Professional Documents
Culture Documents
[コンピュータワールド]2008年2月号
月刊
発行・発売 (株) IDGジャパン 〒113-0033 東京都文京区本郷3-4-5
TEL:03-5800-2661(販売推進部) © 株式会社 アイ・ディ ・ジー・ジャパン
世界各国のComputerworldと提携
TM
contents
February 2008 Vol.5 No.51
Features 特集&特別企画
2008年、日本版SOX法がスタート。
Governance/Risk/Compliance体制は万全ですか?
特集 42
ITコンプライアンス
[総点検]
GRCの統合アプローチで、企業価値の向上を目指す
Part 1 44 を確立せよ
「継続的なコンプライアンス」
浅利浩一
事例研究:上場企業におけるツールの選定理由と運用状況
Part 2 52 と
「予防」 の両面からコンプライアンスに取り組む
「発見」
大川 泰
法律・規制の増加を見据え、長期的な視点でIT投資を考える
Part 3 56 コンプライアンス・コスト──米国企業の現状に学ぶ
John Burke
コンプライアンスを脅かす脆弱性をあぶり出し、有効な防御策をとる
Part 4 62 エンタープライズ・データを守り抜く
Matt Hines
注目の製品が備える機能・特徴をチェック
Part 5 67 [コンプライアンス]
Product Review
Computerworld編集部
効率、生産性、そして
“人間のポテンシャル”
を高める
特別企画 71
未来的テクノロジー・ベスト10
Computerworld Horizon Awards 2007
Computerworld米国版
[ エンタープライズ・ムック]
第2弾
[ エンタープライズ・ムック]第1弾
新世代ソフトウェア・モデルのすべて
定価1,580円 お求めは全国書店/ IDG Directサイト
〈送料無料〉
などで
Running Articles 連載
[不定期連載]IT業界の定説
「嘘か真実か?」
(第21回)
94
Chew
-Moc
k PLC(電力線通信)、企業では普及しない?
三上 洋
Opinions 紙のブログ
103 インターネット劇場
佐々木俊尚
104 IT哲学
江島健太郎
105 テクノロジー・ランダムウォーク
栗原 潔
Information インフォメーション
38 エンタープライズムック のご案内
「ITマネジャーのための内部統制/日本版SOX法講座」
39 エンタープライズ・ムック のご案内
「SaaS研究読本」
101 本誌読者コミュニティ&リサーチ のご案内
102 IT KEYWORD
106 バックナンバーのご案内
108 イベント・カレンダー
109 おすすめBOOKS
110 読者プレゼント
111 FROM READERS & EDITORS
112 次号予告/AD.INDEX
「ASPおよびSaaSは、最小の投資で生 中小企業には、投資余力や利用ノウハウ 利活動法人のASPIC Japanと合同で
産性を向上させられる可能性を秘めてい が不十分なために情報システムの構築に 「ASP・SaaS普及促進協議会」
を設立し、
る」――11月28日・29日の2日間、
東京ミッ 着手できないという問題がある。 11月27日には
「安全・信頼性に係る情報開
ドタウンで開催されたSaaS/ASPのコン こうした問題の解決に向けたカギとなる 示指針
(第1版)
」を公表している。同指針は、
ファレンス/展示会
「SaaS World 2007」 のは、ブロードバンドやユビキタス・ネット 来年1月を目処に第2版の公表が予定され
の開幕記念講演において、総務省の情報 ワークを活用した共通の利用基盤の整備 ており、さらに来春をには、この指針を満
通信政策局で情報通信政策課長を務める であると秋本氏は語り、ここで強力な武器 たしたSaaS/ASP事 業 者を認 定 する
秋本芳徳氏はこのように語った。 となるのがSaaS/ASPであると強調した。 「ASP・SaaS安全・信頼性認定制度」
を創
秋本氏は、安価で高速、かつ安定した これまで企業ごとに多大なコストをかけて 設する予定だ。
ブロードバンド・インフラを持つ日本こそ、 構築していたような情報システムでも、 最後に秋本氏は、
「これまでSaaS/ASP
世界で最もSaaS/ASPビジネスを展開し SaaS/ASP形態で共用できるようになれ 事業者が提供するサービスを見てきて、こ
やすい国であると主張する。 ば、
各企業のコスト負担を抑えられる。また、 れは本当に社会を変えるかもしれないと実
一方で同氏は、ICT
(情報通信技術)
産 必要なリソースのほとんどはSaaS/ASP 感した。それはインターネットの商用利用
業を取り巻く現状についても触れ、日本の 提供者側が用意して管理するため、利用 が始まったときと同様な手応えである。世
ICT投資に対するGDP
(国内総生産)
比率 企業側の人的負担も軽減される。 界一のブロードバンド環境を誇る日本は、
が他国に比べて低いと指摘した。 秋本氏は、先端技術に敏感なユーザー SaaS/ASP領域で世界に先駆ける可能性
すぐれたインフラを持ちながら、それが には関心度が高いSaaS/ASPだが、最終 を持っている。そのためには広く一般に普
生産性の向上に結び付かないのはなぜか 的にはICTに詳しい人材の少ない中小企 及させることが課題だ」
と力強く語り、講
――秋本氏は、情報システムを部門ごとに 業や自治体、教育機関などにまで裾野を 演を締めくくった。
(杉山貴章)
整備し、かつ、パッケージ・ソフトではなく、 広げることが、生産性向上のためには
カスタマイズを選択する傾向があるという 不可欠であると指摘した。そして、そ
日本企業の特徴が、主要な原因の1つと分 のような一般への普及を促進するため
析する。こうした手法では、部門単位での の課題として、
「認知度の向上」
「安全
最適化しか果たせず、全社レベルでの情 性・信頼性の確立」
「利便性の向上」
と
報活用が困難になる。 いう3点を挙げた。
加えてサービス産業においては、企業内 行政側としても、SaaS/ASPの普
通信網の整備などが行われても、十分に 及促進に対して強い意欲を持ってい
活用されていないことから生産性向上に結 る。例えば、総務省はSaaS/ASPの
「日本こそ、S a a S / A SPビジネスの発展が期待できると語る
び付いていないのが現状だという。また、 普及促進・啓蒙活動を行う特定非営 総務省 情報通信政策局 情報通信政策課長の秋本芳徳氏
「OHAへの共通理解があるから、技術的な細分化は生じない」
INTERVIEW
GoogleのAndroid担当者、
「Androidは独自アプリケーション/機能の乱立を助長する」
という批判に反論
Miner)
氏は、
「アプリケーション開発団体の ションをすべての携帯電話に対応させるた と主張してきた。ならば、OS部分を取り替
けている」
と語る。同氏は懸念されている ろうか。 M i n e r氏:Androidのリリース時には、
Androidの技術的な細分化はOHA全加盟 Miner氏:よい指摘だが、OHAメンバーは、 Linuxの特定リリースをサポートすることに
企業の合意の下に生じないことを強調し、 (OHAが規定する)
非細分化の条項に合意 なるわけだが、Androidプラットフォームと
Android/OHAを立ち上げた理由を説明した。 している。具体的には、Androidプラット デバイス・ドライバの基底にLinuxが置かれ
フォームの細分化を促したり、結果的に異 ているかぎり問題はないはずだ。Androidは、
――市場ではAndoroidと似たモバイル向 なるバージョンのプラットフォームを生み Linux以外にSymbianなどの異なるOS上
けLinuxイニシアティブがすでに複数立ち上 出す行為はしないという基本合意だ。つま で機能する類のアプリケーション・セットで
げられている。Andoridはこれらと競合し、 り、われわれはこの問題をあらかじめOHA はない。あくまでLinuxを基盤としている。
状況を一層複雑にするのではないだろうか。 機構に組み込み、メンバー全員から合意を (IDG News Service)
(モバイル向け)Linuxの
Miner氏:既存の 取り付けたうえでAndroidを進
取り組みを見ると、Linuxを基盤としながら めているのだ。すべてのOHAメ
も、用意されたプラットフォームは完全に ンバーは、OHAにおける最重要
オープンでないものが多い。あるいは、完 課題の1つが
「活力あふれるサー
全にオープンかつLinuxベースであっても、 ド・パーティ・デペロッパー・コ
ビデオ・コーデック、MIDIシーケンサ、音 ミュニティの創出」
であることを
声認識といったものが欠けている。これに 認識している。Androidプラッ
対し、われわれは、携帯電話をリリースす トフォームの一体性を乱せば、
るために必要なすべての要素を組み入れる サードパーティ・アプリケーショ
ことを目指している。Androidは、市場競 ンにも悪影響が出るとの認識で
OHAのW e bサイトからはA n dr oidの詳細情報が入手できる
(h t t p://
争力のあるスマートフォン、あるいはハイエ も一致しており、だれもそのよう www.openhandsetalliance.com/)
NECは今年11月26日、IT機器からデー 同プロジェクトは、
「省電力プラット フトウェア開発を行う。
タセンター全体にわたって省電力化を推進 フォーム」
「省電力制御ソフトウェア」
「省電 省電力ファシリティ・サービスでは、デー
する新プロジェクト
「REAL IT COOL 力ファシリティ・サービス」
の3本柱で構成 タセンターのフロア設計/アセスメントを
PROJECT」
を発表した。同プロジェクト されている。 通して省電力化を推進していく。ここでの
により、2012年までに顧客のIT環境の消 省電力プラットフォームでは、IT機器に 省電力化としてNECは、データセンター
費電力を最大50%削減し、併せてIT機器 おける省電力化の実現を目指す。それを具 内の空気の動きや熱分布を把握すること
のCO2排出量を約91万トン削減すること 現化するものとして、新たな省電力サーバ で省電力化を図る
「熱シミュレーション・
を目指す。 「ECO CENTER」
(開発コード名)
を2007 サービス」
を、2008年1月に提供開始する
年度末に製品化する。 と発表した。
ECO CENTERは、500コアを1ラック NECの執行役員常務、丸山好一氏は、
に集約可能で、デュアルコアCPUを搭載 発表した省電力化プロジェクトについて、
したラック型サーバによる構成と比較する 「競合が発表してきた省電力化プロジェク
と、フロア・スペースは75%、コア当たり トはコンセプトが中心。しかし、当社のプ
の消費電力は60%削減可能という。 ロジェクトは具体的な製品、サービスまで
省電力制御ソフトウェアでは、IT機器が 含めている分、一歩進んだプロジェクトと
実装した省電力技術を効果的に制御する 言える」
と、他社との違いを強調した。
NECの執行役員常務、丸山好一氏 ために、
「電力使用量制御」
などに関するソ (Computerworld)
ネットスイート、統合型SaaS上でカスタマイズした機能を
PRODUCTS
共有可能とする の国内提供を開始
「SuiteBundler」
国際化機能を強化した新たなSaaS型CRM
「NetSuite Global CRM」
も同時発表
Oracle、仮想化市場への参入を表明
PRODUCTS
Xenベースのサーバ仮想化ソフト「Oracle VM」
を発表
Unbreakable Linux戦略と同様に、低価格サポートでユーザー獲得をねらう
IT部門の3分の2が2009年までに仮想化技術を導入
RESEARCH
──Forresterが発表
「仮想化ベースの戦略的なITインフラ構想に移行する動きも広がる」
見通しを示している。多くの企業がすでに に動いていることを示すもの
50
15%
仮想化製品を導入しており、今後さらに利 だ」
と語っている。
13%
用を拡大する可能性が高いからだ。 しかしその一方で、グリッ
37%
また、多くの企業で仮想化技術の利用 ド・コンピューティングなど
実績が2〜3年程度となっており、今後は の重要性の高いアプリケー 0
2007年11月 2008年7月 2009年
実験的なアプローチという段階を脱して、 ションやプラットフォームで *資料:Forrester
アイ・ティ・アール
(ITR)
は11月26日、
「国 キングでは、日本IBMが 6,715ポイントで 2002年の調査でもトップ10内に位置した
内ITブランド調査報告書 2007」
の結果を 1位となった。続いて富士通が第2位、第 ベンダーが上位を占めた。
発表した。同調査は、国内企業の情報シ 3位はNEC、第4位は日立製作所となった。 (Computerworld)
ステム導入の意思決定に関与する情報シ ITRが2002年に実施した同様の調査結果
2007年 ITベンダー総合評価ランキング
ステム部門および経営企画部門の管理者 と比較すると上位4位までが同一となり、 総合順位 ベンダー 総合ポイント
を対象に実施された。 古くからメインフレーマーとして業界をリー 1位 日本 IBM 6,715
同調査は、ITRと月刊CIO Magazine ドしてきた総合ベンダーのブランド力の高 2位 富士通 4,695
が共同で2007年5月から7月にかけて実 さがあらためて顕著となった。
3位 NEC 3,502
施したもの。CIO MagazineおよびCIOメー 一方、5位には日本ヒューレット・パッ
4位 日立製作所 2,832
ルの読者のうち、国内企業の情報システ カード、そして8位にはデルが新たにトッ
5位 HP 2,760
ム導入の意思決定に関与する情報システ プ10入りを果たした。ここから、ユーザー
6位 マイクロソフト 2,450
ム部門および経営企画部門の部門長以上 の求める製品やサービスを的確に市場に
7位 NTT データ 1,855
を対象に2万5,000人に調査票を送付し 投入し、訴求していくことで、ブランドに
た結果、324件の有効回答を得た。 対する評価に変化が生じている部分も明 8位 デル 1,840
ITベンダーが提供する
「サービス」
「技術」 らかとなったとITRでは分析している。また、 9位 オラクル 1,770
「価格」
の「現在」
と「将来」
という計6つの項 6位はマイクロソフト、7位はNTTデータ、 10 位 野村総合研究所 1,635
目の評価ポイントを合計した総合評価ラン 9位はオラクル、
10位は野村総合研究所と、 *資料:ITR
「国内ITブランド調査報告書 2007」
SMB向けERP市場は今後も順調に成長──ノークリサーチが予測
RESEARCH
2010年度には1,044億円に達し、ERP市場全体の7割を超える見込み
「グリーンITの推進は京都議定書の目標達成に不可欠」
EVENT REPORT
──総務省の藤本氏が強調
ユビキタスネット社会を実現し、2010年には2,650万トンのCO2削減を目指す
「グリーンITの推 進は京 都 議 定 書の 用量の抑制、ITSの活用による交通量の 藤本氏は語る。2010年においてもサーバ
CO2削減目標を達成するのに不可欠だ」
。 緩和を紹介。そのうえで、
「テレワークの労 やPCといったIT機器は増大し続けるが、
IDC Japanが11月22日に開催した
「Japan 働者人口を2010年には全体の2割に引き その分ユビキタスネット社会により実現さ
Green IT Forum 2007」
の基調講演にお 上げる」
(同氏)
ことが、環境面に加えて将 れる、テレワーク人口の増加、産業構造の
いて、総務省で情報通信政策局情報流通 来的に豊かなライフ・バランスを構築する 変化などによるCO2削減効果のほうが、
高度化推進室長を務める藤本昌彦氏が、 うえで大切だと訴えた。 CO2の増加量を大きく上回るという。
国をあげてグリーンITを推進していくこと また藤本氏は、
「ユビキタスネット社会」 (Computerworld)
の重要性を強調した。 を実現することが総務省の役割だと主張し
同コンファレンスで藤本氏は、
“日本のグ た。藤本氏によれば、RFIDによる物流シ
リーンIT戦略”
について語った。政府のIT ステム、VICSを活用した道路交通情報の
戦略本部は、
2006年1月に
「IT新改革戦略」 配信など、さまざまなものをネットワーク
を発表し、その中で
“ITを駆使した環境配 化し、高度なサービスを作り上げることで、
慮型社会”
の構築を重点項目の1つとして 最終的に人が意識しないところで省エネ化
掲げている。 が進むことを目指したのが、ユビキタスネッ
藤本氏は、2007年度におけるその具体 ト社会であるという。
的な取り組みとして、電子マニフェスト/ ユビキタスネット社会により、2010年
総務省の情報通信政策局情報流通高度化推進室長、
テレワークの推進、IT機器のエネルギー使 には2,650万トンのCO2を削減できると、 藤本昌彦氏
シマンテックがグリーンIT戦略を説明
NEWS
──「ソフトウェア面で顧客の“グリーン化”
を支援する」
サーバ、ストレージ、デスクトップの3分野でグリーンITのための製品を展開
Amazon、携帯型の電子ブック・リーダ を発表
「Kindle」
PRODUCTS
──書籍のダウンロード販売も開始
リーダは399ドル、書籍は通信費込みで9ドル99セント
「データベース・アクセス監視は、内部統制の基本」
PRODUCTS
──NST社長の野田氏が の有効性をアピール
「Chakra」
リアルタイムの監視・操作記録によりデータベースのセキュリティ強化をサポート
限界に近づくインターネット回線のキャパシティ、2010年にはパンク状態に
RESEARCH
──調査会社Nemertesが予測
パンク回避への投資額はグローバルで1,370億ドルとの試算
ITコンプライ
特集
1 「継続的なコンプライアンス」
Part
を確立せよ
日本版SOX法
(金融商品取引法)
が、いよいよ2008年4月1日以後に始まる事業年度から適用開始される。今後、
企業におけるコンプライアンス
(倫理・法令の順守)
活動は、同法への対応を機に構築した内部統制基盤に対して、
運用の維持および継続的な改善を図っていくフェーズに入ることになる。その際、経営層、ビジネス・マネジャー、
そして自社のITインフラを担うIT部門は、
どのようなスタンスで臨めばよいのか。本パートでは、
GRC
(Governance/
Risk/Compliance)
のアプローチから継続的なコンプライアンスを確立し、企業価値の向上につなげていくための
方法論について考察してみたい。
浅利浩一
アイ・ティ・アール シニア・アナリスト
主体性に欠ける大企業 傾向が見受けられる。
──J-SOX対応の状況 一方、中堅・中小企業では、予算上の制約もあっ
て基本的に自社従業員での対応が中心となり、外部
コンプライアンスというテーマを考える際に、2年ほ サービスへの依存度が低いのが特徴だ。そのため、
ど前より、日本の上場企業にとって最大の関心事と みずからの手で地道に内部統制に必要な文書化作業
なってきたのが、いわゆる日本版SOX法
(金融商品取 を進めるなど、むしろ大企業よりも、地に足がついた
引法)
への対応、そして同法への対応の基盤となる内 活動ができているところが多いようだ。
部統制であろう。これらが話題になり始めた当初、筆 内部統制に限らないが、文書化のような作業は、
者が所属するアイ・ティ・アール
(ITR)
には、顧客企 他人任せの姿勢では、結局のところ意味をなさなく
業などから、
「どの程度まで対応すべきなのか」
「他社 なってしまう。内部統制構築後の運用フェーズを考え
ではどのように取り組んでいるのか」
「どのようなツー ると、作成された文書を読んで理解できるというだけ
ルを使うべきか」
といった問い合わせを数多く受けた。 ではなく、その後の更新も自身で行えるようにしてお
金融商品取引法が2007年9月に法制化され、適用開 く必要があるからだ。そして、
「どこに手を入れるべき
│
始が迫ってきてからは、そうした問い合わせも沈静化 か/どのように変更点を反映させるのが妥当か」
と
Part│
しており、企業における内部統制/日本版SOX法対 いった判断が求められる文書の更新は、むしろ作成
1「 継 続 的 な コ ン プ ラ イ ア ン ス 」を 確 立 せ よ
応は、表面的には一段落したかのように見える。 より難易度の高い作業となり、担当者のスキルが問わ
しかし、実態としては、
「対応するための負担が大 れることになる。
きく、終わりが見えない」
「対象範囲がさらに拡大しつ 現在、日本版SOX法の適用対象となる企業の多く
つある」
といった声を、当初に想定したよりも多く耳に は、2008年3月を最初のゴールに設定して作業を進
する。内部統制/日本版SOX法対応を
“負担”
ととら めていることだろう。ただし、同法への対応をはじめ
える担当者の取り組みの姿勢は受動的であり、最低 とするコンプライアンスは、ある時点で終着するので
限の対応にならざるをえず、外部のサービスに依存す はなく、継続的な活動が求められるものである。適用
る割合が高くなる。特に、連結子会社など対象範囲 開始を目前にしながらも、このことは、あらためて認
が広く、作業量の多い大企業において、そういった 識しておく必要がある。
求められるGRCのアプローチ Basel II
(新BIS規制)
、薬事法、HACCP
(危害分
析重要管理点)
、建築基準法、PL
(製造物責任)
法、
まずは今、最も関心の高いコンプライアンスとして、 REACH
(化学物質の登録、評価、認可および制限
内部統制/日本版SOX法への対応状況について述 に関する規則)
、ワッセナー協約
(通常兵器および関
べたが、近年、企業を取り巻く法規制は複雑化・多 連汎用品・技術の輸出管理に関する協約)
など
様化しており、大別すると以下の4群になる。
今日の企業は、上に示したような、自社/自業界を
■企業全般コンプライアンス 取り巻くあらゆる法規制を、
全社的なガバナンス
(統治)
不正競争防止法、労働基準法、男女雇用機会均 およびリスク・マネジメント体制の中で位置づけ、推進
等法、京都議定書、ISO14000(環境ISO)
、特許法、 していく必要がある。その対象領域は拡大傾向にあり、
確定拠出年金
(日本版401k)
、自由貿易協定
(FTA)
、 一般に
「GRC
(Governance/Risk/Compliance)
」と呼
WTO
(世界貿易機関)
協定)
など ばれる、統合的・包括的な取り組みが求められるよう
■会計コンプライアンス になってきている
(図1)
。
SOX法、金融商品取引法
(旧・証券取引法)
、会社 リスク・マネジメントは企業経営の根幹であり、対
法
(旧・商法など)
、外国為替および外国貿易法、国 応を誤ると、契約不履行や法違反による訴訟、企業
際財務報告基準
(IFRS)
、インサイダー取引規制など 倫理の欠如による事故や不祥事、企業イメージの急
■セキュリティ系コンプライアンス 激な悪化などが連鎖的に発生し、最悪の場合、事業・
ISMS
(情報セキュリティ・マネジメント・システム)
、 経営を継続するのが困難になるほどの致命的なダ
個人情報保護法、プライバシーマーク制度、ISO/ メージをもたらすことにもなる。
IEC15408(情報技術セキュリティ評価基準)
、情報 製品の品質について世界的に高い信頼を得ていた
セキュリティ管理基準など はずの日本の電機メーカーも、リチウムイオン電池の
図1:企業に求められるGRC
(Governance/Risk/Compliance)
ポリシー/手続き/
統制の文書化
GRC対応
企業リスク対応
コンプライアンス全般
損失/事件/
SOX法対応 リスク/統制の評価
原因調査管理
リスク分析
*資料:ITR
発火事故などトラブルが相次ぎ、大きな痛手を受けた ●経営にとってリスクになる可能性のある事象が業務
ことは耳に新しい。最近では、食品衛生管理やトレー プロセス内に存在していないかを把握した後、どの
サビリティにまつわる不祥事も終わりを知らないよう ようにしてそのリスクをコントロールできるかを事前
な頻発ぶりである。名門企業、有名企業であるという に考慮しておく
だけでは、もはや顧客の信頼を獲得し続けていくこと ●事前に考慮したコントロールを業務プロセスに組み
は難しい。 込む
そこで求められるのが、GRCを継続的に実施でき
る体制の確立である。ガバナンス/リスク・マネジメ 基本的な考え方は、個別の業務プロセスごとにリス
ントの下、
各法規制への対応を確実に実施することで、 ク・マネジメントを行うのではなく、企業の経営戦略
自社の企業としての価値を高いレベルで保つための に即して、全社的視点からリスク・マネジメント体制
GRC基盤。──その構築と運用において、経営とIT を構築するということである。COSO
(米国トレッドウェ
が密接に結びついた今日、IT部門の果たすべき役割 イ委員会組織委員会)
は、この考え方をCOSO ERM
は非常に大きい。 (Enterprise Risk Management:全社的リスク・マ
ネジメント)
フレームワークとして策定している。
マネジメントの必要性 クとして定着したCOSOフレームワークを拡張する形
で、財務関連にとどまらない法規制対応全般および
内部統制の推進という観点から、企業を取り巻く 企業リスク対応を目指したフレームワークとして2004
リスクをとらえてマネジメントを行う際には、次の2点 年9月に公表された。米国の先進的な企業は同フレー
が重要になる。 ムワークに早期から着目し、GRCを互いに連携させ
包括的にマネジメントするための手法として採用して
図2:COSOのERMフレームワーク
いる。
性 リスクという性質を踏まえると、それを100%抑制
献 率 性 ス
貢 効 頼 ン
の 性・ 信 イ
ア する完璧なリスク・マネジメントは不可能だ。ERMの
へ 効 の ラ
略 有 告 プ 目的は、内部統制の推進を前提に、企業の存続や事
戦 の 報 ン
務 コ
業 業継続に大きな影響を与えるリスクを、適切にコント
ロールすることにある。
子会社
内部環境
事業単位
│
目的の設定
事業部門
補完し合うリスク・マネジメントと内部統制
Part│
全事業体
図2に、COSO ERMフレームワークの概念図を示
1「 継 続 的 な コ ン プ ラ イ ア ン ス 」を 確 立 せ よ
事象の識別
した。この図を見てわかるようにCOSOは、内部統制
リスク評価
自体の定義を変更したり、新しい概念を提示したり
リスクへの対応 するのではなく、内部統制の要素の外縁にERMの要
素を配する方法でフレームワークを構築している。
統制活動
ERMにおける目的のうち
「報告」
は、COSOフレー
情報と伝達 ムワークの
「財務報告」
目的を拡張したものである。ま
モニタリング
た、内部統制の基本的要素である
「リスク評価」
の部
分は、
「事象の識別」
「リスク評価」
「リスクへの対応」
に
*資料:COSO「Enterprise Risk Management - Integrated Framework」
(2004年9月発表)
を
基に作成 細分化されている。この点は、ERM、すなわち全社
図3:企業におけるリスクと内部統制の関係
企業価値
間接的影響 直接的影響
事業活動の遂行に関連するリスク 事業機会に関連するリスク
オペレーショナル・リスク 市場リスク/信用リスク
適正かつ効率的な業務遂行にかかわるリスク 経営上の戦略的意思決定におけるリスク
●コンプライアンスにかかわるリスク ●新事業分野への進出にかかわるリスク
●財務報告にかかわるリスク ●商品開発戦略にかかわるリスク
●商品の品質にかかわるリスク ●資金調達戦略にかかわるリスク
●情報システムにかかわるリスク ●設備投資にかかわるリスク
●業務プロセスにかかわるリスク
●モノ、環境にかかわるリスク
(ハザード)
直接サポート 間接サポート
内部統制
*資料:経済産業省「リスク新時代の内部統制 ∼リスクマネジメントと一体となって機能する内部統制の指針∼」
を基に作成
統制の仕組みを整備することで、間接的にマネジメン には、重要なリスクの指摘に直結しやすく、またリス
トを行うことができる。一方で、事業活動の遂行に関 クの指摘である以上、重箱の隅をつつけばいくらでも
連するリスクは、全社的なリスク・マネジメントの中で 出てくるといったことにもなりやすい。そして、場当た
評価し、対処しなくてはならない。以上のことからも、 り的な対応は担当部門スタッフの間で疲弊を招き、
リスク・マネジメントと内部統制は、統合的に対処す 終わりが見えない徒労感も生じかねない。まずは、
「ど
べき活動であると言える。 こから手をつけるべきか/どのあたりに対応し切れて
いない部分を残すのか/自社のITマネジメント成熟
度はどの程度なのか」
といったことを把握したうえで、
IT部門の課題 適切な対策を講じることが重要となる。
ITRでは、
ITマネジメント成熟度評価サービス
「IT@
日本版SOX法への対応を完了した企業からの声に Governance」
として、このようなアセスメントを実施
よると、業務処理統制における文書化
(現行の業務フ してきた。このサービスでは、いくつかの評価軸でIT
│
ローの作成を起点とする業務プロセスの標準化・文書 マネジメントの成熟度を評価している。
Part│
化)
やリスクの洗い出しはもちろんだが、指摘された 1つ目の軸はITマネジメント・ドメインであり、IT戦
1「 継 続 的 な コ ン プ ラ イ ア ン ス 」を 確 立 せ よ
ITリスクへの対応も大きなポイントになったようだ。 略、IT投資、IT組織、ITリスク、ITアーキテクチャ、
ITリスクは、
「システム開発のリスク」
「アクセス・コ ITサービス、ITプロジェクト、ITソーシング、ITユー
ントロールのリスク」
「システム運用のリスク」
の3つに ザーの9項目から構成される。2つ目の軸はITガバナ
分類でき、主に全般統制への対応となる。そして、 ンス・フレームワークであるCOBITの制御プロセスで
これらすべての基盤となるのが品質管理、構成管理、 あり、計画と組織、調達と導入、提供と支援、監視
変更管理であり、これをPDCAサイクルで回していく と評価の4つの領域に含まれる34の制御プロセスから
ための全社的な仕組みがIT統制である。 構成される。9つのマネジメント・ドメインおよびCO
業務処理統制と全般統制は相互に補完関係にもあ BITの34の制御プロセスは、
戦略立案から企画、
開発、
るが、全般統制やそもそものIT統制についての欠陥 運用、ユーザー・サポート、管理運営にかかわるIT部
0 存在しない 認識可能なプロセスがまったく存在しない。対処すべき問題が存在すると認識されたことがない。
問題が存在し、対処すべき必要性があることは認識されている。だが標準化されたプロセスは存在せず、担当者ある
1 初期 いは事例ごとに場当たり的な手法が用いられる傾向にある。全体としての管理手法は秩序だってはいない。
同じ業務を別の人員が担当する場合でも、同じような手順が踏まれる程度にはプロセスが開発され、整備されている。
2 反復可能 だが、標準化された手順を訓練および伝達する正式な方法が用意されておらず、個々の人員に任されている。 こうし
て、個々の人員の知識に対する依存度が高いので誤りが発生しやすい。
手順は標準化され、 文書化され、トレーニングを介して伝達されている。だが、定義されたプロセスに従うかどうかは
3 定義済み 個々の人員に任されており、 定義されたとおりでないことが発生しても発見されにくい。
このレベルでの手順は、十分に
練られたというよりも、既存プロセスを公式化したものにすぎない。
手順の順守度を監視および計測することができ、
プロセスの有効性が疑われる場合には対策を講じることができる。
4 管理可能 プロセスには常に改良が加えられ、
断片的に使用されている。
良好なプロセスへとつながる。
自動化および各種管理ツールは、部分的あるいは
*資料:ISACA
(情報システムコントロール協会)
のCOBITに関する資料を基に作成
門の活動を網羅的にカバーしたものである。そして、 置している。
3つ目の軸は内部統制の対応領域であり、体制・役割、 6社それぞれのスコアに目を向けると、ITリスク、
手順・基準、文書・規定、監視・管理、評価・改善の ITアーキテクチャ、ITユーザーおよびITサービスと
5つからなる。 いった情報システムの企画、開発、運用、ユーザー・
また、このサービスの評価では、COBITが推奨す サポートなどIT実務系のドメインでは各社のばらつき
る汎用的な成熟度評価モデルである、6段階の評価 が小さいのに対して、IT戦略、IT投資、IT組織、
モデル
(「0:存在しない」
「1:初期」
「2:反復可能」
「3: ITプロジェクトといったマネジメント系ドメインにおい
定義済み」
「4:管理可能」
「5:最適化」
)を採用してい て、バラつきが大きいという傾向が確認できた。シス
る
(表1)
。 テムを開発し、安全に稼働させるというIT部門にとっ
て最低限の実務的業務の領域については企業間の差
実例に見る、ITマネジメント・ が比較的小さく、戦略や組織運営といったマネジメン
ドメイン別の成熟度の差 ト系領域では企業の取り組みのレベルによってかなり
差が開く、というわけだ。なお、IT投資については、
ここで、IT@Governanceのアセスメントを実施し 昨今の経済状況とコスト意識の高まりを反映して、1
た6社の評価結果を、ITマネジメント・ドメイン別に見 社を除いて高いスコアを示している。
てみることにする
(50ページの図4)
。これらの企業で IT統制が重点課題となっているなか、IT部門では
平均スコアが最も高いドメインはIT投資であり、次い まず、自社のITマネジメントの成熟度を客観的に評
でITリスク、IT組織となっている。一方、最もスコ 価し、今後2年間で優先的に改善すべき領域を特定
アが低いのはIT戦略、ITユーザー、ITソーシングで しなければならない。多くの企業において、最初の取
ある。すべてのマネジメント・ドメインは、平均すると り組みは、ITにかかわるリスクの洗い出しと評価の実
2点台のスコアとなっており、成熟度評価モデルに当 施、そしてIT関連業務における役割や手順を文書化
てはめると、
「2:反復可能」
と「3:定義済み」
の間に位 する作業となろう。
図4:ITマネジメント成熟度評価サービス
「IT@Governance」
のアセスメントを受けた6社の
「ITマネジメント・ドメイン」
別の成熟度比較
5
A社 D社 平均
B社 E社
C社 F社
4
0
IT戦略
ITリスク
IT投資
ITアーキテクチャ
IT組織
ITユーザー
ITサービス
ITソーシング
ITプロジェクト
*資料:ITR
継続的なコンプライアンスの ■体制・役割
確立を目指して 業務担当者や組織が存在するか、役割分担、責任
者・承認者、受注・発注者などの区分が明確となって
継続的なコンプライアンスを確立するための取り組 いるかなどを確認する。
みが、
国内でも広がりを見せている。2007年11月26日、 ■手順・基準
連結経営の研究/普及を推進する非営 利組 織、 手順や業務フローが明確で標準化されており、属
After J-SOX研究会が内部統制の構築を支援する 人性が排除されているか、判断や意思決定の際の基
ITベンダーやSIer、コンサルティング・ファームを中 準が明確となっているかなどを確認する。
心に発足した。同研究会は、
「日本企業のグローバル ■文書・規定
でダイナミックな発展に貢献する改革・改善運動の潮 体制・役割および手順・基準で明確化され、合意
│
流を創ること」
を目的とし、日本版SOX法への対応で された内容を、規定、ガイドライン、運用マニュアル
Part│
構築された内部統制基盤を、連結経営とERMのた などに文書化しているか、また、それが参照・活用さ
1「 継 続 的 な コ ン プ ラ イ ア ン ス 」を 確 立 せ よ
めの基盤へと進化させる研究および普及活動を行っ れているかなどを確認する。
ていくとしている。 ■監視・管理
それでは、継続的なコンプライアンス、すなわち、 監視には、業務に組み込まれた監視と業務と独立
内部統制と企業リスクへの対応を継続して確保・強 した監視
(監査)
の2つの意味が含まれている。前者は、
化していくうえで、具体的にどのような作業が重要に 当事者以外が必ずチェックするプロセスが成立してい
なってくるのだろうか。ここでは、内部統制の5つの ることや、システムによって自動的に制御が加えられ
対応領域を、図5のようなライフサイクルで回していく ていることを確認する作業を指す。
ことになる。それぞれの対応領域のチェック・ポイント 一方、業務と独立した監視とは、年に一度など定
は以下に示すとおりである。 期的に行うもの、または何らかの事象
(制度やシステ
図5:内部統制の5つの対応領域のチェック・ポイント
体制・役割
業務の質の確保とレベルアップを図るレベル
●組織の存在
業務の形式的な妥当性を担保するレベル
●所有者の明確化
●職務の分掌
評価・改善 手順・基準
●定期的評価 ●業務の標準化
●抜本的な問題解決 ●属人性の排除
●質的な向上 ●判断基準
監視・管理 文書・規定
●実行監視 ●文書の存在
●問題の発見・通知 ●改定と内容の妥当性
●情報の一元管理 ●内容の周知
*資料:ITR
と
2 「予防」 の両面から
「発見」
Part
コンプライアンスに取り組む
多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプ
ライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東
芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況
などについて紹介する。
大川 泰
Computerworld編集部
上場企業として全社的に 一丸となって進めている。
コンプライアンスを推進 例えば、グループ企業各社において、CRO
(Chief
Risk-Compliance Management Officer:リスク・コ
「TEC」
というロゴが記されたPOSレジスターをコン ンプライアンス統括責任者)
を任命し、コンプライアン
ビニエンス・ストアやスーパー・マーケットなどで目にし スおよびリスク・マネジメントにかかわる施策の立案・
た経験がある読者は多いことだろう。このPOSレジス 推進、緊急事態への対応などを行っており、また、東
ターで国内首位の東芝テックは、流通情報システム関 芝テック本体では、このCROを委員長とするリスク・
連の製品と、東芝ブランドのデジタル複合機の製造と コンプライアンス委員会を設置し、グループ全体の体
いう2つの事業を軸に、グローバル展開する電気機器 制整備などを推進している。
│
メーカーである。
Part│
企業に対して、コンプライアンスの確立という社会 予防保守と発見という
2「 予 防 」と「 発 見 」の 両 面 か ら コ ン プ ラ イ ア ン ス に 取 り 組 む
的な要請が高まるとともに、金融商品取引法
(通称: 両面の対応が必要
日本版SOX法)
など新たな法制度への対応が求められ
る今日、東京証券取引所第1部に上場する東芝テック 以上のような取り組みに加え、東芝テックが力を注
も、同社グループ企業を含め、そのための取り組みを いでいるのが、社員一人ひとりにおけるコンプライアン
ス意識の向上である。
User Profile そのために同社は、eラーニングの啓蒙コンテンツを
情報漏洩/改竄対策には
すべてのログ取得が必須
東芝テックが全社を挙げてコンプライアンスに取り
組むなか、同社情報システム部のリーダーの1人であ
る戸城氏は、
「やはり、情報漏洩やデータ改竄への対
策が、われわれの部門に課せられた大きなテーマだと
認識しています」
と言う。また、日本版SOX法への対
応という観点からも、
「ITを使った財務諸表にかかわる
リスクを軽減するのが、われわれの使命です。財務諸 アドミン権限を持つ
表が簡単に改竄され、その改竄を発見できないような 人々への周知を徹底
システムは許されません」
と語る。
それでは、情報漏洩やデータ改竄を阻止するために データベース・ログをすべて取得する仕組みの1つ
は、何が必要となるのだろうか――この問いに対して の目的は、万が一、社外から不正侵入があったときの
同氏は、次のように答える。 対策に役立てるということである。
「いたって簡単なことです。情報漏洩/データ改竄 それと同時に、社内においてその仕組みの存在をア
を防止する手段として私が最も重視しているのは、す ナウンスすることで、コンプライアンス違反への抑止力、
べてのアクセス・ログ/操作ログを取得しておくという つまり予防保守の効果も期待できると戸城氏は語る。
ことなのです」 ただし、現実的な視点から見れば、一般の社員がアク
もちろん、重要な情報が格納されているのはデータ セス制限などの厳重なセキュリティ対策をかいくぐり、
ベースであり、同氏が言うアクセス・ログ/操作ログと データベース・サーバから重要な情報を盗み出せると
は、データベースに関するものだ。 は考えにくい。ここで主に対象としているのは、アドミ
「例えば、お客様の情報が格納された取引先マスタ ニストレーター権限を持つ情報システム部自身、およ
から何万件ものデータを一度にダウンロードするという びその権限を知る可能性があるSIerやソフトウェア・
操作は、通常の業務では発生しません。そうした操作 ベンダーといった開発委託先のパートナーである。
を漏らさずに発見し、その犯人を特定できるようにす 東芝テックの情報システム部には、工場勤務の社員
るためには、データベース・ログをすべて取得しておく も合わせて60名程度が在籍しており、開発委託先の
ことが必須条件になります」
(同氏) パートナーは時期により人数が変動する。前述のよう
に日ごろからコンプライアンスに積極的に取り組む同社 テムへの負荷が発生します。しかし、毎日稼働してい
において戸城氏は、そうした人々のモラルに信頼を寄 る基幹システムにおいて、業務に支障をきたすほどの
せている。それでも、IT全般統制の観点からは、特 パフォーマンス低下が起こることは絶対に避けなけれ
別な権限を持つ人々がいる以上、それに見合ったセ ばなりません」
(同氏)
キュリティ確保の仕組みを用意し、その周知を徹底さ このパフォーマンスへの影響という点についても、
せることは不可欠であろう。 PISOは許容できるレベルにとどまっており、以上の2
点から、戸城氏はPISOの採用を決定した。
業務への影響を最小限に
するのがもう1つの条件 ログ取得の対象は
9つの基幹システム
データベース・ログ取得の仕組みは、日本版SOX
法への対応が1つのきっかけとなり、検討を始めたと 東芝テックにおけるPISOの導入作業は、2007年8
いう。いくつかの製品を検討したうえで、
2007年6月に、 月から9月の2カ月間で行われた。2カ月という導入期
インサイトテクノロジーが開発/販売するデータベー 間について戸城氏は、
「長いか短いかは判断しかねます
ス監査ソフトウェア
「PISO」
の採用を決定するに至っ が、少なくとも、基幹システムを利用しているエンドユー
た
(図1)
。 ザーに影響を与えることなく、導入作業を終えられた
PISO採用の決め手となったのは、まずは戸城氏が と考えています」
と評価する。
こだわった、すべてのデータベース・ログを確実に取 また、PISOを利用する際には、監査対象のデータ
得できるという点だ。 ベース・サーバにエージェント・ソフトウェアをインストー
「他のデータベース監査ツールだけではなく、ネット ルすることになるが、
「手を加えるとしても、基幹システ
ワーク監視ツールなども含めて検討しました。しかし、 ムのトラブルは絶対に避けなければいけません。その
ネットワーク監視という手法では、データベース・サー ため、インサイトテクノロジーさんには、導入に際して
バのコンソールを直接操作されたとしたら、その操作 はスピーディーかつ慎重にと、当初からお願いしてい
を検知できません」
(同氏) ました」
(同氏)
│
データベース・ログをすべて取得できるという条件と 導入作業の完了後、東芝テックでは10月からPISO
Part│
ともに戸城氏が重視したポイントは、データベースを利 の本稼働を開始した。PISOは現在、Linuxを搭載し
2「 予 防 」と「 発 見 」の 両 面 か ら コ ン プ ラ イ ア ン ス に 取 り 組 む
用する基幹システムのパフォーマンス低下を最小限に た2台のx86サーバで稼働している。運用については、
とどめることだったという。 稼働状況の確認などは行っているが、ログ取得の一
「どのようなソフトウェアを選んだとしても、基幹シス 連の処理に人手が介在することはないという。
図1:東芝テックにおける
「PISO」
導入/運用に関するスケジュール
ログの分析作業。
10月に蓄積したログから
アラートを上げる閾値を検討
膨大なログから不正なものを
「日本版SOX法などで求められるドキュメントを作成
見極める分析作業を進める するようにして、当社の財務諸表にリスクがないことを
証明できるようにしたいと考えています。これについて
データベース・ログを取得するシステムの導入作業 も、人手を介在させるのではなく、自動で行うことが
が完了しても、実際の運用フェーズにおいては、蓄積 重要です」
(同氏)
されたログから情報漏洩やデータ改竄の可能性があ 人手が介在するような場合は、データが改竄される
るアクセス/操作を
“発見”
するための仕組みを構築 可能性をぬぐいきれない。また、むしろこちらのほうが
することが必要になる。特に東芝テックにおいては、 起こりうる可能性が高いだろうが、人手の場合は悪意
データベースに対するアクセス/操作をすべて記録し がなくても、ヒューマン・エラーによってドキュメントの
ておくという、PISO導入のそもそもの目的に加え、 不備が発生するというおそれもある。こうした事態を
前述のようにログ取得の対象が9システムにも及ぶ。 避けるためには、ドキュメント生成についても自動で行
「データベースに対する参照、更新、削除、追加といっ うことが重要になるわけだ。
た操作を本当に逐一記録していくわけですから、1日
* * *
だけでもログはかなりの量になります」
と戸城氏が言う
ように、蓄積されるログが膨大な量になることは想像 戸城氏が指摘するように、本稿で取り上げたデータ
に難くない。 ベース・ログを取得する仕組みだけで、コンプライアン
膨大なログから不正なアクセス/操作を発見できる スを確保し、また、日本版SOX法に対応するために
ようにするために同社は、まずPISOの本稼働が開始 必要な施策を網羅できるわけではない。だが、問題の
した10月の1カ月間にわたってログを蓄積することから 予防保守と発見という明確な指針を示し、具体的な
始め、11月と12月の2カ月間で、蓄積されたログを分 施策を着実かつ迅速に実施していこうとする姿勢は、
析するという作業を行っている。 コンプライアンスに関する取り組み全般にわたって通
「どのようなアクセス/操作が行われた場合に、ア 用するものではないだろうか。
3 コンプライアンス・コスト
Part
─
─米国企業の現状に学ぶ
コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費
や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局
面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業における
コンプライアンスへの取り組み状況をコスト面に目を向けて解説する。
John Burke
米国Nemertes Research
法律・規制と共に増え続ける 度が高く、
影響力も大きいのはSOX法
(Sarbanes-Oxley
コンプライアンス・コスト Act:米国企業改革法)
だろう。ほかにも、
「家族の教
育上の権利およびプライバシー法」
(Family Educa
企業が日常活動の中で考慮すべき法律や規制は増 tional Rights and Privacy Act:FERPA)
、「医療保
加の一途をたどり、その対応のための業務も複雑で高 険の相互運用性と説明責任に関する法律」
(Health
コストになってきている。 Insurance Portability and Accountability Act:
筆者が所属する調査会社、
Nemertes Researchは、 HIPAA)
、「金融制度改革法」
(Gramm-Leach-Bliley
セキュリティと情報保護に関する調査を実施した際 Act:GLBA)
といった連邦法がある。また、連邦政府
に、コンプライアンスに関する支出の総額がいくらに の法律に加えて、米国証券取引委員会
(SEC)
のような
なるのかという質問を投げかけた。その結果、ほとん 連邦機関も、管轄内の企業に対する規制を定めている。
│
どの回答者が具体的な数字を把握していないことが
Part│
判明した。他の予算と明確に区別した形でコンプライ ■州法
3 コ ン プ ラ イ ア ン ス ・ コ ス ト ── 米 国 企 業 の 現 状 に 学 ぶ
アンス予算を確保している企業は少ないのだ。しかし、 米国の各州においては、主にプライバシーに関する
コンプライアンス・コストが莫大な金額になっていると 独自の規制が設けられている。それらの中でも、
「カリ
いう見解については、大半から同意を得られた。 フォルニア州個人情報取扱法」
(California Informa
tion Practice Act)
は、厳格な内容を持つ州法として
米国企業が対象となる 広く知られている。同法は、カリフォルニア州上院法
4種類の法令・規制 案
「SB1386」
とも呼ばれ、個人情報の紛失や盗難に遭
遇したときに、その事実を直ちに公表することを義務
米国企業が順守を求められる法律や規制としては、 づけたものだ。対象となるのは、カリフォルニア州に事
以下の4つが想定される。 業所および顧客を有するあらゆる企業である。SOX法
ほどではないとしても、同州の規模を考慮すれば、こ
■連邦法 の法律の影響力は他の連邦法に匹敵すると言っても
コンプライアンスに関連する連邦法の中で最も認知 過言ではないだろう。
対応コストがかさむのは 邦金融機関検査委員会
(Federal Financial Institu
C O L U M N 適用対象は支払いアプリケーションの開発ベンダー
クレジットカード業界の新セキュリティ標準が策定へ
Ellen Messmer / Network World米国版
業界団体による規制として、
広く知られているものの1つに、
クレジッ 明らかにできないとしているが、PCISSCのWebサイトには、
トカード業界の
「PCIデータ・セキュリティ規準
(PCI Data Security PADSSの方向性に関するFAQが掲載されている。
Standard:PCI DSS)
」がある。これは、クレジットカード・データを このFAQの中で、
「PADSSは、承認や決済の一環としてカード所
取り扱う企業
(小売業者、オンライン販売業者、データ処理会社など) 有者のデータを保存、処理、転送するような支払いアプリケーション
が、ネットワークおよびアプリケーションの安全確保やカード所有者 を開発するソフトウェア・ベンダーなどに適用されるもので、それらの
のデータの保護、脆弱性管理プログラムの維持に向けて、定期的に 支払いアプリケーションが第三者により販売あるいは配布されている
第三者の監査を受けるよう定めた技術要件集である。 場合に該当する」
と説明している。
この規制を管理しているのが、PCIセキュリティ・スタンダード・カ また、
「PADSSの完成後には、支払いアプリケーションの認定を行
ウンシル
(PCI Security Standards Council:PCISSC)
である。同 うQSA
(Qualified Security Accessor)
資格を策定する予定であり、
団体は2007年11月7日に、新たなセキュリティ標準を策定する意向 将来的には認定済み支払いアプリケーションのリストも公開する」
と
を明らかにしている。これは
「Payment Application Data Security 記載されている。なお、PCI DSSに関しては、すでに60人以上が
Standard
(PADSS)
」と呼ばれている。 QSA資格を取得している。
PCISSCのゼネラル・マネジャー、ボブ・ルッソ氏は、
「支払いアプ 一方、
「QSA有資格者がPADSSに適合していると認めた支払いア
リケーションのプロバイダーとその製品が、現行のPCIデータ・セキュ プリケーションでデータ侵害が発生した場合どうなるのか」
という質問
リティ規準と整合性のあるデータ・セキュリティ要件を順守できるよ には、
「そのようなケースについては、ソフトウェア・ベンダーとのサー
うな体制を整えたい」
と語っている。同氏は、まだPADSSの詳細は ビス契約の範囲内で責任を負う」
と答えている。
図1:最もコストがかかると思う法律・規制 く)
。また、相加平均
(すべての人数を合計し会社数で
業界団体による規制 その他 2.6% 除算)
は3.25人、中央値
(すべての人数の中央に位置
(PCI、NASDなど)
各種の連邦法 するデータ)
は4.8人という計算になった。
連邦機関の法令 (HIPAA、FERPA、
(SEC、FFIEC、NPI) GLBA、CALEA) セキュリティを担当する上級幹部の年収を給与と諸
5.3% 手当を含めて13万ドルと仮定すると、企業はセキュリ
ティ・スタッフの給与だけで42万2,500ドルから62万
13.2% 4,000ドルも支出していることになる。しかも、この金
36.8% 額には、セキュリティ以外のIT幹部やIT部門以外の
スタッフの給与は含まれていない。回答者の平均IT
予算は2,000万ドルだったため、一般的な企業はコン
プライアンスのスタッフにIT予算全体の2〜3%を支出
15.8%
していることになる
それでは、そもそもコンプライアンス・スタッフの業
務とはどのようなものであろうか。IT部門におけるコン
プライアンス業務の大部分は、監査と報告、そしてデー
SB1386などの 26.3%
各州法 SOX法 タのアーカイブ/リカバリの監督といったもので占めら
*資料:米国 Nemertes Research れている。
だが、いまだにIT部門は、セキュリティ・ログを目視
皆無だった。コンプライアンスへの支出が増えると予 で確認し、コンプライアンス・リポートを手作業で作成
想する回答者は60%に上り、残りの40%は少なくとも しているのが実情である。こうした作業の多くは自動
現状が維持されると答えた。 化できるはずであり、より有益な時間の使い方を考え
法律が新たに追加されたり、古い法律の期限が延 るべきであろう。
長されたりして、法環境は常に変化している。今回の
回答者は、このような点を考慮したうえで、コンプライ 監査の必要性は
アンス・コストに対して楽観的な見通しは立てられない 広く浸透している
│
と判断したということだ。
Part│
この結果から、長期的な視点に立ってコンプライア 社内監査を実施している企業は、回答者の約4分の
3 コ ン プ ラ イ ア ン ス ・ コ ス ト ── 米 国 企 業 の 現 状 に 学 ぶ
ンス投資を行うという企業の姿勢が見えてくる。 3(71%)
を占めた。実施していないとしても、監査のた
めのリソースの不足がその主な理由であり、監査の必
コンプライアンス担当者の 要性は広く認知されていた。
給与はIT予算の2〜3% 定期的に社内監査を実施している回答者の内訳は、
年に1回が54%、四半期ごとが25%、少なくとも月に1
コンプライアンス・コストを正確に見積もるのは難し 回が17%という割合だった。年に1回の監査は全般に
いが、その内訳は担当スタッフの人件費と、ツールお わたって実施され、四半期あるいは月ごとの場合はポ
よびインフラのコストの2つに大別できる。 リシーやプロシージャ、システムの一部だけを対象とす
今回の調査では、ITセキュリティ部門におけるコン るケースが多いようだ。
プライアンス専属の正社員数は、ある大手運送会社の 外部監査については、実施している企業は社内監
15人から小規模な教育機関の0.5人まで、
回答者によっ 査よりも若干少なく、66%弱という結果だった。実施
て大きな開きがあった
(1年当たりの一定時間数に基づ している場合も、
その頻度は社内監査とは大きく異なっ
ただし、残りの回答者のうち3分の1以上
(10.5%)
は、
業界団体の規制や本社の意向に従って頻繁に外部監
査を行っている。
監査をどれくらい重視するかは、企業によってさま
ざまだ。それぞれの業界ごとに監査の実施を定める規
制が設けられており、業種によっては実質的な義務に Yes No
なっている。 48.3% 51.7%
監査を実施することは、IT部門における職務分掌
が難しい場合に、一種の安全策にもなりうる。また、
監査はIT部門がポリシーとプランにどれだけ従ってい
るかを知るうえですぐれた材料となる。コンプライアン
スを目的にIT部門が実施する作業は無数にあるが、こ
うした作業は他のセキュリティ改善作業の一部として
*資料:米国 Nemertes Research
組み込まれていることが多い。そのため、通常は効果
測定が困難なのだ。
コンプライアンス・ツールの
職務分掌を徹底している 導入は遅れぎみ
企業は半数に満たない
もう1つのコスト要因はテクノロジーである。コンプ
各種の法律・規制は、コンプライアンスのためにス ライアンスにかかわる業務を手作業で行えば、多大な
タッフの職務分掌を求めている。 コストが発生することになるものの、回答者の大多数
複雑なビジネス・プロセスを細分化して1人のスタッ は作業を軽減するためのツールは導入していなかった。
フだけに任せないようにすることは、不正行為や人為 現状では、監査ログの取得やアクセス制御が必要なと
的ミスの防止策になる。例えば、銀行に現金を預け入 きに、既存のセキュリティ・ツール群で代用するケース
れた後に、それを預金明細書と照合するというプロセ が多いようだ。
スを1人に任せてしまえば、その担当者は非常に簡単 また、
ストレージの価格は、
これまでコンプライアンス・
に現金を盗めてしまう。 コストとして表面化しにくかったものの1つだ。だが、
SOX法は、財務プロセスとデータについて、IT部 その状況は変わりつつある。ログのほかにも、運用デー
門の担当職務を分掌するという考え方を基本としてい タやアーカイブ、ログのメタデータなど、さまざまな種
る。だが、この点は、いまだに企業を悩ませているよ 類のデータを保管しておくことが求められる今日、必
うだ。回答者のうち、職務分掌のポリシーを策定して 要になるストレージ容量も増え続けている。
いる企業は半数にも満たなかった
(図2)
。 このような事情に加えて、さらに回答者の半数強は、
コストおよびシステム上の制約や人材不足といった テープに移行すべきコンプライアンス関連のアーカイブ
理由で、職務分掌が不可能になっているケースも少な を、しばらくの間SANに格納しておくということを行っ
くないと思われる。そうした場合は、代替策として、 ていた。その結果として、1次ストレージとして利用で
ログを完全に取得するようにして監査に役立てたり、 きる性能を備えた高価なSANの中で、監査証跡とし
ビジネス・プロセスのレビューを頻繁に実施したりする てしか使う機会がないようなアーカイブが、最も大きな
ことで、安全性を高めるように配慮すべきであろう。 容量を占めるという状態になっていた。
図3:コンプライアンス・データの保持期間 の購入価格は、ディスク容量当たり18カ月ごとに半分
法定期間
近くに下がっている。
このようにストレージの消費量が倍増してもハード
法定期間+最長5年
9% 永久 ウェアのコストが半減していることから、インフラ・コス
ト全体の増加率はおそらく1ケタ増だと予想できる。た
9% だし、電力の増強、冷却、追加スペースの管理といっ
27%
7年 た付随的なコストまでが同様に下がっているわけでは
ない。そのため、ストレージに関する所有/運用コスト
9% の総額は、消費スペースの増加に近い比率で上昇し
ていると筆者は考えている。
10% ノートPCのHDD暗号化が
情報保護策として重視
27%
10年
回答者の多くは、コンプライアンスにかかわる業務
その他 の一環として、情報保護にも取り組んでいる。当然な
*資料:米国 Nemertes Research
がら、多くの回答者が情報保護を重要視しており、こ
れを2007年と2008年におけるセキュリティ支出の最
コスト負担が大きくても 優先分野と考えているという回答は38.6%になった。
永久アーカイブを実践 情報保護に関する問題として最も重視されているの
は、従業員のノートPCに格納されているデータの保
アーカイブ・データの永久記録を実践すれば、コン 護である。そのためにさまざまな暗号化技術が活用さ
プライアンスにかかわるストレージ・コストがますます大 れており、フリーウェアのストレージ暗号化ソフトが利
きくなる。今回の調査では、
回答者の4分の1以上がデー 用されているケースから、オンボードの暗号化チップで
タの永久保存を実践しているという結果が出た
(図3)
。 ハードディスクを保護しているというケースまで、暗号
│
コスト面の負担が大きくなったとしても、万が一、裁 化技術の利用形態は多岐にわたる。
Part│
判所から情報提示を求められたときに困らないように、 回答者の10%は何らかの暗号化技術をすでに導入
3 コ ン プ ラ イ ア ン ス ・ コ ス ト ── 米 国 企 業 の 現 状 に 学 ぶ
永久にデータを保持しておくことを選択したのだ。近 済み、もしくは導入作業を行っているところと答え、
年、こうした考え方はますます広まっている。 現在候補となる暗号化製品を評価中だと答えた回答
データの種類に応じて異なる保存期間を定めている 者は20%以上に上った。
という回答もあった。その期間は、法律で決められて 情報保護においては、アイデンティティ管理もかか
いることもあるが、多くの場合はそれぞれの企業が自 わってくる。回答者の27.3%が今後1年間の優先的な
主的に設定しているようだ。一般的には、7年から10 支出先としてアイデンティティ管理を挙げている。
年または法令に定められている期間プラス2、3年とい 2008年に支出を検討したいとする回答者の60%は、
うケースが多い。 今後、アイデンティティ管理のための支出額が増加す
こうした記録保持のために、ストレージ・コストはど ると見込んでいる。
のくらい増加しているのだろうか。一概には言えないが、 情報保護という取り組みには、手間とコストが必要
1年ごとに必要なストレージは3ケタ増
(100%以上)
の割 になる。だが、特に大企業においては、避けて通れな
合で肥大化している。一方、ストレージ・ハードウェア いものと見なされている。
4 エンタープライズ・データを
Part
守り抜く
ITコンプライアンスを確立するうえで、企業の機密情報や顧客情報を保護することは、きわめて重大な課題である。
米国企業もここにきてこの問題に本腰を入れて取り組み始めている。本稿では、社内に潜む脆弱性をあぶり出すとと
もに、重要な情報やデータを保護する方法を、米国のユーザーおよびベンダーから学びたい。
Matt Hines
InfoWorld米国版
機密データ保護の試みは り、行政処分を招いたりした事件の多くが、機密デー
まだ始まったばかり タの取り扱いに関する企業側の認識不足を原因にし
ていたということが判明している。
その昔、機密情報の安全は、ファイル・キャビネッ 企業は機密情報を安全に管理することのできる体
トに入れてカギさえかけておけば守ることができた。価 制を整えつつあるが、専門家によると、それでもまだ
値のあるデータを保管し、アクセスを制御するのは、 重要なデータを保管する方法やデータを電子的に転
比較的簡単なことであり、大してコストもかからなかっ 送するプロセスには、多くの死角が残されているとい
た。ところが今日、企業はセキュリティやストレージ、 う。例えば、情報漏洩や外部からの攻撃に対する脆
コンプライアンスの技術──重要な電子情報の視認性 弱性などが、そうした死角として挙げられる。
を高め、外部からの不正アクセスを阻止するための技
「われわれが調査したケースのほとんどで、企業は
術──に、莫大な投資を行わなければならなくなった。 シリアスなデータ侵害を経験していた。しかも、貴重
もっとも、そういった技術を導入する必要性こそ認 な情報が盗まれたことが判明するのは、大抵の場合、
識されているものの、価値のある機密データの詳細な 犯行後かなりの時間がたってからだ。そのときには、
トラッキングや、不正アクセス/不正利用を防止する もうすべてが手遅れになっている」
と語るのは、リスク・
│
ためのアプリケーションの導入といった本格的な取り アセスメントを手がけるセキュリティ・サービス・プロバ
Part│4 エ ン タ ー プ ラ イ ズ・デ ー タ を 守 り 抜 く
組みとなると、ほとんどの企業がまだ始めたばかりの イダー、米国Cybertrustの調査対応担当バイスプレ
段階である。 ジデント、ブライアン・サーティン
(Bryan Sartin)
氏だ。
Cybertrustでは、
「契約している企業でデータ侵害
データ保管プロセスの が発生した場合、さまざまな問題について討論し、最
死角をなくす 終的に機密データをどのように保管するかを提案す
る」
(Sartin氏)
といった業務を行っているが、多くの
法律の専門家が、企業の要請を受けて、外部から 企業で、事件が発覚するまで、最小限のデータ保護
の不正侵入や内部の人間による不法行為について調 対策しか講じられていなかったことは事実だ。
査を行ったところでは、ブランドの信頼を揺るがした
「しかしながら、たとえ企業がどれほどしっかりした
なデータが日々流出しているという現実は止めようが
ない」
と、Sartin氏はデータ保護の困難さを訴える。
32% 過去1年以内に機密データが漏洩したことがある
専門家の仕事をさらに難しくしているのが、痕跡を
残さないクラッカーの巧妙な手口だ。ここにきて、
デー
11% 情報漏洩が発生したかどうかわからない
タを盗むスキームが高度化し、犯行の追跡がいっそう
困難になっているのである。
58% 機密データを脅かす最大の要因は、
社内の人間の意図的または過失による情報漏洩である
データ・セキュリティは 害の痕跡やセキュリティ・プロセスの欠陥が次々に明
全社的な問題と認識する らかになっていることからすれば、そうした自信のほと
んどは幻想にすぎない」
と切って捨て、こう分析して
調査会社の米国Enterprise Strategy Group
(ESG) みせる。
は今年、大企業への聞き取り方式で、エンタープラ
「実際に、どのようなタイプのデータが従業員のデ
イズ・セキュリティに関する調査を実施した
(表1)
。6 スクトップやファイル・サーバに保管されているかを見
月下旬に公表された調査結果によると、調査に協力 せてやれば、多くの企業は問題の大きさに驚愕する
した大企業102社のうち3分の1が、過去1年以内に はずだ。そうした問題を抱えている企業に共通してい
機密データの漏洩があったことを認めている。 るのは、部門間の協調性が欠如しているということで
また、ESGでは、回答者の58%が、機密データを ある。
セキュリティは、
IT部門だけの問題でもなければ、
脅かす最大の要因は、社内の人間の意図的または過 法務部門、あるいは事業部門だけの問題でもない。
失による情報漏洩であるとして、外部の攻撃からネッ 人々が全社的な問題だと認識しないかぎり、状況が
トワークを守るだけにとどまらない包括的なセキュリ 改善することはないだろう」
ティ・プロセスの必要性を訴えている。 現在、こうした問題の解決に携わっているITコン
ESGのアナリストで、上の調査リポートを作成した サルタントたちは、
「超優良企業と呼ばれる会社でさえ、
ジョン・オルトシク
(Jon Oltsik)
氏は、
「機密データや データ・セキュリティ問題の全体像を把握するのに四
苦八苦している」
と証言する。 ツールやプロセスを発見しつつある。
大企業が管理する情報は、近年、爆発的な勢いで 米国の不動産ファイナンス・サービス・プロバイダー、
増 加し つ つあり、SOX法
( 米 国 企 業 改 革 法 )や First Americanのソフトウェア開発担当バイスプレ
HIPAA
(医療保険の相互運用性と説明責任に関する ジデント、ガス・テッパー(Gus Tepper)
氏は、たとえ
法律)
などの成立が、その傾向にさらに拍車をかけて 一夜でセキュリティの悩みをすべて解決することは不
いる。そしてそれに伴い、企業には、この問題を真正 可能であるにしても、漸進的に改善することはできる
面から見据えて、オペレーションに真の視認性を確立 し、そうすべきだと指摘する。
する必要性が出てきた。 そのための最初のステップは、個々の従業員が仕
ITコンサルティング会社の米国Getronicsでシニア・ 事を遂行するうえでどのようなデータにアクセスする
インフォメーション・リスク・ストラテジストを務めるス 必要があるかを特定し、人事異動があるたびに、イン
ティーブ・スーザー(Steve Suther)
氏は、この状況に、 テリジェントなツールを用いて自動的にアクセス資格
「企業の多くは、いざとなれば高度なセキュリティ技 の付与/取り消しを行うことである。こうした方法は、
術を適用すれば済むと強気だが、オペレーションの視 定期的に大規模な人事異動が行われる従業員4万人
認性を高めるツールの購入予算さえ十分に用意して の大企業、First Americanでも有効であることが証
いないのに、果たしてそんな芸当が可能なのだろうか」 明されている。
と、警鐘を鳴らす。
「(ツールを使ってアクセス制御を自動化することに
Suther氏は、Getronicsに入社する前はクレジッ よって)
アクセスという面で、データの安全性を十分
トカード大手の米国American Express
(AMEX)
で に確保することができると考えている。問題の多くは、
情報セキュリティ管理ディレクターを務めていた。当 ヒューマン・プロセスを巡って発生するからだ。アクセ
時の同氏にとって、データ・セキュリティは
「巨大な問 スを制御することで、脅威への対応を自動化し、脅
題」
だったという。AMEXの情報や記録にアクセスし 威を最小化することは、どんな企業にとっても重要だ」
てくる数百万社の加盟店と円滑にビジネスを展開しつ (Tepper氏)
つ、顧客ならびに社内の情報を保護しなければなら First Americanでは、従業員のノートPCが紛失
なかったからだ。 したり、盗難にあったりした場合でも、だれかが勝手
確かに、ビジネス・パートナーを監視するのは非常 にデータにアクセスしたりすることのないよう、マシン
に難しい。
「情報リスク管理プログラムを強制するのが に暗号技術をインストールしている。また、オフサイト・
最も困難な領域の1つは、
まちがいなくサード・パーティ ロケーションでも、テープ・ドライブが盗まれた場合に
だ。たとえ企業が社内で効果的なビジネス・プロセス 備えて同 様のツールを採 用しているほか、米国
を立案し、その管理体制を構築することができたとし Securent
(米国Cisco Systemsが2007年11月に買収)
│
ても、重要なデータに接触することが可能なサード・ が開発した、データ・ガバナンスを支援するための資
Part│4 エ ン タ ー プ ラ イ ズ・デ ー タ を 守 り 抜 く
パーティのプロセスまで詳細にチェックすることはで 格管理ソフトウェアも導入している。
きない」
(Suther氏)
からである。 First Americanにおけるアクセス制御の状況を、
Tepper氏は
「われわれのように数百ものアプリケー
ツールを活用し ションを利用し、部門をまたいだ人事異動を普通に
データ保護戦略を再構築 行っている大企業の場合、定期的に
(アクセス権の)
クリーニング・アップをする必要がある。そしてそんな
データ・セキュリティを実現するうえで、越えるべき 環境では、一元的に管理できるツールがなければ、
ハードルの数は確かに多い。だが、企業ユーザーは アクセス権をトラッキングすることは不可能なのだ」
と
着実に前進し、データ・セキュリティの強化に役立つ 説明し、こう続ける。
用意な情報流出に備えておく必要がある。
われわれは、
そのためにセキュリティ技術を積極的に導入している。 1 暗号の紛失やビジネス・プロセスの違反を特定・阻止する
技術を導入する
セキュリティ技術を導入し、社内のアクセス権を制御
するためのプロセスを整備したことによって、状況は 2 保護すべきデータを分類し、
コントロールする
リスク・レベルに応じて
大きく改善された」
同社はまた、
2006年に初めてCISO
リティ責任者)
(最高情報セキュ
を雇い入れ、データ保護を経営戦略の
3 経営陣に対して新規投資の必要性を訴える際は
真摯な姿勢で臨む
一環と位置づけた。
大企業の多くは、データ保護戦略を再構築するに らだ。IT基盤の構築に関して言えば、さまざまな局
あたって、ゼロからスタートしたいと考えるものだ。だ 面で、データ・セキュリティをいかに確保するかがカ
が、たとえそれが可能であったとしても、ゼロから万 ギになろう」
(同氏)
全な情報保護体制を作り上げるのは容易なことでは
ない。 専門家に聞く
米国カリフォルニア州サンノゼに本部を置く小売 効果的な対策と戦略
チェーン、Orchard Supply Hardware
(OSH)
は、
今から5年以内にチェーン店を全米展開する予定であ およそエンタープライズ・セキュリティに関しては、
り、同社CIO
(最高情報責任者)
のマーティ・ホゲット ハードウェア・メーカーからサービス・プロバイダーに
(Marty Hodgett)
氏は、その日に備えて本格的なIT 至るまで、戦略的アドバイスを提示してくれるベンダー
システムの構築に取り組んでいるところだ。 には事欠かない。その1社である米国Symantecで製
OSHが業務にワークステーションや新しいデータ 品管理担当シニア・ディレクターを務めるニック・メー
収集システムを組み込んだことについては、Hodgett タ
(Nick Mehta)
氏は、データ・ディスカバリ・システ
氏は
「遅れて来た近代化だ」
と笑うが、それでも機密 ムとマルウェア対策アプリケーションを組み合わせる
情報をガードしながら、顧客、従業員、供給業者に ようアドバイスする。
関するデータの高度利用を可能にした点については、 Symantecのメッセージング・アーカイブ・ソフトウェ
みずから合格点をつける。 ア
「Enterprise Vault」
の開発/マーケティング担当
現在、OSH株のおよそ80%は小売り大手の米国 チームを指揮する同氏は、
「いかに防御を固めても、
Searsが所有しているが、OSHはSearsからのスピン それを突破する手段は必ず発見される。そして、デー
オフを目指している。そして、そのためにも、ITの近 タは必ず盗まれる。だが、暗号の紛失やビジネス・プ
代化とともにデータ・セキュリティの確保が必要にな ロセスの違反といったことは、そういった問題を特定・
るのだとHodgett氏は言う。 阻止する技術さえ導入すれば、ほとんど起こさずに済
「われわれはこれまで、多くの分野でSearsに依存 むようになる」
と説く。
してきた。しかし、今後は、財務、支払い、人事シス 一方、エンタープライズ・セキュリティに力を入れ
テム、その他の点で自主性を発揮しつつ、全米に向 ているハードウェア・メーカーの代表としては、米国
けてビジネスを展開していくことになる。現在は、そ Intelを挙げることができよう。同社は、最近発表し
の方向で、いかにリスクを軽減できるかを検討してい た
「インテル アクティブ・マネジメント・テクノロジー(イ
る最中だ。そんな状況の中で、
すべてをゼロからスター ンテルAMT)
」など、新しいセキュリティ機能を積極
トするわけにはいかない。あらゆることを一気に推し 的に自社製品に搭載し始めているのだ。ちなみに、同
進めようとすれば、破綻することが目に見えているか 技術は、マルウェアやその他の攻撃によってクラッ
シュしたデバイスを、IT管理者がリモートから修復で これまでのセキュリティ投資の負担が、新しいツール
きるようにするものである。 の有効性を経営陣に訴えるうえでの障害になっている
そのIntelでITセキュリティ・ディレクターを務める が、それを乗り越えるためにはIT部門の真摯な姿勢
マルコム・ハーキンス
(Malcolm Harkins)
氏は、
「IT が欠かせないとアドバイスする。
の運用レベルは徐々に改善されているが、情報の管
「過去10年から15年ほど、ユーザー企業はセキュリ
理・保護に関しては、これから先も常に改善し続けな ティ問題を解決するためにさまざまな技術を導入して
ければならない」
とアドバイスしたうえで、
「情報保護は きた。しかしながら、経営側は、それらのソリューショ
データの分類から始まるが、いったん分類してしまえ ンが必ずしも有効であったとは思っていない。そのた
ば、以後、それぞれのリスク・レベルに応じてコントロー め、最近は、セキュリティ関連の新規投資がなかなか
ルすることが可能になる」
と指摘する。 認められなくなってきている。こうした状況を打破す
また、データセンター向けのセキュリティやコンプラ るために、IT部門は経営陣に対して、問題の所在と
イアンス技術を提供する米国Impervaのゼネラル・マ それを解決するための新しいオプションについて明確
ネジャー、ロビン・マットロック
(Robin Matlock)
氏は、 に語る必要がある」
(Matlock氏)
C O L U M N 「企業レベルで共有プロセスを策定すべき」
と専門家は指摘
企業間で共有される知的財産、セキュリティ対策は不十分
Denise Dubie / Network World米国版
率は非常に高くなる」
と指摘している。 ト情報管理ツールを、17%の企業が専門の情報漏洩防止ツールを導
Part│
調査の結果、92%の企業がビジネス・パートナーと情報を共有して 入していると回答した。
4 エ ン タ ー プ ラ イ ズ・デ ー タ を 守 り 抜 く
いることが明らかになった。内訳を見ると、大量の情報を共有してい しかしOltsik氏は、
「これらのツールを導入しても、セキュリティ担
ると回答した企業は28%、適量の情報を共有していると回答した企 当者が共有情報へのアクセスをすべて把握することは難しい」
と語る。
業は32%、共有している情報はごくわずかだと回答した企業は32% 同氏によると、約20%の企業が
「いつ、だれが、どの情報にアクセス
だった。 したのかをすべて特定できる自信はない」
と回答したという。
また42%の企業がIPを複数の部門で分類/管理していると回答し
「ビジネス・パートナーとの情報共有は、ビジネスの観点から見て
た。Oltsik氏は
「複数の部門にまたがってIPが存在することは、
(IPに 有益であることが実証されている。今後も共有情報は増加し、その流
アクセスするための)
明確なポリシー/プロセスがないことを意味して れを止めることはできないだろう。CIOに求められるのは、企業レベ
いる」
と語る。 ルで共有プロセスを策定し、情報漏洩リスクを最小限に抑えることだ」
Oltsik氏は、
「ビジネスの要求は、しばしばセキュリティ上の懸念を (Oltsik氏)
5 [コンプライアンス]
Product Review
注目の製品が備える機能・特徴をチェック
Computerworld編集部
アクセス管理ソフトウェア SAPジャパン
立するために、代理処理用
ユーザー・ 定期的な
ロール管理、
のIDを発行し、そのIDによ リスク分析と プロビジョニング、 特権ユーザー アクセス・
職務分掌の
改善 不適切な職務分掌 管理 レビューと監査
る作業履歴を記録するという 設計・適用
の防止
機能を備えている。
リスク分析、改善、予防
なお、SAP GRC Access
職務分掌ルールのベストプラクティス
Controlは、以下の4つのア
情報漏洩対策ソフトウェア NECソフト/野村総合研究所
Webコンテンツプロテクター AE Ver.4.0
Webブラウザプロテクター AE Ver.4.0
Webに配信されるコンテンツを保護 にダウンロードして閲覧することは可能だが、両製品
NECソフトと野村総合研究所
(NRI)
が提供する を導入することにより、保存や印刷、画面キャプチャ
「Webコンテンツプロテクター AE Ver.4.0」
および などの行為が禁止される。
「Webブラウザプロテクター AE Ver.4.0」
は、インター また、ユーザーがメールにファイルを添付して転送
ネットで配信されるコンテンツの2次利用を防止する したり、USBメモリなどの外部デバイスを利用して持
情報漏洩対策ソフトウェアの最新版である。両社は、 ち出したりするケースや、P2Pファイル共有ソフトに
2006年10月から両ソフトウェア・シリーズの共同販売 よるファイル流出が起こった場合でも、情報漏洩を
を行っている。 防ぐことができる。
両製品は、情報漏洩の出口をふさぐことを目的とし
た従来の情報漏洩対策ソフトとは異なり、コンテンツ 最新版ではログ取得管理機能が追加され
そのものの2次利用を制限する点が最大の特徴だ。 内部統制の確立を支援
Webコンテンツプロテクター AEは、インターネッ 最新版であるVer.4.0では、ログ取得管理機能を
ト上のWordやExcelファイルとPDFファイルに対し 新たに追加している。同機能を利用すると、ファイル
て利用制限を加えることが可能である。Webブラウザ の参照や印刷、画面キャプチャといったユーザーの
プロテクター AEは、HTMLファイルやJPEG/GIF 操作情報が詳細に記録され、サーバで一元管理でき
などの画像ファイル、JavaScriptを利用したWebコ るようになる。これにより、企業の内部統制確立を支
ンテンツを対象に2次利用を防止する。 援する。
対象となるファイルやコンテンツをクライアントPC 加えて、ファイルに対するセキュリティ攻撃の傾向
を分析したり、万が一ファイルが流出した際にも流出
Webコンテンツプロテクター AEによるファイルの保護イメージ 経路を把握したりできるなど、ファイル/コンテンツ
従来技術による保護範囲 の2次利用に関するトレーサビリティを実現している。
正規ユーザーに対して安全に情報を配布
そのほか、オフライン状態でファイルが参照される
ようなことがあっても、参照回数や参照可能時間、印
インターネット 刷、画面キャプチャなどに関し通常のオンライン状態
│
(イントラネット)
と同じように制御できる。これはクライアント端末ごと
Part│
ファイアウォール/
5
正規ユーザー
Webサーバ アクセス制御/ VPN に固有の暗号化を施すことで実現したという。
P r o d u c t R e v i e[
なお、Ver.4.0では、Windows Vista、
「Microsoft
Office 2007」
「Adobe Acrobat Reader 8」
といった
最新の動作環境/ソフトウェアへの対応が図られて
いる。
wコ ン プ ラ イ ア ン ス ]
Webコンテンツプロテクターによる保護範囲 価格 要問い合わせ
正規ユーザーに渡った後の情報を保護(2次利用を防止) URL http://www.necsoft.com/soft/wcp/
ALogコンバータ
エージェントレスで 容が整理される。これによって保管すべきログ容量が、
安全・簡単なログ監査を実現 Windowsイベント・ログの約1/200〜1/1,000にまで
網屋の
「ALogコンバータ」
は、重要なデータが保管 コンパクト化されるため、データ・ストレージ容量を大
されているファイル・サーバのアクセス・ログを一元的 幅に節約できる。なお、これら一連の作業はすべて
に収集/管理するサーバ・アクセス・ログ監査ツール 自動化することが可能だ。
である。大量のアクセス・ログをコンパクト化して保管 出力されたアクセス・ログ履歴はデータベースに取
し、必要に応じて不審アクセスの追跡や特定ユーザー り込んで、特定の情報のみをWebブラウザを使って
の行動履歴などを抽出・検索することが可能となって 検索/追跡することができる。また、必要に応じて不
いる。同製品はWindows版のほか、NetAppやEMC 審アクセスの追跡や、特定ユーザーの行動履歴など
のファイル・サーバ用にカスタマイズしたNAS対応版 を抽出・検索することも可能としている。
が用意されている。 一方、大量に備蓄されたログは、長期にわたって
主な特徴としては、設置モジュールがエージェント 運用できるよう設計されている。例えば、整形したア
レスのため、ファイル・サーバに常時負担をかけない クセス・ログ・ファイルをCVSフォーマットとDBフォー
ことが挙げられる。また、設置環境に対する制約が マットの2つに分けて保管することで、
「大容量のログ
少なく、監査対象のファイル・サーバとALogサーバ 保管」
と「高速なログ検索」
を両立することができると
間でファイルを共有する環境を築くだけで、権限やイ している。
ンフラ環境の制約を受けることなく運用できる。
さらに、 ALogコンバータのタスク・フロー
遠隔地にある複数台のファイル・サーバのログ収集も クライアントPC 各対象サーバ ALogサーバ
1台の管理サーバで行うことができる。 3 ログ管理サーバ 5
一方、中央に集約されるログは、圧縮してから転
送されるため、帯域の細いWAN環境でも大規模な
サーバ環境でも、ネットワークに負荷をかけずにログ
1 2
を収集できるとしている。
ALogコンバータ
複雑なログを整形し DB化して
5
見やすくコンパクトに 検索追跡
4
ALogコンバータでは、中央に集約させたログから、
ファイル・アクセスに必要なログのみを抽出し、ログ
内容を分析しながら整形出力処理を行う。イベント・
ログをアクセス・ログに整形処理した段階で、ログ内
Spec Sheet 1 2 3 4
製品名 ALogコンバータ
各ユーザーが Windowsイベント・ 圧縮された 集めたWindows
開発元 網屋 サーバにアクセス ログをサーバに圧縮 Windowsイベント・ イベント・ログを
価格 「for Windows」
:サーバ5台/ 98万円から してからいったん保存 ログを中央に転送 整形処理して
「for EMC / for NetApp」
:サーバ1台/ 98万円から 視覚化・コンパクト化
URL http://www.vmware.com/jp/products/vi/esx/ 一連の作業をすべて自動化
内部統制支援ツール/サービス 富士通
Internal Eyes
80以上のIT機能要件を基に 例えば、
「内部統制強化コンサルティング」
は、内部
最適な内部統制支援を行う 統制の文書化支援、有効性評価支援などを目的とし
富士通の
「Internal Eyes」
は、企業における内部 たもので、企業プロジェクトの効率的・効果的な推進
統制の不備改善と強化を支援するツール/サービス を促す。
「内部統制ライフサイクル・マネジメント・ソ
群である。これらは、富士通が長年培ってきた内部 リューション for SOX」
は、内部統制プロジェクトの
統制に関するノウハウの中から、内部統制の整備に 構築から運用までのライフサイクルの支援を目的とし
不可欠でかつITで支援可能な要件を抽出したものが ており、内部監査向けの
「PRODocumal」
などのツー
基になっている。例えば同社には、米国SOX法に対 ル群を提供する。これらはいずれも横断的な内部統
応するためのコンサルティング・ノウハウのほか、長 制に対応する。
年顧客企業の業務システムを構築・運用してきたこと 一方、個別対応としては、
「業務プロセス統制支援
で得られたノウハウがある。 ソリューション」
と「IT全般統制支援ソリューション」
が
同社は、抽出された要件を機能ごとに振り分け、 あり、目的別にさまざまなツールが用意されている。
80以上のIT機能要件にまとめている。これを基に内 例えば前者では、統合業務パッケージ
「GLOVIA」
や
部統制上の各要件に合ったITツール/サービスを提 重要文書の改竄を防ぐ
「Interstage帳票ソリューショ
供 することで 内 部 統 制 の 強 化を 支 援 するのが ン」
などがある。後者では、統合運用管理ソフトの
Internal Eyesである。 「Systemwalker」
やRDBMSの
「Symfoware」
のほか、
COBITやITILなどに準拠した高信頼システムの導
各種統制に対応した 入・運用を支援するツールなどがある。
豊富なツール/サービス また、内部統制を推進するための教育・研修サー
Internal Eyesでは、
「業務プロセス統制」
および
「IT ビスなども用意されている。
全般統制」
に対して、横断的あるいは個別に対応する なお、Internal Eyesの最新版ではいくつか機能強
ための豊富なツール群を提供する。 化が図られている。例えば、富士通が策定した内部
統制基準を満たすツールに推奨マーク
(Internal
内部統制を支援する
「Internal Eyes」
の構成 Eyes)
を付ける制度が新たに導入された。このマーク
│
選択できるようになる。
P r o d u c t R e v i e[
内部統制強化コンサルティング
また、要員育成のための教育・研修コースと内部統
内部統制ライフサイクル・マネジメント・ソリューション for SOX 制の整備に活用できる各種テンプレートをセットにし
た
「文書化基本セット」が新たに提供されるほか、
業務プロセス統制支援
IT全般統制支援ソリューション
ソリューション PRODocumalに内部統制オプションが追加された。
wコ ン プ ラ イ ア ン ス ]
インフラ最適化 TRIOLE
Spec Sheet
製品名 Internal Eyes
富士通データセンター
開発元 富士通
価格 要問い合わせ
教育・研修サービス
(eラーニング/集合研修)
URL http://segroup.fujitsu.com/internalcontrol/internalcontrol.html
未来的テクノロジー
ベスト10
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
審査員:デニス・フィッシュバック氏(CalpineのCIO兼シニ プログラム・コーディネーター:ゲーリー・アンテス氏、エレ
ア・バイスプレジデント)
、デービッド G.グリーンウッド氏 ン・ファニング氏、マリ・キーフェ氏
●与えられた予算と期限内で高品質なアプリケー ジーや製品は255件に及んだ。選考にあたっては、専
ション開発を支援する 門家の協力を仰ぎ、すべての候補を6人の専門調査
●ハードウェアやソフトウェアのアーキテクチャを根 員と9人の審査員から成る審査委員会で検討し採点
本的に改善する した。この評点を基に選出されたのが、本稿で紹介
●ユーザーのイノベーションと生産性の向上を実現 する受賞テクノロジー 10点である。
する なお、受賞テクノロジーの選考、評価に貴重な時
間を割いてくれた調査員/審査員の顔ぶれは、
72ペー
これらの規準に沿ってノミネートされたテクノロ ジ下の一覧のとおりである。
バッグや衣服に装着可能なSideShow対応液晶ディスプレイ
February 20 08 Computerworld 73
写真1:Wearable Display Moduleが埋め込まれたノートPCバッグ。 ルになる。だがTreger氏によると、ElekTexのコス
ノートPCをバッグの中に入れたまま、布状キーパッドの
ElekTexを操作して電子メール・メッセージやスケジュールな トは1年前の半額程度にまで下がっているという。
どの情報を液晶ディスプレイに表示することができる
「当社では、ElekTexを採用したBlackBerry用の
ファブリック・キーボードを販売しているが、昨年の
価格は169ドルだった。しかし現在は130ドル以下ま
で下がっており、クリスマス・シーズンのころには小売
店で80ドル程度で販売されているだろう」
(Treger氏)
「ElekTexの開発と製造プロセスの完成には何年も
かかった」
とCollins氏が語るように、Eleksenは家電
向けスマート・ファブリック・コントロール・キーパッド
の開発・製造でどのライバル・メーカーよりも先んじて
いる。米国Gartnerのアナリスト、レスリー・フィエリ
ング
(Leslie Fiering)
氏は、
「適正な触覚フィードバッ
クを実現するキーパッドの製造方法を熟知しているこ
とがEleksenの強みだ」
と指摘する。
特別企画
未来的テクノロジー Eleksenは今後、タップやポイントだけでなく複雑
ベスト10 な指先のジェスチャーも認識できるファブリック・ベー
スのタッチスクリーン・ディスプレイを開発する計画だ。
ジャー、マーク・トレガー(Mark Treger)氏は、 Seferidis氏によると、
折り曲げが可能なタッチスクリー
ElekTexについて、
「布地の上から縫い付けることが ン・ディスプレイは今後2年以内に実用化される見込
できるので、とても使い勝手がよい」
と評価している。 みだという。
「単に折り曲げられるだけでなく、布地と
唯一の制約はコストだ。Collins氏の見積もりでは、 いっしょに洗えるものを開発するのが目下の課題だ」
WDMを装着したノートPCバッグの価格は約200ド (同氏)
目の動きでコンピュータを操作。
“視線”がマウスの代替に
EyePoint
●─米国スタンフォード大学 http://www.stanford.edu/
コンピュータの処理性能の向上は、単に画像処理 ユーザーの目の動きから要求される動作をソフトウェ
の改善に寄与するだけでなく、コンピュータと人の新 アと高解像度カメラ、赤外線搭載のモニタを使って
しいインタラクション方法を切り開くこともある。スタ 判別し、軽くキーに触れるだけで画面をスクロールし
ンフォード大学博士課程の研究者、マヌ・クマール たり、小さい文字を大きな字にして読みやすくしたり
(Manu Kumar)
氏が開発した
「EyePoint」
システムが することができる。
その一例だ。 Kumar氏は、
「コンピュータを視線で操作すること
EyePointは、コンピュータをマウスではなく、目で で、ユーザーは従来よりもインテリジェントに、かつ
操る新しいコンピュータ操作補助インタフェースで、 直感的に使いこなしているという感覚を得ることがで
SaaS形式でPC環境を提供するWebベースの次世代OS
G.ho.st
●─G.ho.st(イスラエル) http://g.ho.st/
「G.ho.st
(Global Hosted Operating System」
(76ペー らWebブラウザ経由でのアクセスを可能にするホス
ジの画面2)
は、イスラエル・エルサレムの新興企業 テッド型OSである。
G.ho.stが開発した、任意のクライアント・デバイスか 同社CEOのズビ・シュライバー(Zvi Schreiber)
February 20 08 Computerworld 75
画面2:G.ho.stのデスクトップ画面。Webブラウザやメール・クライア 売した際に発生する手数料が主な収益になるという。
ント、ウィジェットなどの各種アプリケーションがあらかじめイ
ンストールされており、3GBのストレージを無料で利用できる。 G.ho.stは現在、アルファ版が一般公開されており、
日本語も対応しており、ルック・アンド・フィールはWindows
などのOSとほとんど変わらない Webサイト
(http://g.ho.st/)
で会員登録を済ませれ
ばだれでも利用できる。
「まもなくベータ版をリリース
できる見込みだ。まだ完璧と言えないが、OSとして
より本格的に使えるようになっている」
とSchreiber氏
は胸を張る。
G.ho.stユーザーは
「Word」
や「Excel」
といったロー
カルへのインストールが必要なアプリケーションは使
えないが、
「Google Docs & Spreadsheets」
とのよう
なWebベースのアプリケーションを代替として利用す
ることができる。Schreiber氏は、
来年中にもパートナー
を探してさまざまな人気デスクトップ・アプリケーショ
ンのWebホステッド版を開発し、ユーザーのデータを
G.ho.stの環境に移行させたい考えだ。
ミネソタ州パークラピッズ在住のカトリック司祭で、
特別企画 自称
「コンピュータ・ナード
(オタク)
」のリック・ボイド
未来的テクノロジー
氏は、
「G.ho.stは、
昨今注目されているSaaS
(Software (Rick Boyd)
氏は、G.ho.stを使って毎日のように
ベスト10 as a Service)
の考え方を取り入れた次世代の仮想コ Webブラウザのブックマークを管理したり、ホスティ
ンピュータ
(VC)
サービスだ。Webブラウザ経由で提 ングされたファイルやドキュメントにアクセスしている
供される同サービスは、貴重なアプリケーションやデー という。同氏は、
「場所を選ばず、どのコンピュータか
タを1台の物理コンピュータに閉じこめる従来型のOS らでも自分のブックマークにアクセスできる点が気に
モデルは時代遅れというわれわれの強い信念に基づ 入っている」
と述べたうえで、
「何よりも、
仮想デスクトッ
いて開発されている」
と語る。 プであることが実に革新的だ」
と語っている。
G.ho.stの仮想OS環境では、アップグレードやパッ G.ho.stは、従来のデスクトップ・アプリケーション
チ適用といった作業が不要で、データは常にバック の外観と機能を持つWebアプリケーションを開発/
アップされる。
「G.ho.stの最大の売りは、デバイスを 配信するためのオープンソース・プラットフォーム
自由に選べることにある。学校で複数のPCを使用し 「OpenLaszlo」
を用いて構築されている。なお、G.
ている若者も、機密情報を記録したノートPCをなる ho.stは米国Amazon.comが提供する
「Amazon Web
べく外に持ち出したくないと考えているビジネス・パー Services
(AWS)
」によってホスティングされている。
ソンも、G.ho.stを活用することで、任意の場所から
「OpenLaszloとAWSを使用しているとはいえ、
好きなデバイスを使って自分専用のコンピューティン G.ho.stの開発者は、堅牢でセキュアなアーキテクチャ
グ 環 境 にアクセスす ることが 可 能 になる 」と、 の構築に向けて、相当な量のプログラムを書き、複
Schreiber氏は力説する。 雑なシステム統 合 作 業を行う必 要 があった」と
G.ho.stは、同社が運営する仮想コンピュータ内で Schreiber氏は強調する。
動作するアプリケーション・サービスとして無料で提 なお、G.ho.stでは、一部の処理とメモリ使用をサー
供される。Schreiber氏によると、
サードパーティのサー バからクライアントに移すことでスケーラビリティの改
ビス・プロバイダーがユーザーに製品やサービスを販 善を図っているという。
人の言葉をコンピュータが理解する形に変換できる自然言語処理技術
Streaming Logic
●─Linguistic Agents(イスラエル) http://www.linguisticagents.com/
コンピュータが日常生活の中に入り込むにつれて、 話すとしても、データやアプリケーションとの対話は
人とマシンがよりスムーズに対話できる手段が必要に 避けられないのだ」
と、米国マサチューセッツ州ケンブ
なってくる。残念なことに、コンピュータは、人間と リッジのサプライチェーン・コンサルティング企業、
同じ言葉を話すわけではないのだ。 ChainLink ResearchのCEO、アン・グラッキン
(Ann
エルサレムの株式非公開会社Linguistic Agentsは、
対話をより円滑にする
「Streaming Logic」
というテク
ノロジーを開発した。これは、自然言語をコンピュー 図1:Streaming Logicによる自然言語からコンピュータ用言語への変
換の仕組み
タが理解できる形式に変換するというもので、変換プ
ロセスには、言語学の理論とコンピュータのプログラ
ミング言語の両方の知識が応用されている。 自然言語によるユーザー入力を受け付
ける
「自然言語に関する最新の言語理論を実装し、この
抽象的な理論を一連の規則へと組み直すことを目指
てStreaming Logicを開発した」
と、Linguistic
Agentsの創業者でCEOのサッソン・マーガリオット
(Sasson Margaliot)
氏は語る。 「NanoSyntactic Engine」
で、入力さ
NanoSyntactic
Streaming Logicでは、自然言語を認識したうえ Engine れた自然言語の構文解析を行う。
で構文解析を行い、言語学者が
「論理形式」
と呼ぶ、
文が持つ意味の規則的表現を決定する。その後、他
のアプリケーションが理解できるように、XML形式に
変換するというプロセスを経る。
解析結果を構文ツリーに変換する
Margaliot氏とチーフ・サイエンティストのアレクサ
ンドル・デミドフ
(Alexandre Demidov)
氏の率いるチー
ムは、5年の歳月を費やしてStreaming Logicを開発
した。昨年末にベータ版をリリースするまで、5回の
失敗を経験したという。
ALM 「ALM」で構文ツリーを意味表現に変
このテクノロジーをMargaliot氏は、検索エンジン (Advanced Language Machine) 換する。ここで、意味データベースを用
の精度向上やオンライン広告の改良、リッチ・コンテ いて不明瞭さを排除する
ンツを用いたWebインタフェースの開発といった分野
から実用化に着手し始めている。将来的には、クエリ
を理解して応答するサービスや音声認識の精度向上
意味表現をXML 形式に変換し、コン
などへの応用も考えられるという。 XML
ピュータが利用できる用意する
「コンピュータに関する知識を持たないオンライン・
ユーザーがますます増えている。だが、彼らが何語を
February 20 08 Computerworld 77
Grackin)
氏は語る。 今後、Streaming Logicは、ビジネス・インテリジェ
自然言語処理は何年も前から存在するテクノロ ンス
(BI)
やERPといったアプリケーションにも組み込
ジーだが、Grackin氏によると、Streaming Logicの まれることになるだろう。自然言語をコンピュータ用
ユニークな点は、単語同士の関係を分析して論理形 の言語に変換するこのソフトウェアは、ユーザーが使
式を決定する方法にあるという。その方法のおかげで、 う単語を事前に定義するための作業時間を減らせる
論理形式とそれが持つ意味を、話者がどの言語で話 ことから、アプリケーション開発の簡素化に役立つは
している場合でも同じものにできる。
「言語構造に着目 ずだ。
すれば、ある言語から別の言語に移植することが可
「そろそろ、より直感的にソフトウェアと対話できる
能になる」
と同氏。Linguistic Agentsは、意味デー ようにする時期に来ている。直感的な方法として、自
タベースを拡張して、言語を追加することを計画して 然 言 語よりもふさわしいものがあるだろうか」と
いるという。 Margaliot氏は問いかける。
“スライス”
したデータを分散保存して安全かつ安価なストレージ利用を可能に
特別企画
未来的テクノロジー
Dispersed Storage
ベスト10 ●─米国Cleversafe http://www.cleversafe.org/
クリス・グラッドウィン
(Chris Gladwin)
氏は、20 サーバ台数は11台までだったが、10月のバージョン
04年に音楽サービス企業のMusicNowを米国Cir アップで8台、16台、32台、64台と柔軟に設定でき
cuit City Storesに売却した。その後、休暇をとった るようになった。
同氏は、音楽と写真のデータを整理したところ、複数 保存されるスライスは、いずれも単独では有用な
のデータ・コピーを保存するときの従来の方法は、複 データとして復元不可能にできるため、セキュリティ
雑すぎてコストも高いと気づいたという。 面でも有効だとGladwin氏は語る。また、データの
そこでGladwin氏は、データを分割して複数のノー 復元は、すべてのスライスを集めなくても行うことが
ドに保存し、必要なときに再構築できるというアルゴ でき、復元に必要なスライス数は任意に設定可能だ。
リズムを開発した。昔からの発明家である同氏は、暗 この特徴から、
Dispersed Storageで構築するデータ・
号技術にも明るかったのだ。 グリッドは、信頼性の面でも非常に優れていると同氏
同年の11月にGladwin氏が設立した米国Clever はアピールする。データ容量の増加への対応も、
グリッ
safeは、その技術を商品化することを目的とした企業 ド内にサーバを追加するだけで済むため、拡張性も
である。同氏は現在、Cleversafeの会長兼CTO
(最 万全だという。
高技術責任者)
を務めている。 Gladwin氏は、Dispersed Storageの最大のメリッ
Gladwin氏のソフトウェアは
「Dispersed Storage」 トは、バックアップやアーカイブ、ディザスタ・リカバ
という名称で、データをいくつかの
“スライス”
に分割 リのためのコピーを不要とすることでストレージ・コス
して暗号化を施し、それぞれのスライスを複数のサー トを削減できる点だと語る。通常のコピーを行った場
バに分けて保存するというものだ。データセンター内 合、コピーとオリジナル・データの容量比率は5対1も
だけではなく、インターネット上に分散配置されたサー しくは6対1となるようなケースでも、Dispersed Sto
バを保存先とすることもできる。以前、分散保存する rageを使えば、1.3対1以下にまで容量を抑えられる
図2:Dispersed Storageで構築するデータ・グリッド・インフラの例
ソース・
コンピュータ
(iSCSIイニシエータ) ソース・コンピュータは、iSCSIイニシエ
ータとして機能し、アクセサー上にあるよ
うに見えるデータの操作や検索を行う。
LAN /インターネット アクセサーは、ソース・コンピュータのド
ライブとしてマウントされる形になるが、
実際のデータは複数のスライスストアに
分割保存する
アクセサー
(iSCSIターゲット)
LAN /インターネット
スライスストア
(ストレージ)
という。同ソフトは定価が定められていないが、
「少な ブ用のテープおよび光学ドライブからのリプレース需
くとも、保存データ総量の減少に比例したコスト削減 要が見込まれる2次ストレージ市場にねらいを定める。
を期待できるだろう」
(同氏) 米国の市場調査会社Illuminataのアナリスト、ジョ
Gladwin氏らは当初、ギガバイト・クラスのデータ ン・ウェブスター(John Webster)
氏は、Dispersed
保存を想定していた。だが、現在はテラバイト、場合 Storageによるデータの分散保存は
「ストレージ管理
によってはペタバイト・クラスの利用環境まで視野に 者の日常業務の進め方を一変させる可能性がある」
入れているという。最初は、バックアップ/アーカイ と、同ソフトウェアを高く評価する。
さまざまなシーンでの活用が期待されるインクを使わない印刷技術
ZINK Paper
●─米国Zink Imaging http://www.zink.com
活版印刷技術の発明者として知られるヨハネス・
「秘密は紙にある」
と、ZinkのCTO、スティーブン・
グーテンベルグであれば、米国マサチューセッツ州 ハーチェン
(Stephen Herchen)
氏は種を明かす。同
ウォルサムにあるZink Imagingの面々を異端者と見 社の科学者らは、インクの代わりに印刷技術における
なしただろう。何しろ同社は、インクを使わない印刷 もう1人の主役である
「紙」
に着眼し、その非凡な能力
技術を発明し、1456年に初めて聖書が印刷機で刷ら を授けたわけだ。
れて以来の印刷技術の基本要素を排除したのだ。ち Zinkは1990年代に米国Polaroidの社内プロジェ
なみに
「Zink」
という社名は
「zero ink」
の略称だ。 クトとしてスタートした。その後の2005年、同社は
February 20 08 Computerworld 79
写真2:Z ink技術を実装することで撮影だけでなく、印刷も可能にした チに白い紙をかざし、結晶が溶けてさまざまな色に変
デジタル・カメラ
化する様子を筆者に見せてくれた。
Herchen氏によると、この開発プロジェクトに参加
した化学者と物理学者は、Zink設立後に入社した者
も合わせて50名程度になるという。彼らは、長い試
行錯誤の期間を経て、紙の上でコントロールできる分
子の組み合わせを作り出すことに成功した。完成し
た成果物は、
「外観も雰囲気も普通の写真と同じだっ
た」
と同氏は振り返る。
この紙を使うことに付随するメリットがもう1つある
とHerchen氏は語る。それは、インク・カートリッジの
廃棄という環境に問題がある行為から、消費者が解
放されることだという。
米国IDCのアナリスト、ロン・グラーツ
(Ron Glaz)
氏は、このテクノロジーの革新性は認めながらも、す
特別企画
未来的テクノロジー ぐに既存のプリンタに取って代わるとは考えていない。
ベスト10 「これは、ニッチ市場向けの製品だ」
と同氏。
Zinkを完全な独立組織としてスピンアウトした。 ZinkのCMO
(マーケティング最高責任者)
、スコット・
Polaroidが考案し、Zinkが完成させたこのテクノ ウィッカー(Scott Wicker)
氏は、Glaz氏の意見には
ロジーは、無色の色素結晶が無数に並ぶ層の上にポ 異を唱えないが、このテクノロジーのユニークな点は
リマー・コーティングを施した紙を用いている。色素 「これまでは考えられなかったようなシチュエーション
結晶を異なる温度かつ一定の間隔で加熱すると、さ で、印刷が可能になることだ」
と指摘する。インク・カー
まざまな印刷装置で用いられるシアン、マゼンタ、イ トリッジを使わないため、デジタル・カメラのような小
エロー、ブラックという色になって紙に溶け込むとい 型デバイスにプリンタ機能を組み込めるというわけだ。
う仕組みだ。このプリントの耐久性は高く、長期保存 Wicker氏によると、同社で製造できる用紙サイズ
にも適しているという。 に制限があるわけではないが、今のところ市販されて
今年初めにカリフォルニア州パームデザートで開催 いるものは、2×3インチ
(約5.1×7.6センチ)
のサイズ
されたコンファレンスでHerchen氏は、
火をつけたマッ となっている。
あらゆる物にはり付けられ無線でデータを発信できる超小型のメモリ
Memory Spot
●─米国HP Labs http://www.hpl.hp.com/
「Memory Spot」
は、無線でデータを発信できる超 だりすることができ、無線ICタグ
(RFID)
の強化版の
小型のメモリである
(写真3-1)
。サイズは2ミリ×4ミリ ように機能する。
角と小さいため、あらゆる物に張り付けたり埋め込ん このメモリの発端となるアイデアは、1990年代後半
に米国Hewlett-Packard
(HP)
研究部門
「HP Labs」 写真3-1:2ミリ×4ミリ角の超小型の無線データ・チップ「Memory
Spot」
(各鉛筆の中心にあるのが実物)
で生まれた。同ラボの研究員が1インチ角の回路基板
を写真の裏にはり付け、画像に関係のある音を録音/
再生できることを示したのである。しかし、
「オーディ
オ写真」
と形容されたこのコンセプトは、名案ではあっ
たが実際には成功しなかった。
問題の1つは、回路基板の接点が壊れやいことだっ
た。米国カリフォルニア州パロアルトにあるHP Labs
でアソシエイト・ディレクターを務めるハワード・タウブ
(Howard Taub)
氏は、
「実装のしかたがまずかった」
と
振り返る。
しかし、オーディオ写真が切り開いた道によって、
HPは昨年、Memory Spotにたどり着いた。
Memory Spotを発明したのは英国ブリストルにあ
るHP Labsのシニア・リサーチャー、ジョン・ウォーター
ズ
(John Waters)
氏。同氏の設計目標は、非常に小
型であまり電力を必要とせず、比較的高度なプロセッ
サを備えたデバイスを作ることだったという。 格納でき、内蔵アンテナを介して10Mbpsで読み書き
「難題はこれらすべてを統合することだった。昔は ができる。また、デジタル・マイクロプロセッサと無線
“高速化、改良、低価格化——この3つのうち2つは 信号用のアナログ回路も備える。さらに、電磁場を介
実現できる”
と言われていた。だが今日の世の中では、 してエネルギーを転送できる
「誘導結合」
と呼ばれる
そのすべてが求められる」
(Taub氏) 作用で給電されるため、バッテリは不要だ。
現行のMemory Spotチップは0.5MBのデータを Taub氏によると、現在、米国陸軍をはじめさまざ
写真3-2:音や動画を記録できる写真や絵はがき、入院患者の医療データを記録できるリストバンドなど、Memory Spotの応用の幅は広い
February 20 08 Computerworld 81
まな関係者がMemory Spotを評価中だ。用途は動 氏)
画付き絵はがきから超セキュアなパスポートやIDカー 米 国カリフォルニア州サンノゼに本 拠を置く
ド、医療記録が添付された入院患者のリストバンドな Creative Strategiesの社長、ティム・バジャリン
(Tim
ど、多岐にわたるという
(81ページの写真3-2)
。 Bajarin)
氏は、Memory Spotについて、
「在庫などの
HPは、NFC
(Near Field Communication)
技術 RFIDタイプの用途だけでなく、あらゆる種類のもの
の導入と標準化を推進する非営利組織
「NFCフォー に利用できる」
と絶賛する。
ラム」
と連携して、Memory Spotリーダーを携帯電話 Memory Spotは市場投入の準備がほぼ整ってい
に組み込めるか検討中だ。
「例えば、Memory Spot る段階にある、とTaub氏。実は
「商品化にかかわるビ
が埋め込まれた映画のポスターから、映画の予告編 ジネス上の問題はテクノロジー上の問題よりも難しい」
を携帯電話に転送することもできるようになる」
(Taub (Taub氏)
のだという。
グリッド対応サイト間での医用画像の準リアルタイム転送を可能にするプロジェクト
特別企画
Globus Medicus
未来的テクノロジー ●─米国南カリフォルニア大学 http://www.usc.edu/
ベスト10
「Globus Medicus」
(注1)
は、グリッド・コンピューティ の遠隔共有はほぼ不可能だった。
ングを利用して、CT画像やMRI画像などを、医療セ 英国の調査会社Quocircaのビジネス・プロセス分
ンター間で準リアルタイムにやり取りすることを可能 析担当サービス・ディレクター、クライブ・ロングボト
にしたプロジェクトである。
Globusとは、
米国南カリフォ ム
(Clive Longbottom)
氏は、
「アクティブな3Dグラ
ルニア大学
(USC)
などが設立したグリッド向けソフト フィックスを必要な場所で見ることができれば、可能
ウェアの開発団体であり、オープンソースのグリッド・ な限り速やかに正しい診断を下せるようになる」
と語
コンピューティング・ミドルウェア
「Globus Tolkit」
の る。そして、それを可能にするのがグリッドであると
開発で知られる。Medicusプロジェクトは、このGlo 指摘し、
「グリッドは従来のスーパーコンピュータより
bus Tolkitを用いて開発された。 も格段に高いリソース能力を格段に低いコストで提供
具体的には、医用画像の標準規格であるDICOM する」
(同氏)
と続ける。
(Digital Imaging and Communication in Medi Medicusプロジェクトのリーダーで、USCロサンゼ
cine)
準拠の画像を医療センター間で自在にやり取り ルス小児病院の放射線医学/生体工学担当助教授、
するため、画像データの転送や管理などを担うGlo スティーブン G.エルベリック
(Stephan G. Erberich)
bus Toolkitの各コンポーネントを
「DICOM Grid In 氏は、
「Medicusではさらに、DICOM準拠の画像を
terface Service」
で統合
(DICOMドメインとGridド グリッドを使って配布・検索することを可能にした」
と
メインを橋渡し)
する構造になっている
(図3)
。 説明する。認定ユーザーはシステム上にある患者の
Medicusを利用することで、例えば医師は、セカン 任意のファイルに対して、条件付きでアクセスできる。
ド・オピニオンが必要な患者の画像をほかの地域にい 同プロジェクトは2003年にスタートし、41の医療セ
る専門家たちと直ちに共有できるようになる。従来の ンターが参加するに至った。まもなく小児がん研究グ
方法では、ネットワーク速度や、各病院が保有するシ
注1:M e dic u sは
「Me dic al Im a gin g a n d C o mp u tin g f o r Unifie d
ステムの互換性の問題などによって、大量のファイル Information Sharing」
の略
図3:Globus Medicusの構成
Globus MyProxy
Globus GridShib
Internet2 Shibboleth
DICOM Grid
ユーザー認証と Interface Service 組織間における
承認 シングル・サインオンの確立
DICOM機器
DICOM準拠画像
DICOM準拠画像のやり取り データ・アクセス
Globus SQL
OGSA-DAI データベース
Globus Globus
GridFTP RLS
ループの230のセンターすべてを網羅する予定だ
(米 また、さまざまな研究センターが保有するシステム
国およびカナダ)
。 間の障壁を取り除くことも不可欠だった。
「Medicus
当初の開発者の1人であるErberich氏によると、 は医療技術の縦割り構造を乗り越えた」
とErberich
同プロジェクトは当初、いくつかの課題を抱えていた 氏。今では、
「放射線医師はグリッド越しに医用画像
という。例えば、患者が画像へのアクセスを管理でき を入手し、その数日後ではなく数分後には診断報告
るセキュリティ・システムを開発する必要があった。 を行えるようになった」
(同氏)
という。
組み込みシステムで使用可能なメモリ容量を倍増するメモリ圧縮技術
CRAMES
●─米国ノースウェスタン大学 http://www.northwestern.edu/
●─米国NEC研究所 http://www.nec-labs.com/
モバイル・デバイスは、小型であるがゆえに搭載す
「モバイル・デバイスは、小型化に加えて低消費電
るメモリ容量が本質的に制限され、実行できるアプリ 力化も求められる。そのため、メモリ容量は常に制限
ケーションも制約される。 される」
と、無線/モバイル関連のコンサルティング
February 20 08 Computerworld 83
写真4:CRAMESを搭載するNEC製携帯電話「N904i」 学の大学院生、レイ・ヤン
(Lei Yang)
氏と、同氏の
研究顧問である助教授のロバート P.ディック
(Robert
P. Dick)
氏により開発された。
「(CRAMESは)
メモリ
の特定領域を透過的に圧縮/伸張して、組み込みア
プリケーションのメモリ・フットプリントを劇的に縮小
する技術だ」
とDick氏は語る。
「オンライン圧縮/伸張
をすべてソフトウェア的に処理することで、ハードウェ
ア・プラットフォームの再設計を回避できる」
(同氏)
Dick氏によると、さまざまな研究者がこれまでも圧
縮ソフトウェアの利用を試みてきたが、圧縮ソフトは
消費電力が高いうえに、パフォーマンスにも影響が出
てくるため、モバイル・デバイスでの利用は避けられ
ていた。ノースウェスタン大学の開発チームは、多く
のメモリが必要となるアプリケーションにおいても、低
消費電力での稼働を実現する研究開発を進めていた。
特別企画
未来的テクノロジー 開発チームは、圧縮されたメモリを管理するために、
ベスト10 Linuxカーネルのスワッピング・メカニズムを用いて、
圧縮すべき記憶領域を決定することにした。開発当
初は、定評のあるLZO圧縮アルゴリズムを用いるこ
会社米国Farpoint Groupの社長で、Computerwo とで、パフォーマンス・ロスを10%程度に抑えること
rld米国版のコラムニストを務めるクレイグ・マサイア に成功した。しかし、より低いパフォーマンス・ロスを
ス
(Craig Mathias)
氏は語る。
「メモリ圧縮技術は、 目 指 し、開 発 チ ームは
「PBPM
(Partial Based
既存ストレージの利用効率を高め、メモリ容量を有効 Partial Match)
」と呼ばれる新たな圧縮アルゴリズム
活用することに役立つ」
(同氏) を開発した。
NECは2007年夏、携帯電話の
「N904i」
に搭載す さらに開発チームは、メモリ不足のときのみデータ
る
「CRAMES
(Compressed RAM for Embedded を圧縮する技術や、記憶領域の断片化を解消する新
Systems)
」という新しいメモリ圧縮技術を開発した
(写 しいメモリ管理技術、必要に応じて消滅プロセスを削
真4)
。CRAMESは、ソフトウェア的にデータ圧縮を 除可能にするLinuxカーネルの採用など、当初開発
実行することで、メモリの利用効率を倍以上に高める したCRAMESに対して段階的に改良を加えている。
ことが可能な技術である。加えて、低消費電力化を これらにより、消費電力の低減とパフォーマンス・ロ
図り、パフォーマンス・ロスは2.7%に抑制している。 スを2.7%へ抑制することに成功したという。
NECの研究部門である米国NEC研究所は、8年 Dick氏は、
「組み込みシステムの設計者、特に携帯
前にメモリ圧縮技術の研究開発を始めた。2004年に 電話やPDAの設計者は、競争力を維持するために、
は、研究所のコンサルタント、ハリス・レカツサス
(Haris より多くの機能をデバイスへ毎年搭載していく必要が
Lekatsas)
氏と部門長のシュリマート・チャクラダール ある」
と語る。
「CRAMESにより、NECは、ハードウェ
(Srimat Chakradhar)
氏は、メモリ圧縮技術のOS アの設計サイクルに依存せず、より多くの機能をデバ
への統合を検討しだした。 イスに搭載することができ、増大する新たなメモリ需
一方、CRAMES自体は、米国ノースウェスタン大 要に対応することができる」
(同氏)
オンライン取引の安全性を保証する“IDパスポート”を発行
米国Symantecの
「Norton Identity Client」
(画 ている。
面3)
は、電子商取引の安全性を保証する証明書を Norton Identity Clientは、激しい規格争いが繰
サービス利用者に発行することで、安全・簡単に決 り広げられるID管理分野において
「スイスのような中
済が行えるよう支援するソフトウェアである。特徴は、 立的存在だ」
と、米国ボストンの調査会社、Yankee
ユーザーが電子商取引サービスにアクセスする際に Group Researchのアナリスト、アンドリュー・ジャクィ
用いるパスワードやプロトコルといった個人情報
(ID) ス
(Andrew Jaquith)
氏は指摘する。
を管理するための共通インタフェースを提供すること 同氏によると、Norton Identity Clientは、Micro
にある。 softのID管理技術
「Windows CardSpace」
や標準化
Symantecのアーキテクチャ/戦略担当シニア・ディ 団体Liberty Alliance Projectの認証技術、URL
レクター、ティム・ブラウン
(Tim Brown)
氏は、
「企業 をIDとして利用する認証プロトコル
「OpenID」
など、
は電子商取引において顧客に関する基本的属性を確 多種多様な認証プロトコルと連携するので、ユーザー
認しなければならない。一方、顧客も取り引きの前に は認証された自分のIDを1カ所で管理できるようにな
信用できるサイトかどうかを確認する必要がある」
と指 るという。
摘する。 Symantecは、今後1〜2年かけてNorton Identity
Brown氏によると、Norton Identity Clientの開 Clientを全世界で展開していく計画だ。同社では、
発にあたっては、できるだけたくさんの種類の認証プ 正式なパートナーシップを交わしていなくても、Nor
ロトコルをサポートするよう配慮したという。 ton Identity Clientは大半のWebサイトに対応する
「極力シンプルなインタフェースでユーザーとシステ 予定としている。
ムをつなぎ、オンライン上でビジネスを安全に進める
うえで欠かせない機能を提供することを目標とした」 画面3:Norton Identity Clientの画面
(同氏)
Norton Identity Clientの最初のバージョンでは、
同社の調査研究機関である
「Symantec Security Re
sponse」
が収集したデータに基づき、各Webサイトの
評判や信頼度に関する情報をユーザーに提供する計
画だ。ユーザーはそれを受けてどのような情報を相手
に開示するかを決められるようになり、信頼度の低い
サイトで買物をしなければならない場合は、Sym
antecが発行する1度しか利用できないクレジットカー
ド番号を使用することで金銭的リスクを最小限にとど
めることができるという。また、子供が利用できるコ
ンテンツを制限する保護者機能や、年齢や所属組織
といった他のID情報の認証もサポートする予定とし
February 20 08 Computerworld 85
TechnologyFocus
[テクノロジー・フォーカス]
「話題の製品の機能を詳しく知りたい」
「自社では、どのような技術を使
うのが最適なのだろうか」── 企業において技術や製品の選択を行う「テ
クノロジー・リーダー」
の悩みは尽きない。そこで、本コーナー
[テクノロジ
ー・フォーカス]では、毎号、各IT分野において注目したい製品や技術を
ピックアップし、その詳細を解説する。
S torages
ディザスタ・リカバリの
迷路を解く
[ストレージ]
S
torages
[ストレージ]
ディザスタ・リカバリの
迷路を解く
複雑な状況の中、
自社にとってのベスト
・プランにたどり着くためには
災害時でもビジネスを継続するためには、ディザスタ・リカバリ
(災害復旧)
として、バックアップ・サイトの構築が不
可欠である。特に近年、企業はITシステムの停止による甚大な損失を目の当たりにして、ディザスタ・リカバリを重
く受け止めるようになってきた。しかし、サーバ仮想化に代表される新技術が、企業のIT環境を効率化する一方で、
システムの複雑化を招いている側面もある。そのため、自社に合ったディザスタ・リカバリ体制を整えることは容易で
はないのが現状である。本稿では、実際に企業がどのようにディザスタ・リカバリを講じているのか、実例を交えて
解説する。
Gary Anthes
Computerworld米国版
複雑さをきわめる こうした状況に対応するため、さまざまな方法を企
今日のディザスタ・リカバリ計画 業は模索するようになった。例えば、
一部の企業では、
緊急時にCPUリソースをすばやく移転できるディザス
昔はよかった。ITマネジャーにとってディザスタ・ タ・リカバリ・ホット・サイトの運営を外部パートナーに
リカバリ
(災害復旧)
計画の立案は、さほど難しい仕事 委託している。しかし、最近では、リカバリ・サイトの
ではなかったからだ。毎晩、あるいは週末ごとに、メ 外部委託を止め、社内で対応するべきだと考える企
インフレームのデータをテープ・ストレージへバック 業が増加してきている。
アップすれば済んでいた。 マサチューセッツ工科大学
(MIT)
のCIO、ジェリー・
几帳面な性格なら、テープをオフサイトへ移したり、 グロチョウ
(Jerry Grochow)
氏は、ディザスタ・リカ
不測の事態を想定して別のデータセンターを立ち上 バリの問題点を次のように説明する。
「あるアプリケー
げたりしたかもしれないが、それで十分だった。ディ ションを利用するために必要な機器の数を調べてみる
ザスタ・リカバリ・テストを実施するにしても、テープ と、10台以上もあった。しかし、そういったことは別
を取り寄せ、データを正確に読み取れるかどうかを に珍しくもない。SAPアプリケーションのプログラマー
チェックするだけであった。 に、
『復旧するにはどのマシンが必要か』
と聞いても、
しかし、コンピュータの分散化やネットワーク化、 おそらく明確な答えは返ってこないだろう。なぜなら、
異なるハードウェア・システムの混在、さまざまなOS 認証サーバが稼働しなければ、ユーザーはログオンさ
の利用、仮想化技術の導入など、ITシステムを取り えできないという事実をプログラマーは知らないし、
巻く環境はここ数年で複雑さを増している。そのため、 そのサーバが別のデータセンターにあることも知らな
現在、ディザスタ・リカバリ計画を立案・テストするこ いからだ」
とは、さまざまな要素が絡み合い、非常に困難である。 もはや企業のIT資産は、IT部門でコントロールし
IT管理者が毎晩安心してベットに向かうことは、ほと きれなくなってきた。Grochow氏は以前、証券会社
んど不可能になりつつある。 に勤めていたが、その会社では外部の契約業者40社
Storages
からさまざまなデータが自動的に送られてきていた。 画面1:代表的なサーバ仮想化ソフト「VMware ESX Server」
。サーバ統合が進み効率
化が図られる反面、ディザスタ・リカバリは複雑なものとなってしまう
金融機関などではこのような外部機関との接続が100
件を超えるところもある。
「自動的に送られてくるデー
タが複雑に絡み合っている場合、どのようにデータ処
理アプリケーションをリカバリすればよいというのか」
と、同氏はシステムの高度化がもたらすディザスタ・リ
カバリの難しさを指摘している。
システムが高度化し
アウトソーシングが困難に
ウィスコンシン州グリーンベイのトラック輸送会社、
Schneider Nationalは、以前、ディザスタ・リカバリ・
ホット・サイトを提供するサービス・プロバイダーと契
約していた。しかし、最近、自社で2つ目となるデータ
センターをディザスタ・リカバリ・サイトとして構築した。
Schneiderの技術サービス担当バイスプレジデント された」
とMueller氏は語る。
であるポール・ミューラー(Paul Mueller)
氏は、
「シス Mueller氏によれば、新しいデータセンターの構築
テムが複雑になればなるほど、プロバイダーが提供す には莫大なコストを費やしたが、その分満足のいく施
るホット・サイトでの復旧は困難になる」
と語る。 設を構築できたという。2カ所のデータセンターは、
Schneiderが運用していたシステム環境をアウト 冗長化された光ファイバ回線や電話システムで結ば
ソーシングにより再現することは難しく、そのため同 れ、
メインフレームの相互バックアップが行われる。
「わ
社が実施していた半期ごとのディザスタ・リカバリ・テ れわれは、顧客をサポートするサプライチェーンや当
ストでは、必ずしも満足のいく結果を得られなかった 社のIT環境に対し、リスクを勘案して大規模な投資
という。
「テストを実施すると、テープが修正されてい を決断したが、その方向性に間違いはなかった」
ないといった問題が毎回発生した。リストアできるか (Mueller氏)
どうかは、ハードウェアやOSの構成などに常に左右 Schneiderの投資はデータセンターの構築だけにと
COLUMN 1 リカバリ
・サイトの自社構築傾向が強まる─ガートナーが指摘
米国Gartnerが発表したリポートによると、ディザスタ・リカバリにア サイトまでの距離が遠いことによる、移動コスト/時間の浪費
ウトソーシングを活用していた大手企業が、ここにきて自社でディザスタ・ ③3年から5年という長期契約が前提
リカバリ・サイトを構築する傾向が強まってきたという。それには以下の ④柔軟性に欠けるテスト・オプションとテスト環境
4つが大きな理由として挙げられると、Gartnerは指摘している。
一方でGartnerは、サービス・プロバイダーとの契約を解除する前に、
①復旧までの時間を24時間以内、できれば4時間以内に短縮したいと 人員や機材、電力消費量、冗長性、ディザスタ・リカバリの専門性など
いう考え に関して、自社のニーズに過剰な点はないかどうかを再点検してみること
②顧客自身のデータセンターからアウトソースしたディザスタ・リカバリ・ も重要だとアドバイスしている。
どまらず、コンサルタントの助けを借りて、70人のマ プグレードする必要はない」
とDowd氏は説明してい
ネジャーと一部の有力顧客にインタビューを行った。 る。
それにより、システム停止を引き起こす条件や時間ご
との推定損失額、各マネジャーが目指すリカバリ・タ 仮想化がディザスタ・リカバリを
イムを把握することができたという。 複雑に
「それらをアセスメント文書にまとめ、データセンター
がダウンしたときのダメージがどれほどの規模かを示 テキサス州リチャードソンの冷暖房システム・ベン
せれば、非 常に説 得 力を持った 情 報となる」と ダー、Lennox InternationalのCIOであるロッド・フ
Mueller氏は述べている。 ローリー(Rod Flory)
氏は、サーバの効率性と柔軟
アリゾナ州テンペのSonora Quest Laboratories 性を高めるために、サーバ仮想化ソフトウェアを導入
のCIO、ボブ・ドウド
(Bob Dowd)
氏は、ディザスタ・ した。しかし、それが逆にディザスタ・リカバリを困難
リカバリとして完全に冗長化したホット・サイトを構築 にしたという。
する余裕はないが、災害回避のための対策はいくつ
「VMwareの導入により、サーバを増設しなくても、
か講じていると語る。同社は、夜間に患者2万人の医 メモリやCPUを変更するだけで柔軟にサーバ・プラッ
療検査を行い、翌朝、医師へ検査結果を届けている。 トフォームを強化することが可能になった。しかし、
このような高度に自動化されたプロセスにおいて、長 その結果、四半期ごとにわれわれのシステム環境は
時間にわたってシステムが停止すれば、ビジネスに甚 変化するようになった。そうした変化にホット・サイト
大な被害が出ることは容易に想像できる。 を追随させることは非常に困難だ」
とFlory氏は説明
「われわれはコンピュータ・ルームを強化し、可能な する。
限り冗長性を高めた。たとえ1つのノードがダウンして 同社はディザスタ・リカバリ・テストを毎年行ってお
も、瞬時に別のノードがフェールオーバする」
とDowd り、
「5人のスタッフを数週間専任させるなど、1つのプ
氏。テンペのデータセンターは、冗長ディスクと2つ ロジェクトと言えるほどの規模でディザスタ・リカバリ・
のネットワーク・コアを持ち、単一障害点がない。加 テストを実行している」
(Flory氏)
。ディザスタ・リカバ
えて、1日2回のバックアップを実行し、1回目はサー リ・テストは現状、問題なく完了しているが、同社はディ
バへ、2回目はテープに格納してオフサイトへ送って ザスタ・リカバリ専門業者へのテスト委託を将来的に
いる。 検討している。
「鳥インフルエンザのような状況がある
それでもDowd氏は、データセンターがフェニック かもしれない。ディザスタ・リカバリを知っている人間
ス空港の滑走路の突端近くに立地することを懸念し が5,6人いたとしても、全員がダウンしてしまう事態も
ている。しなしながら同氏は、安全性を確保しつつ、 想定できる」
(同氏)
安価な方法でリモート・サイトへのバックアップを実 また、Lennoxのシステムはこれまで本社に一元化
現する手法を考案している。 されてきたが、最近では電子メールやCADといった
テンペでは、研究用システムのテスト環境にデータ 複数の機能が、ディザスタ・リカバリが考慮されてい
センターの一部を割り当てているが、実質的にそれは ないリモート・サイトのサーバへ分散化されつつあると
本番環境をスケール・ダウンした環境と同じである。 いう。
それをアリゾナ州ツーソンのラボに移動すれば、テン 本社のディザスタ・リカバリ対策に、こうしたリモー
ペのバックアップ・サイトとして利用することが可能に ト・サイトを組み込むことは容易ではない。それぞれ
なるという。
「あくまで事業を支援するバックアップ・ のサイトが、必ずしも本社と同じシステムを運用して
サイトという位置づけであるため、必ずしも頻繁にアッ いるわけではないからだ。
「システム構成は各サイトご
Storages
とに異なる。Dellのサーバを利用しているところもあ こうした体制を実現すれば、ディザスタ・リカバリ
れば、IBMのサーバを導入しているところもある。主 の面倒なテストも不要になる。なぜなら各サイトは常
要な15ないし20拠点を見ても、共通のアーキテクチャ 時稼働しており、基幹系アプリケーションは2カ所以
がまったく存在しない」
とFlory氏は言う。 上で実行されているため、事実上、毎日テストを行っ
Lennoxでは今後、リモート・サイトを共通アーキテ ているようなものだからだ。
「この手法を利用すれば、
クチャへ移行させる考えだが、実現までにはまだ時間 たとえ何か障害が発生したとしても、完全なお手上げ
がかかるだろう。 状態にはならないだろう」
とGrochow氏は語る。
「逆に、
一方、MITでは、2カ所のキャンパス内データセン アーキテクチャに致命的な単一障害点が多く存在す
ターに加え、さらに2カ所の賃貸施設を補完的にディ るのであれば、詳細なディザスタ・リカバリ対策を構
ザスタ・リカバリ・サイトとして運用する考えだと、 築しなければならない」
(同氏)
Grochow氏は述べている。 また、Grochow氏は、
「ディザスタ・リカバリのコン
それら4カ所のデータセンターは、すべてを常時稼 セプトは変わりつつある」
と分析している。
「われわれ
働させ、少なくとも2カ所で基幹系アプリケーションを のシステムは複雑になりすぎて、災害時にサードパー
同時に実行する計画である。しかし、キャパシティが ティの提供するホット・サイトを利用することが、もは
多すぎたり、過度に冗長化されているわけではないた やできなくなった」
と語り、現在ディザスタ・リカバリ・
め、維持費はそれほどかからないと、Grochow氏は サイトを構築するには、自社で対応する必要があると
説明する。 の考えを示している。
COLUMN 2 ディザスタ
・リカバリを容易にする3つの要素
「私はITに33年間かかわってきたが、
ディザスタ・リカバリが困難になっ ネットを経由して、ユーザーや開発者があらゆる場所からアプリケーショ
たとは決して思わない」と語るのは、ミネアポリスの医療保険会社、 ンにアクセスできるようになるからだ。Hamilton氏によると、従来、同
UnitedHealth Group InternationalのCIO、ロッド・ハミルトン(Rod 社のマイアミ・オペレーション・センターは、ハリケーンが襲来するたび
Hamilton)氏だ。 にシャットダウンを余儀なくされてきたという。
企業によって使用アプリケーションやIT環境、ビジネス・ニーズは大 しかし、現在では、Webベース・アプリケーションを利用することで、
きく異なるが、次に示す3つの要素がディザスタ・リカバリを容易にして 従業員が自宅から仕事をできるようになった。
「リダイレクトすれば、バッ
いると、Hamilton氏は語る。 クエンドをどこへでも移すことができ、インターネット上のユーザーはそ
れに気づくことさえない」
と同氏は言う。
①通信コストの劇的な低減 Hamilton氏はまた、Webベースのサービスを利用することで、負担
「35年前、インターネットは存在しなかった。そのため、2カ所のサイ の大きなユーザー・サポートやデスクトップ・システムの修復作業から解
トを接続するには莫大なコストがかかった」
とHamilton氏は語る。
「現在、 放されると語る。個々のクライアントにアプリケーションをインストール
リモート・サイトに対するリアルタイムのバックアップは、経済的に何の しなくても、Webポータル経由で必要な機能をクライアントに提供する
問題もなく実現できる」 ことができるからだ。
②業務プロセスのアウトソーシング/オフショアリング
「私はアプリケーション開発の革命的な変化を経験してきた。伝統的
Hamilton氏は、業務プロセスをオフショアに移すためにはプロセスの なメインフレーム・システムでは、中央からのサポートが要求されたが、
移植性を高める必要があるとする。そして、
移植性を高めればディザスタ・ その分デスクトップ側では何もする必要がなかった。
一方、
クライアント/
リカバリも容易になるという。 サーバ・システムでは、デスクトップ側で入念なソフトウェアの管理が必
要になった。システムがWebベースに移行して、流れは再び元に戻った」
③Webベース・アプリケーション とHamilton氏は語っている。
「Webベース・アプリケーションは、管理
Webベース・アプリケーションの増加も重要である。なぜなら、
インター の面から見れば、古きよき時代への回帰と言えるだろう」
対して、まったく備えがないという調査結果を報告している。そ
大学間でのリカバリ・サイト構築プロジェクトが始動
の理由の1つは、ディザスタ・リカバリのコストの高さにあると言
米国の東西両端に位置するメイン州とカリフォルニア州にあ える。
る大学で、北米大陸をまたいだハードウェアとソフトウェアの共 だが、Bowdoin大とLoyola大のプロジェクトでは、コストは
有化を図ろうとするディザスタ・リカバリ
(災害復旧)のための共 思いのほか低く抑えられたようだ。両大学によると、2006年6
同プロジェクトが進められている。 月から2007年7月までにかかったプロジェクト費用は、各大学
プロジェクトの舞台は、東海岸のメイン州ブランズウィックに 当たり約3万5,000ドルで、主たる費目は1カ月当たり15時間
あるBowdoin大学と、西海岸はカリフォルニア州ロサンゼルス から20時間の人件費(数回にわたって互いを訪問し合ったITス
にあるLoyola Marymount大学である。両大学のITスタッフた タッフの出張旅費などを含む)
であった。
ちは、すでにそれぞれのキャンパスに相手のディザスタ・リカバ また今後は、ブレード・サーバおよび1TBのネットワーク・ス
リ・サイトを構築しているほか、協調型ITベンチャーに取り組む トレージの導入、ソフトウェア・ライセンスの購入、新たなアプ
さまざまな組織にとって、指針となるようなプラクティスも実践 リケーションの導入など、1大学当たり約5万4,000ドルの追加
している。 費用を見込んでいる。
両大学のキャンパスには、ブレード・サーバと米国VMware 両大学の調査では、プロジェクトで構築したサイトと同レベ
のサーバ仮想化ソフトウェア「VMware ESX Server」
を基盤 ルのIT環境で商用のディザスタ・リカバリ・ホット・サイトを利用
とするほぼ同一のサイトが設置され、VPN
(Virtual Private した場合、1カ月当たり10万ドル、年間にして120万ドルのコス
Network)で 構 築されたセキュアなインターネット回 線 トがかかると試算している。
(30Mbps)
で接続されている。 なお、大学間の災害復旧コラボレーションはBowdoin/
各大学のIT部門は、相手が購入したハードウェアとソフトウェ Loyolaプロジェクトだけではない。例えば、同じマサチューセッ
アのホスティングおよび管理を互いに担当することになる。い ツ州内ではあるが、すでにBabson大学とFranklin W.Olin工
ずれかの大学で災害もしくは障害が発生すると、もう一方の大 科大学がオフサイト・ストレージとテープ・バックアップ機能を
学が相手のホット・サイトを始動させ、緊急時の規定に従って 共有している。
運営を行うようになっている。被災した大学のITスタッフたちは、
“違い”が生む補完効果
大陸の反対側に設置された自分たちの“データセンター”にアク
セスし、業務を継続することになる。 共同でプロジェクトを進める間柄でありながら、Bowdoin大
Bowdoin大とLoyola大の共同プロジェクトは、緊急事態用 とLoyola大のように、
「距離」だけでなく、
「感性」や「文化」の点
Webサイト、
「Microsoft Exchange Server」による電子メー においても著しくかけ離れている例は珍しい。
ルおよびDNSサーバの相互運用に向けた取り組みから始まっ Bowdoin大が、都心から離れたのどかな地域に立地する学
た。両大学は2007年秋にも新たな仮想サーバを追加する予定 生数1,700人ほどの比較的小さな大学であるのに対し、カリフォ
だが、この新サーバではNTI Groupの「Connect-ED」
といっ ルニアに位置するLoyola大は、さまざまな人種の学生約
たMicrosoftの「Active Directory」ベースのプログラムと、学 8,700人が通う大規模な大学だ。
習管理/給与管理/学生情報システムなどの業務アプリケー しかしながら、両大学のこうした“違い”は、障壁になるどこ
ションがサポートされることになる。 ろか互いに補完し合えるため、かえって強みになっているという。
「両大学のプロジェクトはディザスタ・リカバリ計画の好例だ」 そもそもこのプロジェクトのアイデアは、数年前の夏に開催さ
と称賛するのは、コロラド州ボルドーを拠点とするIT調査会社、 れた大 学向けのコンピューティング・コンファレンスで、
Enterprise Management Associatesのシニア・アナリスト、 Bowdoin大のCIO、ミッチ・デービス
(Mitch Davis)氏と、
マイケル・カープ(Michael Karp)氏だ。ストレージを専門とす Loyola大のCIO、エリン・グリフィン(Erin Griffin)氏が出会っ
る同氏は、かねてより小規模企業を対象とした協調型ディザス たことによって生まれたものである。
タ・リカバリの必要性を提唱している人物でもある。 そのときDavis氏は、ディザスタ・リカバリに関するセッショ
同氏は、
「プライバシーからデータの可用性、記録管理、その ンで、ディザスタ・リカバリ対策にかかる膨大なコストを削減で
他の詳細な部分まで、両大学が抱えるIT環境の課題はほぼ共 きる小規模機関による協調型プロジェクトの利点を力説したと
通している。また、ほとんど同一のインフラを所有しているため、 いう。
管理コストもほぼ同じくらいになる」と、今回のプロジェクトが その説に感銘を受けたGriffin氏は、Davis氏を呼び止め、す
理想的である理由を説明する。 ぐにそれを実践する方法について話し合った。だが、具体的に
プロジェクトが動き出したのは、それからしばらくたってからで
低コストでのディザスタ・リカバリが可能に
あった。
ある調査リポートでは、企業の約30%が災害や緊急事態に プロジェクトが本格化したのは、猛威をふるったハリケーン、
Storages
カトリーナによって災害復旧の重要性がより強く認識されたあと 会議の内容と決定事項は、あとで出席者以外も閲覧できるよう
のことだ。2006年夏には、プランニングと意思決定作業が開 に録画されている。
始され、基礎技術としてVMwareを採用することが決まり、続
厚い信頼関係がプロジェクトを成功へと導く
いて、DNSホスティングからVoIPなどの基本的なインフラ部分
の仕様が決定されていった。 Bowdoin大のDavis氏は、このプロジェクトを成功させるう
えで、
「密接な関係を築くことが不可欠だった」
と語る。良好な
お互いが知識を共有し作業をスムーズに
関係が構築できなければ、Loyola大やBowdoin大の担当者が
とはいえ、Bowdoin/Loyolaプロジェクトは、始動してから プロジェクトのスタート当初に抱きかけた「恐れ」や「将来的な不
これまで、順風満帆に進展してきたわけではない。 安」
を、完全に払拭することは不可能だったからだ。
Loyola大のシステム管理担当ディレクター、
ダン・クーク
(Dan
「ある日突然、
自分たちのキャンパスからさまざまなモノが消え、
Cooke)氏も、
「正直言ってプロジェクトに着手したころは、あま コントロールの利かない遠くの場所に移される」
(Davis氏)のだ
りにも作業量が膨大であることに、少々おじけづいた」
と当時を から、信頼関係の構築は不可欠である。
振り返る。しかしながら、Bowdoin大と共同で作業を進めるう もちろん、信頼関係が確立された今でも、インプリメンテー
ちに、
「そのプロジェクトが現実的で、実現可能なものに見えて ションのスピードや優先事項を巡って、双方で対立することも
きた」
(同氏)
という。 ある。
同 氏 をそう思 わせるに 至 った 背 景 には、Loyola大と
「あるとき、
(Loyola大の)Erin
(Griffin氏)
が、あるプロジェ
Bowdoin大とが、新製品とテクノロジーの導入を通じて、IT知 クトを優先的に片づけたいと言ってきたが、こちら
(Bowdoin大)
識をスムーズに共有できたという事実があった。 ではそれを次の段階、しかも低い優先順位に位置づけていたた
例えば、Bowdoin大のシステム・エンジニア、ティム・アント め、どちらの意見に従うかを徹底的に話し合った。このような
ノウィクズ(Tim Antonowicz)氏によれば、
「当大学では、当時 意見の対立は決して突発的に発生するわけではない。日ごろか
すでに70%以上の物理サーバに仮想化ソフトを導入していた らIT環境の最適化を互いに考えているからこそ起きるのだ」
が、彼ら
(Loyola大)
にはサーバ仮想化に関する知識や経験が (Davis氏)
まったくなかった」
という。 Davis氏とGriffin氏は、このプロジェクトをテンプレート化す
そこで、同氏はすぐにカリフォルニアに飛び、VMwareの導 ることで、高等教育機関のみならず、協調型プロジェクトを検
入を現地で支援することにした。その結果、Loyola大のスタッ 討する多様な機関が利用できるようにしたいと考えている。
フも、現在ではBowdoin大と同じくらいVMwareに精通するよ Grif fin氏は力説する。
「私たちは、多様なコラボレーティブ
うになった。このように、両大学では知識の共有化が図られて ITプロジェクトのためのメソドロジーを構築しているのだ。その
いったのである。 成果物には、ホット・サイトと同じくらいの価値が必ずあるはず
一方、Bowdoin大がLoyola大と同じインフラに移行するべ だ」
くExchange Serverに切り替えた際には、Loyola大のスタッ
フがBowdoin大 のスタッフのアドバイザー 役を務めた。
Bowdoin大のCIO、
Davis氏は、
「Loyola大のおかげで速やかに、 北米大陸を横断して構築されているBowdoin大学とLoyola Marymount大学のディザ
しかもスムーズに
(Exchangeに)切り替えることができた」
と述 スタ・リカバリ・サイト
べている。実際、Exchange Serverを立ち上げた際にヘルプ
デスクが受けた問い合わせは、8件だけだったという。
このように互いの知識や経験を共有していく中で、双方のマ
ネジャーやスタッフたちは、大陸をまたいでアドバイスを求め Loyola Marymount
合ったり、ブレーン・ストーミングやトラブル・シューティングな 大学
Bowdoin大学
どを当たり前のようにやるようになっていった。言ってみれば、
互いが互いのIT部門(ITスタッフ)
を「形式ばらないヘルプデス
ク」
と見なすようになっていったのである。 VPN
例えば、
「Loyola大のDan
(Cooke氏)
に『こんな問題、見た
ことある?』とインスタント・メッセージを送ると、彼から
『その
問題なら、こっちでは3週間前に起きたけど、こんな方法で解 一方の大学で災害が発生すると、
もう一方の大学でリカバリ・サイト
決したよ 』といった 返 事 が 返 ってくる 」
(Bowdoin大 の が本格的に稼働する
Antonowicz氏)
といったようなやりとりが行われてきたわけだ。
そのほか、毎週火曜日には双方のプロジェクト・チームがビ
デオ・コンファレンスを行い、プロジェクトの進捗状況や問題点
の確認、今後の計画について話し合っている。ちなみに、その
PLC
(Power Line Communication:電力線通信)
に対応した製品の提供が始まっ
か
てから約1年が過ぎた。コンシューマー向けの製品は徐々に浸透してきているが、企
な
業でのPLC導入はこれからが本番になると見られる。PLCの導入が期待されている
のはオフィス、工場、ホテルなどとされているが、通信速度や使い勝手の問題から、
「企
か
業では普及しないのでは?」
といった声も聞かれる。この定説が本当かどうかを、現行
のPLCの問題点や企業での導入メリットを挙げながら検証する。
三上 洋
っ
た
こ
設置環境によって性能が異なる
ベスト・エフォート型の技術
と
約1年前の2006年12月に、
「コンセントでインターネッ
を
ト」
のうたい文句で、PLCは華々しくデビューした。
か?
電源コンセントにつなぐだけでLANが使えるとあって
改
注目され、一時期は在庫切れになるほどの高い人気
となった。
め
PLCは、電源ラインをネットワークの配線として使
う通信技術である
(図1)
。PLCアダプタと呼ばれる機
器が、信号を短波帯の周波数
(3〜30MHz)
に変換し、
て
電源ラインに載せてデータをやり取りする。PLCアダ
プタはハブやルータなどのネットワーク機器に接続す
検
る親機と、そのクライアントとして使う子機の最低2台
が必要になる。通信速度は、PLC規格の1つ
(後述)
証
であるHD-PLC方式を例にとると、TCP速度で最大
50Mbps前後であるが、これは理想的な環境によるも
し
の。実際には30〜50Mbpsが最大で、環境によって
はそれ以下になり、場合によっては接続自体ができな
て
くなることもある。PLCは電源ラインの長さ、分岐な
どの配線状況、併用する機器などによって通信速度
み
が大きく異なる、ベスト・エフォート型の技術だという
ことを念頭に置いていただきたい。
よ
PLCには、
「HD-PLC」
「HomePlug」
「UPA」
の3種
類の規格があり、それぞれ別個の製品が国内で流通
している
(表1)
。現時点では、国内で最初のPLCアダ
う
プタ製品を出荷した松下電器産業のHD-PLCが最も
か
図1:PLCの基本
既存のネットワーク PC
PLCアダプタ PLCアダプタ
親機 コンセント コンセント 子機
ハブ
か?
PLCアダプタは 短波帯(3∼30MHz)
の 通信速度は電源ラインの
最低2台必要 信号を重ね合わせる 長さや環境に依存する
ルータ
ベスト・エフォート型の技術=環境によって通信速度は異なる
表1:日本国内のPLCには3つの規格がある
シェアが大きく、OEMも含めて各社がこの規格に対 的な問題となるのが、
「実際に試してみないと接続で
応したコンシューマー向け製品を販売している。また、 きるかどうか不明」
という点だろう。96ページの図2に、
HomePlugは、米国のIntellon製チップを使うもので、 現在までに挙げられている問題点をまとめた。
シャープや台湾のZyxelなどがこの規格の製品を販売 PLCでの接続距離は、分岐がない理想的な状況
している。HD-PLCと同様、こちらもコンシューマー であれば100〜150mほど
(HD-PLCの例)
と言われて
向け規格であり、家庭内での使用が想定されている。 いるが、そんな理想的な環境は実地ではありえない。
一方、3つ目のUPAは前の2規格と趣が異なる。同規 何らかの分岐があるはずで、場合によっては接続でき
格はスペインのDS2製チップを使うもので、どちらか ないこともある。
というと企業ネットワーク向けと言える。もともとが屋 図2の①のように、分岐がいくつもあれば、接続で
外のアクセス線でのサービスを目指した規格だけあっ きたとしても通信速度は大幅に低下する。また延長
て、リピータ
(中継)
機能を備え、オフィスやホテルなど 用のテーブルタップも速度低下の原因となる。各社と
の利用にも向いているのが特徴だ。UPA規格のPLC も
「PLCアダプタは原則としてコンセント直結」
となっ
アダプタは、企業向けとして、NECネッツエスアイや ているため、他の機器と併用している場合は速度が
住友電工などから販売されている。 かなり落ちるだろう。
また図2の②のように、分電盤を途中に挟むと、多
くの場合は接続できなくなるか大幅に速度が低下し
最大の問題は てしまう。同じ分電盤を使っていても、系統が異なる
「接続できるかどうか」 だけで大幅なダウンとなる。分電盤がどこにあるかビ
ル管理者に確かめる必要があるのが面倒だ
(UPA方
PLCにはいくつか問題点が存在するが、最も根源 式のリピータを使えば分電盤を挟んだ場合でも接続
図2:PLCの問題点
サーバへ
1
分岐 PLC子機
PLC親機
分電盤
他の機器の影響
2 液晶テレビ
ドライヤー
ケータイ充電器
PLC子機
電波の漏洩
3
4 PLC子機
①電源ラインの分岐や接続ルートによって通信速度がダウンする ③他の機器からのノイズにより通信速度がダウンしてしまう
②分電盤を越える接続は難しい(リピータが必要となる) ④電源ラインからアマチュア無線、電波天文観測などに電波障害を与える
可能)
。 のない単なる2本の電線にすぎない。そこに短波帯の
さらに③のように、他の機器が発するノイズの影響 信号を載せるため、周囲に電波が漏洩してしまい、
もある。例えば液晶テレビやコピー機、ドライヤーや充 短波ラジオ、アマチュア無線、電波天文観測などに
電器などが速度低下の原因となる。筆者が経験した 妨害を与える可能性がある。仮にPLCを導入した建
家庭内の例では、それまで20Mbps前後の速度が出て 物のそばにアマチュア無線家がいたとすれば、電波
いたのに、携帯電話の充電器を同じコンセントに接続 妨害の抗議を受けるかもしれない。
したところ、5Mbps前後までダウンしたこともあった。 この点については、アマチュア無線家などによる行
政訴訟が起こされており、東京高裁で控訴審が行わ
れているほか、PLCを認可した総務省電波審議会へ
PLCによる電波障害問題 の異議申し立ても出されている。
行政訴訟や異議申し立ても
このように、PLCは細かな環境の違いで、通信速 セキュリティの問題は
度が大幅に落ちるだけでなく、接続できなくなる場合 企業利用での懸念事項
も多い。あくまでもベスト・エフォート・サービスである
ため、実際に試してみないと接続できるかどうか、通 もう1つ、そもそも企業にとってPLCが必要なのか
信速度がどれだけ出るかわからないという問題点があ という問題もある。オフィスが普通に有線LANケー
る。有線LANのようにケーブルさえ引けば確実につ ブルを引き回せる構造であれば、わざわざ不安定な
ながるというものではなく、事前の実地テストが必須 PLCを使う必要はない。また、会議室などでは無線
となる。 LANを利用するケースが増えているため、あらためて
またPLCには電波障害の問題もある
(図2の④)
。 PLCを導入する必要がないという企業もあるだろう。
家庭内・企業内の電源ラインは、ほとんどがシールド オフィスではPLCのみでネットワークを構築するとい
か?
はとても簡単で、親機と子機の2台で同時にボタンを ています。現在、文部科学省によって全国の小中学
押すだけで接続できる。これはコンシューマー向けに 校へのインターネット導入が進められていますが、校
設定を簡単にしているためだが、オフィス利用では問 舎の多くが古いため、有線LANを引けない、もしく
題となる。PLCアダプタを無断で持ち込まれると、 はコストがかかり過ぎて工事できないという状況にあ
内部でネットワークを利用される可能性があるからだ。 ります。そこでPLCを使って、各教室でネットワーク
PLCアダプタ間での信号は、厳重な暗号化によって が利用できるようにするという事例が増えているので
保護されているが、物理的に内部に持ち込まれてしま す。また、ホテルでの利用も増えてきています」
えば情報漏洩につながる可能性もあるだろう。 同社の企業向けPLC製品は、PLCアダプタに
このように、PLCには接続自体の問題のほか、通 DS2製チップを採用したUPA方式である。UPAの
信速度、電波障害、ネットワーク管理などの問題が存 特徴であるリピータ機能が備わっていることで、通信
在する。それでは、PLCを使うメリットはいったいど 距離が長くなるほか、分岐があっても接続しやすくな
こにあるのだろうか。次節より探ってみることにしよう。 るというメリットがある。学校やホテルなど、建物中に
多く部屋があって、かつ電源ラインが長くなるような
環境では、
この方式のPLC製品が有効と言える
(図3)
。
部屋数の多い学校や 同様の例として、竹中工務店の社員寮
(神戸市)
で
社員寮などで導入が進む もPLCが導入されている。ここでは住友電工のPLC
アダプタ
(UPA方式)
が選ばれており、社員寮の90室
PLCが実際に、どのようなシーンで導入されてい にPLCネットワークが構築されている。分電盤を挟
るかについて、企業向けPLC製品を販売するNEC んではいるものの、リピータ機能のあるPLCアダプタ
図3:ホテルでのPLC導入例
客室 客室 客室
分電盤
電気室
電力線 リピータ
配電盤
PLC子機 PLC子機 PLC子機
分電盤 客室 客室 客室
分電盤
リピータ
PLC親機
PLC子機 PLC子機 PLC子機
インターネット
サーバ
リピータ
によって接続が可能になっている。 セス線としてBフレッツを使い、各会議室へはPLC
で接続してテレビ電話会議システムを構築していま
す」
と説明する。この例では、テレビ会議のために別
事例から見えてくる 個にネットワークを構築したわけだが、末端をPLCに
PLCの企業での使い道 したおかげで、コストを抑えながら高速接続が可能に
なったという。つまり、既存の回線に問題がある環境
NECネッツエスアイによれば、数はまだ少ないが、 で新たにネットワークを構築する場合には、接続の一
全国に支店を持つ大規模企業での導入事例もすでに 部にPLCを用いるのが有効と言えそうだ。
存在する。同社のある顧客企業がそうで、その企業 さらに、全国で展示即売会を行う企業での導入事
には社内網が存在するが、回線が細いためにテレビ 例もある。この企業では各地の会場を巡って展示即
電話会議システムの導入が難しかったという。そこで 売を行っているため、現地に行かないとネットワーク
PLCを活用し、社内網とは別にテレビ電話会議シス が利用できるかどうかがわからないという問題があっ
テム
(写真1)
を導入した。 た。そこで同企業ではPLCアダプタを携行し、現地
NECネッツエスアイ企画部コーポレートコミュニ でPOS
(Point Of Sales)
などの売上げ管理に利用し
ケーション室の中澤弘巳氏は、
「この企業では、アク ているそうだ。
このように、毎回異なる場所で業務を行う企業な
写真1:PLCを使ったテレビ会議システムの例
(下はPLCモデムの拡大写真) どでは、コンセントさえあればネットワーク環境を構築
できるPLCが重要な役割を担うことになるかもしれな
い。ともかく、イベントや展示などが多い部署では、
PLCのセットを常に持っておくと便利だろう。
LAN導入が難しい場所で
左は、NECネッツエスアイの
PLCを使ったテレビ電話会議
PLCは有効な手段に
システムの例。テレビの下側に
PLCモデムが設置されている。
同社のある顧客企業では、既 現在では、コンビニエンス・ストアでのPLCの導入
存の社内網が細いためにテレ
ビ電話会議システムを導入す 事例も出てきている。コンビニではバックヤードの店
ることができなかった。そこで
BフレッツとPLCを使った独自 長室と、店舗のレジでの管理が必要となる。古い店舗
のネットワークを構築してテレ
ビ電話会議システムを導入し で有線LANがない場合には無線LANを使うことにな
たという
るが、壁を隔てるため接続できないシーンも多い。
NECネッツエスアイによれば、店長室と店舗をPLC
で接続する例が増えてきているという。工事なしで接
続できるPLCが、ネットワーク構築にコストをかける
余裕のない企業にも有効であることを示す事例である。
また、有線LANを引きにくい古い建物やロビーなど
でPLCを利用するのも、この技術のよい活用方法で
ある。ロビーでの事例としては、NECネッツエスアイ
自身が本社で利用している。同社の本社ロビーは大理
石のフロアなので、有線LANを敷設することができず、
か?
of Service)
設定で優先制御・帯域制限が行え、利用
するアプリケーションの種類に応じて制御できる。ま
企業向け製品なら、十分なレベルの た、
子機間通信を遮断できる同社独自の機能が備わっ
セキュリティ機能を備える ており、プライバシーが要求されるホテルや研修設備
などでの利用にも向くとしている。
ここまでに紹介した事例からわかるように、ネット よって、当然のことではあるが、企業でPLCを導
ワーク構築コストを抑える目的や、通常の有線LAN 入するのであれば、コンシューマー向け製品ではなく、
の敷設が困難な場合、または一時的なネットワーク利 企業向けのセキュリティ/管理機能が備わったUPA
用の用途であれば、PLCの利用価値は高く、企業に 方式のPLC製品を選ぶべきである。UPA方式を選
メリットをもたらす。ただし、企業ネットワークで使う んでおけば、
リピータ機能によって大規模なネットワー
以上、セキュリティやネットワーク管理機能がしっか クでの利用も可能になる。
りしているかどうかを確認する必要がある。
前述したように、PLCの3規格のうち、HD-PLC
とHomePlugはコンシューマー向けであり、ネットワー もう1つの選択肢
ク管理機能は貧弱だ。また、ボタン1つで接続できて 「テレビ同軸ケーブル方式」
しまうため、セキュリティ面でも不安が残る。
その点、DS2チップ/ UPA方式のPLCアダプタ さて、PLCのように電源ラインを利用するタイプで
を採用した企業向け製品であれば、セキュリティ/ はなく、テレビ・アンテナの同軸ケーブルを利用する
ネットワーク管理機能は十分なレベルに達している。 ネットワーク・モデムも開発されているのはご存じだろ
今回、取材に協力してくれたNECネッツエスアイ うか
(図4)
。技術的な仕組みはPLCと同じで、短波
図4:高速同軸ケーブル・モデムのイメージ図
テレビ共聴アンテナ
コンピュータ室 テレビ電波
インターネット 混合器
OFDM信号
スイッチ 2MHz∼30MHz
ルータ HE
(親機)
テレビ
居室 居室
混合器
LPF
PC CPE(子機)
居室
PC CPE(子機)
*資料:NECネッツエスアイ
帯の周波数を重ね合わせるものである。 事自体は難しくない。PLCと同様、有線LANを引き
このテレビ同軸ケーブル方式の優位性は、同軸ケー 回す工事よりもコストを抑えることができるだろう。
ブルによってシールドされているため電波の漏洩が起 PLCに不安がある場合には、同軸ケーブル・モデム
きにくく、減衰を抑えられる点にある。このことは結 が有効な手段となりそうだ。
果として、通信速度の向上につながる。また、PLC
* * *
とは異なり、総務省の型式認定が不要である点は、
提供側にとってメリットとなる。 以上、
見てきたように、
いくつか問題点があるものの、
具体的な通信速度は、PLCなら10Mbps程度を想 PLCは企業や学校のさまざまな場所/用途で実際に
定している場所で、テレビ同軸を使ったシステムなら 活用され始めている。
50Mbps程度を確保することも可能になるという。 PLCが、すでにLANが整った環境での利用や恒
NECネッツエスアイによると、
「減衰が少なく高速 常的な利用には向かないのは自明だが、工事を行うこ
な同軸ケーブル方式は、PLCで指摘されているいく となくネットワークを構築したい、ないしは、そうせざ
つかの問題点を解消できる技術です。例えば、テナ るをえないような場合には有効である。その通信速度
ント・ビルや分譲マンションでは、異なる規格のPLC や電波障害に不安があるなら、テレビ同軸ケーブル
が使われるケースも考えられますが、異なる規格の 方式という選択肢もある。
PLCが混在すると干渉を起こし、接続しにくくなると PLCを導入するにあたっては、ネットワーク管理
いう問題が生じます。同軸ケーブル・モデムであれば 者みずからが製品を選び、セキュリティや管理機能を
競合がなく、マンションやビル全体でのネットワーク チェックするべきである。UPA方式が有利であること
構築が可能になるのです」
という。 は上述したとおりだが、コンシューマー向け製品に比
同軸ケーブル方式の場合、途中にブースタが存在 べれば、当然、より多くのコストがかかることは覚悟
する場合にはバイパスを入れる必要があるものの、工 しておく必要がある。
条件が合致した場合、企業でのPLCの利用は有効であり、
結論
特定の用途/環境では普及する可能性がある。
●イベントなどで一時的にLAN導入が必要な企業、コストの問題や建物の構造的な
問題などでLAN導入が難しい企業、既存の回線に問題がある企業などに、PLC
は有効な選択肢の1つとなる。
嘘
●業務上、さまざまな地域でネットワークに接続する必要がある企業や、ホテルのよ
うに部屋数の多い建物にネットワークを引く必要のある企業などにPLCは有効で
あり、すでに導入例も多い。
●PLCにはいくつかの問題点があるが、DS2チップを搭載したUPA方式の企業向
けPLCアダプタ製品を選択することで、企業においても十分に活用できる。
よって、
「PLC
(電力線通信)
、
企業では普及しない」
……というのは
100 Computerworld February 2008
IT KEYWORD
35
▼
MAID
I T
K E Y W O R D
HDDのディスク回転を制御し
低消費電力のエコ・ストレージを実現
3 5
Computerworld 編集部
MAIDは、ハードディスク・ドライブ
(HDD)
におけ は少数のHDDをRAIDで束ね、複数のRAIDグルー
るディスク回転のオン/オフを細かく制御することで、 プを形成している。そのうえで、RAIDグループごと
消費電力を抑えたストレージを実現する技術だ。頻 にHDDのオン/オフを細かく制御している。
繁かつ高速アクセスが求められるHDDと、低消費電 大容量のストレージ製品は、すべてのディスクを常
力だがアクセス速度が遅いテープ・ドライブとのギャッ 時回転させることで、アクセスを待機している状態を
プを埋める技術として登場した。 保っている。別の言い方をすれば、アクセスがさほど
一般に、HDDへの全データ・アクセスは、全ディ ないディスクを無駄に回転させているわけだ。MAID
スク容量の20%程度の物理領域に対して頻繁に発生 技術のメリットは、アクセスがあったディスクのみを回
している。仮に利用しているHDDが100台あるとする 転させるため、他のディスクのむだな回転を抑えてス
と、そのうち20台に対してアクセスが頻発し、残りの トレージの消費電力を低減することが可能な点である。
80台はアクセス頻度が低いということになる。 MAID技術のメリットはストレージの省電力化だけ
MAIDはデータ・アクセスにおけるこの
“偏り”
に着目 ではない。ディスクの回転が抑制されると、HDDの
した技術で、基本的にすべてのHDDのディスク回転 MTBF
( 平均故障間隔)
を伸ばすことにもつながる。
を止めておき、
アクセスがあった場合にのみ対象のディ すなわち、ディスクの製品寿命を延ばすことができる
スクを回転させる。これを実現するために、MAIDで わけである。このことは、長期的な視点で見れば、運
用コストの削減にも寄与してくる。
MAID技術を採用したストレージと通常のストレージとの違い
MAIDはストレージにおけるグリーンITとしてメイン・ストリームになりつつある
しかし、MAIDにもデメリットはあ
MAID採用ストレージ 通常のストレージ
る。そもそもHDDは、ディスクの回
転が安定しないとデータの読み書き
ができない。そのため、MAIDを使
用すると、いったん停止したディス
クが安定稼働するまでに10秒ほどの
RAIDグループA RAIDグループD
待ち時間が発生してしまう。
グリーンITに対する意識の高まり
から、MAID技術を採用したエコ・
RAIDグループB RAIDグループE ストレージ製品が大手ベンダーから
続々と提供され出している。しかし、
上述したデメリットにより、各社の
MAID採用ストレージ製品はバック
RAIDグループC RAIDグループF
アップ用として提案されているもの
電源がオン状態のHDD
が多い。
まれが主流を占めるブログスフィアの人たちとはかなり ちの限界を感じてしまった。
違う層と言える。 濱野氏の話とは対照的に、地域情報化での活動家
たちの話は、いたって真面目なものであった。地域の
その辺りを理解したうえで、私はディスカッションに 老人や身体障害者をITによってどう支援するのかといっ
臨んだはずだった。しかし議事の途中から、かなり強い たテーマが真剣に語られるのだが、インターネットの進
違和感を感じるようになった。きっかけは、
同じくゲスト・ 化の波に乗り遅れている感は否めなかった。
スピーカーとして招かれていた社会学者の濱野智史氏 インターネットの最先端に触れ、そこから情報化を
が、来場者に向かって
「ニコニコ動画」
の話をしたこと 語る濱野氏と、そうしたトレンドとは無関係に、従来型
だった。濱野氏は、WIRED VISIONで連載中の
「情報 のやり方で真面目に地域情報化に取り組んできた活動
環境研究ノート」
が好評で、気鋭の研究者として注目さ 家たち――両者の間には大きなデバイドがあって、シ
「デバイド」
れている存在だ。 ンポジウムに同席していても、そこには何ら共有できる
その彼がニコニコ動画や
「初音ミク」
、それらをベース 基盤が存在しないように見えてしまうのだ。
に次々と生まれてきているCGM
(Consumer Generat そんな中、唯一の救いだったのは、この分野のオピ
ed Media)
の最前線を語るのだから面白くないはずはな ニオン・リーダーとして知られ、齢70歳を超えている公
いのだが、会場からはなぜか笑いが漏れる。話の面白 文俊平氏が、盛んにニコニコ動画や初音ミクに言及し
さに笑いが広がるのならもちろんよいのだが、どうも会 ていたことだったかもしれない。
PROFILE
ささき・としなお。ジャーナリスト。1961年
兵庫県生まれ。毎日新聞社記者として警視
庁捜査一課、遊軍などを担当し、殺人事件
や海外テロ、コンピュータ犯罪などを取材
する。その後、アスキーを経て、2003年2
月にフリー・ジャーナリストとして独立。以降、
さまざまなメディアでIT業界の表と裏を追う
リポートを展開。『ライブドア資本論』、
『グー
グル——既存のビジネスを破壊する』 など著
書多数。
しかし、人間の欲というものは際限が いのコストで購入でき、リッピングの手
ないもので、DVDのある生活にどっぷり浸かってみる Entry
間がないぶん便利です
(ただし、現状では字幕が入っ
と、今まで感じていなかった不満が出てきます。 29 ていないので少し損した気分になりますが)
。
ディスク・メディアはもういらない
DVDの単価が下がり、コンテンツが充実してくるに
つれ、気軽にどんどん買いたいと思う一方で、どんど さて、これは最近、まさにわれわれが音楽CDで体
ん買うと収納に困るので何とかしたい、と思うように 験したことでもあります。個人的にもCDは買ってもそ
なってきたのです。また、ディスクをいちいち入れ替 のままで聴くことはまずなく、iTunesでリッピングして
える必要があるのも面倒くさく感じるようになってきま PCやiPod、Apple TVで再生して楽しんでいます。
した。 その後、無用の長物となったCDは、引っ越しのたび
に捨てられています。
そこで、
自分が購入した映像コンテンツがハードディ
スクに一元的に格納されていると、収納場所もとらな こうしてみると、巷ではBlu-rayだのHD-DVDだの
いし、コンテンツのカタログから目的のものを瞬時に見 という規格争いが起きているらしいですが、ハイデフ
つけ出して再生できるようになるという、理想的な環 のテレビを所有していてもDVDの画質で十分すぎると
境になります。 感じる私のような人間にとっては、むしろDVDが最後
こうした環境を実現するには、例えばDVDを字幕 のディスク・メディアで、未来はメディアレスにあると
ごとリッピングしてH.264などでエンコーディングし直 いう気がしてなりません。
すなどの作業が必要になります
(現行の著作権法では、
注:「アレコレ動画編集 -DVDリッピングは違法にあらず-」
本人が所有しているDVDの私的複製に限ってリッピ (http://www.anizon.net/movie/edit/ripping.html)
PROFILE
えじま・けんたろう。インフォテリア米国法
人代表/ XMLコンソーシアム・エバンジェ
リスト。京都大学工学部を卒業後、日本オ
ラクルを経て、2000年インフォテリア入社。
2005年より同社の米国法人立ち上げの
ため渡米し、2006年、最初の成果となる
Web2.0サービス
「Lingr
(リンガー)
」を発表。
1975年香川県生まれ。
アプローチです。整合性の要件が最優先である場合 29 による価値を迅速に実現することができます。
には、データを物理的に集約しなければ必ず問題が生
じますので、タイトなアプローチは必然的と言えます。 このように、ルースなアプローチが企業内で普及し
一方、コンテンツ
(非定型データ)
の場合には、この 始めているということは、情報システムに求められる
であることの価値
ような物理的集約が必ずしも有利とは限りません。企 要件の重要性が、完全性よりも柔軟性へとシフトして
業内に分散したあらゆるコンテンツを一箇所に集約す きていることが大きいでしょう。特定の処理を確実に
るのは現実的に困難です。
このような場合には、
サーチ・ 実行することも重要ですが、環境の変化に迅速に対
エンジンを利用したルース型、すなわち、疎結合型の 応することがより重要になってきているということで
アプローチが有効なことが多いでしょう。コンテンツ す。過去と比べて、
「緩やかであること」
「ルースである
をファイル・サーバやドキュメント管理システムなどの こと」
の価値は大きくなっていると言えます。
元の場所に置いたままで、サーチ・エンジンによりイン しかし、
長い間情報システムに携わってきた方にとっ
デックスを作成することで、ユーザーは関連する情報 ては、
「タイト/密結合であることは
“善”
で、ルース/
を一括検索し、高速にアクセスすることができるよう 疎結合であることは
“悪”
である」
というような固定観念
になります。 が残っているのではないでしょうか。このような考え方
は大きな機会損失につながりかねないと思います。よ
一方が善でもう一方が悪ではない い意味でのルースさが求められるアプリケーションも
当然ですが、このようなルース型では、タイト型で 多数存在することを忘れてはならないでしょう。
PROFILE
くりはら・きよし。テックバイザージェ
イピー(TVJP)
代表取締役。弁理士の
顔も持つITアナリスト/コンサルタント。
東京大学工学部卒業、米国マサチュー
セッツ工科大学計算機科学科修士課程
修了。日本IBMを経て、1996年、ガー
トナージャパンに入社。同社でリサーチ・
バイスプレジデントを務め、2005年6
月より独立。東京都生まれ。