーバーからデータをダウンロードする。
Linuxボックスへのデータ配信は夜間バッチで行う。時刻は毎日午前1時。容量4~5MバイトのデータをFTPで転送する。34カ所の拠点に配布するため,EPOのサーバー機には100Mビット/秒のネットワーク・インタフェース・カードを2枚挿して高速にデータを送り出せるようにした。
機種変更でISP料金も削減
一方,インターネットVPNに接続した出張所は帯域が広いので,本社の資源を直接利用する。
問題が無いかのように見えるインターネットVPN接続だが,ISPに支払うサービス料金を下げる余地が残っていた。導入当時は,NTTPCコミュニケーションズのサービス「InfoSphere IP」を,固定グローバルIPアドレス8個で契約した。拠点にはルーターのほかに暗号化ゲートウエイ装置「Nokia CC500」を設置。ISPとの接続は,独立したIPアドレスを1つ消費せずに済む“IP Unnumbered”だが,インターネットに接続する機器が2台あるため,固定グローバルIPアドレスが2個必要だった。
そこで2003年12月,ルーターと暗号化ゲートウエイ装置を撤去し,パーソルの個人向けルーター「persol BSR14」(写真3)に置き換えた。同機は暗号化機能を内蔵したオールインワン型のブロードバンド・ルーター。インターネットに接続する機器がこれ1台で済むため,固定グローバルIPアドレス1個のISPサービスに切り替えることができた(図3[拡大表示])。これを機に,ISPサービス自体もInfoSphere IPから日本テレコムの「ODN-Bizフレッツアクセス」に変更した。同じIP1個のサービスながら,ODNの方がサービス料が安かったからだ。
persol BSR14は3DESで暗号化する。暗号エンジンはハードウエアで実装しており,寺岡精工で検証したところ十分に高速に動作することを確認した。同機はまた,DHCPサーバー機能も持つため,別途DHCPサーバーを設置するコストも抑制できた。
「個人向けの製品でも企業の利用に耐えられる。遠隔拠点のインターネットVPN接続のような個人にも関係してくる用途なら,安い個人向け製品を選ばぬ理由はない」(情報システム部の関龍彦係長)。機器選びの工夫でISPのサービス料金が下がることは画期的だが,そもそも機器が安価だったことがルーターのリプレースにつながったのである。