IT運用コストの削減を助けるマイクロソフトのサーバ新製品群：Microsoft Management Summit 2004 Japan

「Microsoft Management Summit 2004 Japan」では、さまざまなサーバ関連の新製品が紹介される。ここではそれら一連の新製品について、事前に役立つプレビュー特集をお届けする。

[宮内さとる，ITmedia]

　IT関連予算に占める運用コストが高い割合であること、またこれを解消して運用コストを抑えるためのコンセプトとしてDSI（Dynamic Systems Initiative）が提唱されていることはご理解いただけただろうか。現在、多くの企業でサーバOSとして使用されているWindows Serverを提供するマイクロソフトでは、DSIの考え方を元にさまざまなServer製品を企画し、提供している。

　システムの運用という観点から、効率のよいシステム作りについて広く知識を得る場となる「Microsoft Management Summit 2004 Japan」（MMS 2004）でも、運用コストを下げるために利用できる新製品や既存製品の使い方などが紹介される。ここでは、MMS 2004で取り上げられる主な製品について、その特徴などをみてみることにしよう。

トラブル対策を効率的に行えるMicrosoft Operations Manager 2005

　システムで発生するトラブルを効率的に処理できれば、システムの運用コストは下がる。加えてトラブルを予見し、未然に防げるのであれば、運用コスト削減に多大な貢献が可能だろう。こうした意味で、MMS 2004で取り上げられる製品の中でも、新製品であるMicrosoft Operations Manager 2005（MOM 2005）は注目に値する製品だ。システム管理者が直面する運用上の手間を大幅に効率化してくれる。MOM 2005を使うことで、システムで発生している障害を自動的に検知し、効率的な対策を少人数で効率よく処理することが可能となる。

　システム運用の中心となるサーバの維持管理を行ううえで、最も厄介で手間のかかる作業は突発的なトラブルへの対応ではないだろうか。トラブルの原因を突き止め、対処し、再発を防ぐには、それなりのスキルやテクニック以外にも、経験が重要になるのが現状だ。

　MOM 2005の特筆すべき点は、Windows Server 2003はもとより、DNSサービスやExchange Server 2003などの各種サーバで発生する膨大なイベントログなどから、障害の原因となりそうなものを見つけ出し、アラートをいち早く上げることで、早めのトラブル対策が行えることだ。また、障害対策のノウハウとなる充実したデータベースが提供されるため、トラブル発生時に何をどうすればよいかという部分で、非常に役に立つツールなのだ。

MOM 2005のオペレータコンソールでは、膨大なイベントログなどから、アラートとすべきものを的確に分類し、アラートに関する適切な情報とその対処方法をわかりやすく提供してくれる。

　ここで重要なポイントが、MOM 2005で使われている「管理パック」だ。各種サーバの管理ルールや運用ノウハウといったものは、サーバ製品そのものを作ったメンバーのほうが、運用チームより詳しいのは容易に理解できるだろう。MOM 2005の管理パックでは、例えばWindows Server 2003の管理パックは Windows Server 2003の開発チームが作成し、Exchange Server 2003の管理パックは、Exchange Server 2003の開発チームが作成するというように、「餅は餅屋」的なやり方で作成されている。このため、MOM 2005と各種管理パックを使用することで、誰でも容易に的確なアラート検出や、適切なトラブル対策が行えるようになっているのだ。

　マイクロソフト製品の管理パックは、Exchange ServerやSQL Serverなどのサーバアプリケーション群から、Windows Server 2003などのオペレーティングシステムや、DNS、IISなどのサーバコンポーネントにいたるまで、すべて無償で提供され、新しい製品に対応する新バージョンの管理パックも継続して提供される。また、MOM 2005に対応したサードパーティ製品やハードウェアも提供される予定だ。

　もちろん、分散化しているシステム全体を一括管理できるという意味でも、MOM2005は運用コスト削減に大きく貢献する。

サーバの移行から一括管理までを広くサポートするVirtual Server 2005

　MOM 2005がトラブル対策から一括管理までをカバーするのに対し、Virtual Server 2005は、サーバの移行から一括管理までをサポートする。

　Virtual Server 2005はWindows Server 2003 上で高速に動作するようにチューニングされた、仮想的なサーバマシンを立てるためのソフトウェアだ。一見、バーチャル マシンと運用コスト削減というMMS 2004のテーマにつながりがないように思えるかもしれないが、Virtual Server 2005は運用コスト削減に深い意味を持つ。

　各種調査によると、サーバアプリケーションの寿命は、サーバマシンのハードウェアの寿命をはるかに超えるという報告がある。サーバマシンのリース期間が5年としても、サーバアプリケーションの代替は5年では行われず、もっと長期にわたって使い続けられるのだ。

　ここで問題となるのが、サーバマシンの移行である。現状、NT 4.0上でサーバアプリケーションが動作しており、それ以外のバージョンのサーバOSでは動作しないとする。こうなると、新規に用意したサーバマシンにNT 4.0が導入できない場合は移行が不可能となったり、導入してもマシンリソースの無駄が生じたりと問題点は多い。このような場合、最新のハードウェアの持つ豊富なマシンリソースを余すことなく使い、レガシーOSを稼動させるのに、Virtual Server 2005はもってこいのソリューションなのだ。

　Virtual Server 2005を使うと、1台のホストマシン上に複数のバーチャル マシンを同時に稼動させることができる。これは、複数のサーバマシンを1台に統合できるということなので、準備しなければならないハードウェアの台数を減らすことが可能となり、管理すべきハードウェアが減ることで、メンテナンスコストの削減が可能になるということでもある。

　Virtual Server 2005は、すでに発売されいてるVirtual PC 2004のサーバ版といえる。ホストマシン内にゲストとなるバーチャルなマシンを作り出すという点ではどちらも差はない。特徴的なのはWindows Server 2003上で動作が最適になるようにチューニングされていること、また、複数のバーチャルマシンを一括して管理できるツールが用意されているという点だろう。

Virtual Server 2005では、Web ベースの管理コンソールで、ホストマシン上で動作するすべてのバーチャル マシンをリモートから一括管理できるため、管理者の負担も軽減される。

　また、サーバ移行の際にとても便利な移行ツールキットも用意される。このツールキットを使うと、現状動作しているサーバのハードディスク イメージを吸い上げ、まったく同様の構成としてバーチャル マシンを構築し、稼動させるまでを自動化してくれる。

　これらの機能の応用として、夜中にサーバ丸ごとのバックアップを行うとか、サーバに障害が発生したときにバックアップサーバを自動的に起動して代替するといった使い方も考えられそうだ。MOM 2005と連携し、アラートを検出した時点で、代替のサーバを起動するようなスクリプトを実行させるなど、連携した使い方も考えられるだろう。

　もちろん、Virtual Server 2005の使い方として、テストサーバの構築にも使用できるが、主な使用シナリオとして考えられているのは、やはりサーバ統合や旧ハードウェアからの移行ということになるだろう。

クライアント管理のコストを削減するSystems Management Server 2003

　システムの運用コストを押し上げているのは、MOM 2005で管理する複雑化したネットワークや、Virtual Server 2005で仮想化するような数の増えたサーバだけではない。さまざまな使い方をされる、数多くのクライアントPCの管理も、運用コストを押し上げる原因のひとつだ。マイクロソフトの提案する効率的なクライアントPCの管理は、Systems Management Server 2003（SMS 2003）を使用したものだ。

　SMS2003は、従来からネットワーク上の資産管理などの目的で使用されていたので、多くのシステム管理者にはお馴染みの製品だろう。最近になってSMSが再度注目を集めるようになってきたのは、PC資産全体のセキュリティを考えた結果だと言える。

　SMS 2003の基本は、もちろんネットワークに接続されているハードウェアやソフトウェアといった資産の管理である。この基本となるインベントリ機能がネットワークのセキュリティを高める際に、非常に重要となってくるのだ。というのも、Windows Update等を経由して適用されるセキュリティ更新プログラムは、ネットワークに接続されているすべてのPCに適用されて初めてネットワーク全体の安全が保たれる。つまり、ネットワーク内のすべてのPCに確実にセキュリティ更新プログラムが施されている状態を保つために、まず、情報つまりインベントリを収集する必要があるからだ。

SMS 2003を使うことで、ネットワーク上のPCをまとめて管理し、例えばセキュリティ更新プログラムの実施状況を集約して管理可能となる。

　もちろんSMSの真骨頂はインベントリ機能以外にもある。セキュリティ更新プログラムの適用状況が分かると、次に必要なのは確実な配布と適用である。SMSはソフトウェアの配布機能が充実しており、これらの機能を用いることで、クライアントPCを使うユーザーへ負担をかけずに、確実にセキュリティ更新プログラムを配布、適用できる。さらに、Windows Updateでも利用されているBITS転送などの機能も併用できるため、モバイルクライアントに対してもソフトウェア配布を行うことが可能だ。

　もちろん、クライアントユーザーが意識して導入するべき配布ソフトウェアもあれば、管理者から強制的に導入させるべきソフトウェアもある。場合によっては、クライアントユーザーが気が付かないソフトウェア導入もあり得る。SMSではさまざまな管理者の要求に応える選択肢が用意されているので、状況に応じた使い分けが可能となる。

インターネットと社内ネットワークの境界で運用コストを抑えるMicrosoft Internet Security & Acceleration Server 2004

　社内ネットワークに接続されるすべてのクライアントPCの管理をSMS 2005で行ったとしても、外部からの攻撃など、社内ネットワークが悪影響にさらされるとするとどうだろう。社外からVPNなどを通して接続されるPCに問題があったらどうだろう。トラブルが発生し、運用コストに多大な影響を及ぼすのではなかろうか。

　Internet Security & Acceleration Server 2004（ISA 2004）は、こうした次元の問題に対処するための、いわゆるファイアウォールに分類されるサーバ製品だ。インターネット環境と社内ネットワークの境界に配置され、高性能なルーティング、高速なプロキシ、安全なVPN接続などの機能を提供する。

　一般にネットワークの設定、特にファイアウォールの設定は、セキュリティ問題を伴うため、慎重に行う必要があり、加えて設定そのものが複雑で難解という場合が多い。ISA 2004のよい点は、他のマイクロソフト製品同様、設定が簡単ということだ。設定のためのウィザードが充実しており、わかりやすい図や説明を見ながら設定できるため、たとえネットワークの知識に不安があっても、設定ミスのない、安全なインターネット接続を可能とする。

理解しやすい図を用いた設定が可能なISA 2004の構成画面。説明も分かりやすいものが準備されており、たとえネットワークの知識が十分でなくても、安全にインターネット接続を行える環境が構築できる。

　もちろん、設定が簡単だからといって機能が劣るわけではない。基本となるルーティングにおいても、IPパケットフィルタリングなどの下層レベルでのフィルタリングだけでなく、フルステートインスペクションを含む、アプリケーションレベルでのフィルタリングも可能となっている。

　また、特筆すべきはVPN接続である。ノートPCで外出先から社内サーバのExcelファイルにアクセスしたいとか、在宅勤務やリモートオフィスから社内サーバのアプリケーションを使用した業務を行いたいなど、VPNへのニーズは高まっている。反面、VPNにはセキュリティ上の不安も付きまとう。VPNにおけるセキュリティの心配とは、普通、アクセスしてくる際の認証が取り沙汰されるが、これは、ISA 2004でも十分に考慮されトンネリングと暗号化で対処できている。

　注目したいのは、VPNで接続してくるクライアントの検疫を行う機能である。例えば、セキュリティパッチが当たっていないとか、ウイルス対策が施されていないなど、社内ネットワークへの接続が望ましくないクライアントPCがあるとする。こうしたクライアントがVPN接続できないように、クライアントPCの構成をチェックし、ポリシーを満たすまで社内ネットワークへの接続を制限（例えばセキュリティパッチの配布サイトのみ接続可とするなど）するなど、より積極的にVPN接続を制御できるようになっている。

　このように、簡単な設定や、自動的な検疫機能により、セキュリティ対策を効率よく行える点で、ISA 2004は管理者の負担を減らし、運用コスト削減に貢献するのだ。

複雑化している社内ユーザーのID管理を効率的にするMicrosoft Identity Integration Server 2003

　運用コストを押し上げているのは、なにもハードウェア、ソフトウェア的な問題だけではない。社内の各ユーザーが持つIDの管理も、ヘルプデスク担当者やシステム管理者の手間という点で、運用コストを押し上げている。

　実際の運用をよく観察してみると、社内で使用している業務アプリケーションやWebアプリケーションなどで個々に認証が行われており、結果としてログオンするためのIDとパスワードがまったく統合されていないということが多い。例えば電子メールのIDとパスワード、経理システムのIDとパスワード、グループウェアのIDとパスワード、ファイル共有のIDとパスワードなどが個々に存在し、統合されていないという状況をよく目にする。

　Windows環境に親しんでいるサーバ管理者であれば、ActiveDirectoryを使えば社内個人情報を一括管理できることはよく知っているだろう。もちろんADに一本化するのが望ましいのだろうが、社内の政治的な状況や経済的な事情などで実現しないこともある。そこで、システム管理者やヘルプデスクの担当者は、ExcelのシートでID管理を行っていたり、Accessなどで自前のツールを作成して対応するといったことを強いられているのだ。しかしこうしたケースでは、新入社員のIDの新規登録時など、複数のシステムへ重複してID登録を行う必要があるなど、とても非効率的だ。さらに、これでも管理がきちんとできていれば問題は目立たないのだが、例えば退職した社員のIDの削除の場合、削除忘れなどがあるとセキュリティを揺るがす問題に発展してしまう。

　こうした複数の認証系が混在するシステムが抱える問題を解決するためのツールがMicrosoft Identity Integration Server 2003（MIIS 2003）だ。MIIS 2004はActiveDirectoryやNTドメインに限らず、ADAMやLDAP、SQL ServerやOracleなどのRDBMS、Exchangeのアドレス帳、テキストファイルといったさまざまな形で管理されているID情報にアクセスすることができ、一括した登録や更新、削除といった機能を提供する。

マイクロソフト製品の優位点である、直感的に操作可能なユーザーインタフェースがMIIS 2003にも備わっている。複雑になりがちなIDデータ統合を、容易に行うことができる。

　ただ、一概にID情報の統合と言っても、各々のシステムではID、パスワード以外に管理する情報に差がある。MIIS 2004では、各システムで管理する情報全体をまとめて管理し、必要な部分の情報を各システムに転送することで一元管理を実現する。このとき、情報の不一致を修正することも可能だ。複数のシステムの情報を統合するには、情報のマッピングが必要となるが、マイクロソフトの他の製品同様、直感的に操作できる分かりやすい管理画面が用意されている。このため、従来であれば管理者が自作していたツールが不要となり、管理コストの削減にもつながる。

　結論から見ると、MIIS 2004の導入による利点は、システム管理者の運用コスト削減であったり、ヘルプデスクの業務コスト削減であったりするのだが、重要な点はセキュリティの向上に貢献するということではないだろうか。パスワードの集中管理ができるだけでも、パスワード漏洩への対処や、ID削除ミスがなくなり、安全なシステム運用が、低いコストで可能となるからだ。

MMS 2004で運用コストを削減するための答えを得よう

　MMS 2004で取り上げれるこれら製品群は、すべてDSIの考え方をもとに作られており、DSIと共に詳しく取り上げられる。また、製品の特徴や、実運用を想定した使い方のシナリオも紹介される。これらの製品を組み合わせることで、より効率的な運用や、コスト削減が可能となる。MMS 2004で提供される情報を逃さないようにしたい。