2009年4月26日日曜日

クラウドセキュリティ整備を目指すアライアンス- CSA

3月末、クラウドコンピューティングのセキュリティに関するベストプラクティス整備を目指すCloud Security Alliance(CSA)が発足した。ファンディングメンバーは暗号化ソリューションのPGP、オンデマンド脆弱性監視サービスQualys、SaaSセキュリティZscalerの3社。共にクラウドコンピューティングのセキュリティに関するスタートアップである。これら3社にeBayとオランダの金融機関INGなどが参加し、さらに多くの企業が呼応して、ユーザーから見た問題整理に取り組み始めた。

そしてサンフランシスコで開催されたRSA Conference 2009(4/20-24)で正式に組織として活動を開始、83頁からなるセキュリティ・ガイダンスを公表した。発表されたレポートはファンディングメンバーに加えて、大手ITベンダーのHPやSun、コンサルティング会社、法律事務所、eBay、Visa、McAfeeなど17名の執筆によるものだ。また、産業界からアドバイザーとしてeBay、Intuit、Salesforce、DuPontなど8社、レビューアには大手データセンターのRackspaceやSAVVIS、地方銀行、RSA Security、BT、Qualcomm、Salesforce、ノースロップグラマンなどが参加支援している。

さて、レポートの内容は、大きく①クラウドのアーキテクチャー、②クラウドのガバナンス、③クラウドの運用から構成されており、対象となるクラウドは、パブリック/プライベート/ハイブリッドのすべてをカバーしている。

まず、①クラウド・アーキテクチャーについては、クラウドのソフトウェア構成の全てにセキュリティが関係するとし、そのためにSaaS(アプリケーション)やPaaS(プラットフォーム)、IaaS(インフラ)などを分析して、Cloud Reference Model(参照モデル)を作成。この参照モデルを前提に最上位のアプリケーションから最下位の物理層までを7つ(Application、Information、Management、Network、Trusted Computing、Compute & Storage、Phisical)に区分、各々のセキュリティのあり方を述べている。これら7つには実際に多くのベンダーが存在しており、それらについても大まかな分析がされている。これらから、ユーザー企業はクラウドの導入にあたって、システム構成のどの部分に、どういう問題があって、どのような機能/ベンダーが必要なのかを理解することができる。

次に、②クラウドのガバナンスについては、リスク管理、法律、電子開示(Electronic Discovery)、コンプライアンスと監査、ライフサイクル管理、携帯性(Portability)と相互互換性(Interoperability)の6つにわけ、各々の問題概要(Problem Statement)を述べ、それらの実際の課題(Issues)を列挙し、最後に指針を纏めている。

最後の ③クラウドの運用についても、ビジネス継続(Business Continuity)、災害対策(Disaster Recovery)、データセンター運用、事故の対応/通知/復旧、アプリケーションセキュリティ、暗号化と鍵管理、ID管理、ストレージ、仮想化の9つに区分、問題概要をまとめ、同様に課題を整理し、それらのガイダンスを示している。

この中で特にアプリケーションのセキュリティに関して、IaaSとPaaSでは異なると指摘。IaaSは比較的オンプレミスに近い環境として捉えることができるが、PaaSはインフラレイヤーのOSや場合によってはミドルウェアがプロバイダー提供のものであることから、それらのセキュリティはプロバイダーに委ねられる。つまりSLA(Service Level Agreement)で保証されるべきものだと提言する。
そしてSDLC(Software Development Life Cycle)やシステム開発も同様だという。つまり、PaaSの場合はプロバイダーが提供するプラットフォーム・ソフトウェアを前提としたデザインや開発となる。それ故、ソフトウェアの長期間の使用に当たっては、PaaSを前提としたライフサイクルが重要となる。例えば、古くなったOSやミドルウェアのバージョンをプロバイダーがいつまで保証するのか、現状では不明瞭であり、これらについてもPaaSプロバイダーは明確な説明責任がある。

以上、大雑把に見てきたようにCSAのガイダンスは初版ながら、非常に丁寧に纏められている。特に、ユーザーの視点に立って、乱立するベンダーへの提言という立ち位置は大いに評価される。しかも、執筆者の多くがスタートアップであったり、ユーザー企業であることも、新しい時代の動きである。

共にCSAの共同創設者で、CSAの日常を切り盛りするExecutive DirectorのJim Reavis氏(セキュリティコンサルテーション会社経営)とCSA会長のDave Cullinane氏(eBay VP、Global Information Security)の努力、そして協力している多くの人たちの結果がこのようなガイダンスを作り出したことは賞賛に値する。CSAの今後の活躍に期待したい。

2009年4月23日木曜日

Sunのオープン戦略はOracle買収でどうなるか...

SunがOracleに買われることになった。
何とも複雑な気持ちである。
IBMとの交渉については、前々回(3/31)、東海岸のEstablishmentと生粋のSilicon Valleyカンパニーでは、企業文化が違い過ぎ、統合の障害になるのではないかという危惧を述べた。

そのIBMとの交渉の裏側で、個人的には期待していたCiscoとの交渉、さらにHPとOracleの共同買収という噂もあった。Ciscoの場合はこれまでのネットワーク機器にサーバーを投入してUnified Computingを宣言したばかりで現実味があった。共同買収では、Sunのハードウェア部門をHPが買い、ソフトウェア部門はOracleが買うという分割案だったが、HPは昨年5月、EDSを$13।9Bで買収したばかりで余裕がなく、結果は、Oracleが単独でSunを買収($7।4B)することとなった。

しかしながらこの買収金額は、Sunの株価が安いからとは言え、いかにも低い。
Oracleが2003年に買ったPeopleSoftは$8.4B、2005年のSiebelは$5.85B、2007年のBEA Systemsは$8.5Bであり、IBMの提示額は$6.5B~$7.0Bだった。米経済が大不況の最中であり、かつSunの経営は赤字だが、この不況の始まった昨年夏までは、そこそこの実績をあげ、オープン戦略が功を奏してきたかに見えていた。

Sunとはどんな会社だったのか。
Sunのファウンダーは4人、Sunの起業を持ちかけたVinod Khosla氏とScott McNerly氏(マネージメント担当)、そしてAndy Bechtolsheim氏(ハードウェア担当)の3人はスタンフォード大、BSDを開発したBill Joy氏(ソフトウェア担当)はUCバークレイー、全員がSilicon Valley人間である。
SunはもっともSilicon Valleyらしい企業文化を持ち、多くのスタートアップはVCから資金を得て、彼らのようになりたいと願っていた。ここSilicon Valleyでは、ネクタイ姿の経営幹部よりもGパンにTシャツのエンジニアを重要視する風潮が強い。ビジネスの源泉となる製品は、エンジニアによる革新的なアイデアから生まれ、VCはその技術に資金を出すからだ。経営者はその製品を市場に送り出す役目を果たす。極端に言えば、経営者やマーケティン グの人たちは会社にとって必要な構成要素に過ぎず、財産はエンジニアである。

過去、90年代後半からITバブルが弾けるまでのSunはその名のように輝いていた。
Sunのビジネスは昔も今も高性能なハードウェアを販売することである。そのためのSolarisであり、Javaであった。R&Dにも力を要れ、多くのJava製品を開発したが、x86がCPUの主流となり、OSもLinuxやWindows Serverが登場して、バブル後は高価なSunの機種は苦戦し始めた。長い間CEOだったScott McNealy氏は当時を振り返り、開発したx86用のSolarisをもっと積極的に進めるべきだったと述懐する。その後、2004年にCOO、2006年にCEOとなったJonathan Schwartz氏は果敢にオープン戦略に舵を切った。


さて、Oracleが今後どう動くか考えてみよう。
OracleもSilicon Valleyの企業だが、ワンマン経営のLarry Ellison氏が率いる巨大な中小企業のようである。開放的なSunの文化とは大分違う。
全ては彼の意思決定次第だ。今度の場合は、OracleにはデータベースやERP/CRMなどのミドルウェアとその上位のアプリケーションがあり、Sunからはシステムとストレージ、そしてインフラとなるJava/Solarisなどが提供されるので、大いに補完関係にある。勿論、BEAのWebLogicやOracle FusionなどとJava EE/GlassFishは競合するが、これらミドルウェアは既存ユーザー層が異なり、使い分けが出来るだろう。

ベストシナリオは、Sunのシステム機器とSolarisを使って、その上でOracleデータベースやERP/CRMを搭載し、最大効率にチューンしたシステムを提供することだ。これが上手く行けばユーザーにとっても両社にとっても好ましい状況が生まれる。特にSunのUltraSPARC(Niagara)のT1(最大8コア32スレッド)/T2(8コア64スレッド)はデータベース処理には最適なプロセッサーだ。

Oracleは昨年秋のOracle OpenWorldでHPと組んで
Oracle Exsadata Storage Serverを発表した。このマシンはIntel搭載機にLinuxが乗り、その上にOracle 11gとパラレル処理機能が組み合わされている。目的は構築に時間と手間のかかるデータウェアハウス用だ。今度のSun買収で、このような試みはもっと拡大するだろう。例えば2005年にSunが買収したStorageTeKは、現在オープンストレージとしてユニークな製品となっている。通常のストレージシステムでは専用OSかBSDなどのOSと専用のストレージソフトウェアが対になり、これに専用のハードウェアコントローラーとディスクドライブが要る。ユーザー企業はこれら全てを特定ベンダーから指定されたものを購入する以外に方法がない。これに対し、Sunのオープンストレージ製品はCPUがx86、ソフトウェアは全てオープンソースのOpenSolarisと128ビットアドレッシングのZFSなどから構成されている。ストレージシステムも今やコモディティ製品の組み合わせだ。極論すると、Sunのオープンストレージは、通常のx86サーバー機とJBOD (Jast a Bunch of Disks)仕様のディスクトレイ、それにSunからのオープンソースで構成されている。

OracleがHPと始めた試みもSunのオープンストレージなら、より容易に、廉価な製品として提供できる。ただ、このような シナリオ遂行のためにはシステムサービスが欠かせない。HPの場合はEDSを買ったが、OracleとSunの場合は、それをどうやって作り出すかがポイントである。

この買収には、幾つか心配もある。
特にSunが進めていたオープン戦略について、Ellison氏は消極的だ。Sunが積極的にコミュニティと係わってきたOpenSolarisやGlassFish、OpenESBなど一連のJava製品、MySQL、そしてOpenOfficeなどがどのように扱われるのか、事態によっては大変なことになる。Ellison氏がこれまでのようにオープンソースに否定的で、これらの努力を縮小させてしまうのか、それともSunの戦略を継承して行くのかは予断を許さない。例を挙げれば、Ellison氏は2005年、MySQLの買収を仕掛けて失敗している。この時の大方の見方はMySQLつぶしだったと分析されている。

クラウドコンピューティングに関しても、Xenを持ち出すまでも無く、オープンソースとの関係は深い。その理解の上でデベロッパーやコミュニティーとの関係構築が成功のポイントとなる。これはAmazonやGoogleを見れば一目瞭然のことだ。クラウドについて、Sunは3月18日、Sunのデベロッパー向けカンファレンスCommunityOneでOpen Cloud Platformの概要を発表、次は6月始めのJavaOneで詳細が説明される手筈だ。対して、Oracleは昨年秋、Amazon EC2に幾つかの製品を対応させた。つまり、Sunがクラウドに全面的に参入、OracleはAmazonで様子見の対応である。

Sunのオープン戦略がこれまで通りとは思わない。
どの程度、維持されるのか、世界中のデベロッパーが見守っている。
噂では、Sunの全従業員33,000人の1/3がレイオフされるらしい。通常、買収が決まり、数ヶ月かけて経営移行が完了すると買収された側の役員は辞めるのが慣例だ。ただ、今度の場合は、Oracleにハードウェアビジネスを解る人材がいない。Ellison氏が外部から連れてくるか、はたまた、Scott McNealy氏かJonathon Schwartz氏のどちらかを残すケースもありうる。Schwartz氏は、もともとSunに買われた小さな会社のCEOで、買収後もそのままSunに残り、頭角を現して、最後にはCEOとなった。McNealy氏はEllison氏とは比較的仲がよい。どちらかが残れば、Sunのオープン戦略は生き延びる可能性があるのだが...

2009年4月6日月曜日

クラウド標準化に思う!

いつものことのように標準化が動き出した。
Amazonが先行し、GoGridやSkyTapなど新興勢力が市場をリードする。
これらクラウドコンピューティングのアーリーアダプターとなったのはデベロッパーだ。
ベンダーロックインを嫌い、オープンソースなどを中心に活動する彼らが新しいコンピューティングの在り方に共鳴し、それが今日の普及の原動力となった。

これまで受身にまわっていた大手ベンダーからは、昨年11月にMicrosoft Azure、今年2月にはIBMのDynamic Infrastructure、3月にはSun Open Cloud Platformがやっと登場。しかしこれらは、Azureが.NETのホスティング、IBMはOn-Demandの焼き直し、Sunは一部が不人気だったNetwork.comの後継であり、必ずしも画期的なものではない。そしてすぐに標準化が必要だと言い出した。

◆ユーザー不在のopen cloud manifesto

市場を作り出してきたのは新興勢力と呼応したデベロッパーたちだ。
大手ベンダーはこの波に後乗りしてきたに過ぎず、まだ実績もない。そしていつもながらの囲い込みの匂いのする標準化である。IBMなどの提唱ではじまったopen cloud manifestoにはCiscoや買収交渉中のSun、Red Hat、Novell、VMwareなど、それに弱小ベンダーが参加し150社以上となったが、肝心のAmazonやSalesforce、Googleの名前もなく、Microsoftも参加していない。

Microsoftによれば十分な議論もなく、マニフェストの原案が提示されてサインを求められたという。たった6頁のマニフェストは殆ど中身がなく、①クラウドとは何か、何故、重要なのか、②採用にあたっての課題と障害、③オープンクラウドの目標についての3大項目にありきたりの幾つかの小項目が挙がっているだけだ。これでは、それがどれだけ、今、重要で、どうしたいのかも解らない。表面的には、ベンダーは一緒になって、ユーザーの声に耳を傾けようという問いかけだ。

しかしどう考えても、これまでの先発組みの努力は棚上げにし、これからもう一度ユーザー本位に検討して方針を決め、足並みを揃えて行こうではないかと聞こえる。即ち、この分野で実績のないIBMなどの後発組みが弱小のプロバイダーやベンダーを誘って、新たな標準化という脇組みを作り、ユーザーの意見を代弁しているかのように見せるいつものやり方である。

Eclipseの時もそうだった。
Sunの態度も良くなかったがNetBeans対抗として、IBMは人と資金を注ぎ込んでベンダーを勧誘し、Eclipseを組織化した。結果は大成功だった。ただ、このIDE整備の争いは、それを利用するデベロッパーのものではなく、ベンダーの縄張り争いだったことは明白である。

今度の動きの中にSunが巻き込まれているのは、現在の状況から仕方が無いのか、それとも本心なのかは解らない。

クラウドはベンダーのものではない。
それを使うデベロッパーやユーザー企業のものである。
その視点で考えれば、オープンクラウドを議論するのはベンダーやプロバイダーではなく、デベロッパーやユーザーコミュニティーであるべきだ。ベンダーをその結果に耳を傾ければよい。

◆大学が中心のOpen Cloud Consortium(OOC)

OCCは、イリノイ大学シカゴ校が発起人となり、ジョンホプキンス大学、シカゴ大学、ノースウェスタン大学、MITリンカーンラボ、カリフォルニア通信情報技術研究所(Calit2)が参加、民間からはCiscoとYahoo!が機器やソフトウェア支援のために加盟している。


OCCの目標は、クラウド間の相互運用に関する標準化とフレームワーク作りである。
まさにマニフェストでいうところのオープンクラウドだ。
このための作業部会として、①標準化と相互互換性、②情報共有とセキュリティ、③広域展開クラウドとネットワークプロトコルのインパクト、④Open Cloud Testbedの運用などのWorking Groupをスタート、中でもTestbedは昨年6月に運用を始めた。

現在のフェーズ1では当初のボルティモア(ジョンホプキンス大学)とラホヤ(Calit2)の2点間からシカゴに2ヶ所、合計4ヶ所にセンターを拡大した。個々のセンターには30ノード(各ノードは4コア)のラックサーバーがあり、Cisco寄贈のネットワーク機器によって10Gb/sで接続されている。今年6月から始まるフェーズ2ではMITやカーネギーメロン大学なども参加して合計8センターとなる予定だ。現在、このTestbedでは分散コンピューティング環境用に開発されたApache HadoopやSector-SphereEucalyptusが使用可能となっており、各種の実験が行われている。特に広域分散センター間の伝送効率は複数クラウドを使い分ける際に重要だが、Testbedの実験では、TCPのHadoopに対し、UDTを採用したSector-Sphereが2倍高速であるという結果がでた。

またEucalyptusはUCサンタバーバラを中心に活動が行われているGUIによるクラウドコンフィギュレーターで、類似なものにはRightScaleがある。現在のバージョンではAmazon EC2向けだが、今後は他のプロバイダーにもオープンソースベースで拡大を予定、SunのOpen Cloud Platfornでもパートナー候補となっていた。OCCのこのようなデータセンターを使った活動はデベロッパーコミュニティではなかなか難しい。ユーザー企業やデベロッパーに代わってのこのような活動は、ベンダー中心のopen cloud manifestoとは大きく思考が異なり、今後の活躍が楽しみである。

大学関連では今年1月から始まったUC BerkeleyのAbove the Cloudもある。
こちらはUC BerkeleyのRAD LabがExecutive Summaryとして問題を提起し、広く、色々な人たちと議論をしながらコンセンサスや解決を図ろうという試みである。

また、公的機関としては、国際電気通信連合(ITU)からも
Distributed Computing: Utilities, Grids &Cloudsと題するレポートが出ており、今後の流れに参考となだろう。

このような大学や研究機関の活動こそがユーザーには、もっともメリットがある。

Cloud Computing Interoperability Forum(CCIF)

もうひとつ団体がある。
Enomalyの創業者Reuven Cohen氏が始めたクラウドの互換性に関する組織Cloud Computing Interoperability Forumだ。このフォーラムは、Enomalyが弱小であることもあって、ベンダーにとらわれずに自由に意見交換することが目的だ。その氏は今回のマニフェストにも誘われ、起草メンバーにもなったが最終的にはOpen Cloud Manifestoへの参加を見送った。


氏は多くを語らないが、マニフェストは出だしからベンダー色が濃く、彼らの縄張り争いにCCIFは同調しないということのようである。皮肉なことにマニフェストを始めたIBMやSun、CiscoはCCIFのスポンサーでもあり、先発していたCCIFを統合させて実績ベースで組織の拡大を狙ったが上手く行かなかった。

ITバブル後、大手ITベンダーはWeb ServiceやSOAなどの標準化を成功させたが、その裏側にあったベンダー間の争いは熾烈を極めた。そして登場したクラウドコンピューティングは大手ITベンダーではなく、巨大eビジネスを動かすAmazonやSalesforce、Googleなどが手掛け、世界中のデベロッパーが呼応して成長してきた。バブル後の新秩序を謳う大手ITベンダーとユーザーの復権がせめぎあう。これはクラウドだけでなく、Linuxを始めとするオープンソースやWeb2.0でも同様だ。
この大きな構図が読めなければクラウドでは成功しない。
もうベンダーロックインに我慢するものは誰もいないのだから...