...

多様化するIT資産をトータルに管理する iNetSec Smart - PFU

by user

on
Category: Documents
11

views

Report

Comments

Transcript

多様化するIT資産をトータルに管理する iNetSec Smart - PFU
中山博之 *
伊藤泰成 **
青木 弘 ***
Hiroyuki Nakayama
Yasunari Itoh
Hiroshi Aoki
*
**
***
ソリューション&ソフトウェアグループ アプライアンスソフトウェア事業部 第三開発部
ソリューション&ソフトウェアグループ アプライアンスソフトウェア事業部
ProDeS グループ システムプロダクト事業部 第三技術部
オフィスなどのネットワーク環境において,ネットワークに接続されているさまざまな IT 機器をトータ
ルに管理し,機器の台数,種別,稼働時間などを見える化する製品として IT 機器管理アプライアンス
「iNetSec Smart Finder」を開発した.
本製品を導入することにより,ネットワークに接続される IT 機器の管理コストの削減,エコロジー対策
の実施,およびセキュリティの確保を実現する.
At PFU, we have developed the IT equipment management appliance iNetSec Smart
Finder. This product comprehensively manages various units of IT equipment that are
connected to a network in an office's network environment. It also enables you to view the
number of units of equipment, their models and operating times.
Introducing this product enables you to cut management costs of IT equipment
connected to the network, implement ecological measures, and ensure security.
1
2
まえがき
近年,オフィスや店舗をはじめとする現場環境では,
さまざまなタイプ,さまざまなベンダーの IT 機器が導
入され,ネットワークに接続されている.
それらネットワークに接続される IT 機器の増加は,
ネットワークやシステムの管理を複雑にし,管理コスト
の増加やセキュリティ上のリスクの増加を招いている.
IT 機器管理アプライアンス iNetSec Smart
Finder(以降,本製品)
開発の背景とねらい
ここでは,本製品の開発の背景について述べる.
本製品は,多様化する IT 機器をトータルに管理およ
び見える化し,IT 機器の運用にともなうコストを削減
することを目的として開発した.開発にあたり解決すべ
き課題として以下の項目を抽出した.
(1)IT 機器の検知と識別の課題
現状,IT 機器を管理する製品は,基幹系業務サーバ
は,マルチベンダー・マル
を対象とする高価な製品や,特定の IT 機器のみを管理
チデバイスのさまざまな IT 機器が接続されるネットワ
対象とする製品は数多く存在するが,マルチベンダー・
ーク環境において,接続されている IT 機器をトータル
マルチデバイスの IT 機器をまとめて検出・管理の対象
に管理し,機器の台数,種別,稼働時間などを見える化
とするオフィスや店舗向けの製品はない.
参1)
する製品である.不正にネットワークに接続された IT
機器の通信を遮断する機能も備えている.
一方,オフィスや店舗などのネットワークには,パ
ーソナルコンピュータ(PC)
,複合機(MFP)
,プリン
タ,携帯端末など,さまざまなベンダーのさまざまな
IT 機器が接続されている.
これら接続された IT 機器を自動的に検出し,ベンダ
PFU Tech. Rev.,21, 2,pp.1-7(11,2010)
1
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
ーを問わずその種類を識別できれば,IT 機器の管理や
ネットワークのセキュリティ強化に役立てることができ
る.
3.2 システム構成
本製品は,専用アプライアンス「iNetSec Smart
Finder センサー(以降,センサー)
」
,管理用ソフトウ
(2)携帯端末の増加の課題
ェア「iNetSec Smart Finder マネージャー(以降,
近年,無線 LAN 接続機能を持つ携帯電話機,スマ
マネージャー)
」
,および見える化ビューア「iNetSec
ートフォン,タブレット型コンピュータやメディアプレ
Smart Finder チャート(以降,チャート)
」で構成さ
ーヤー,携帯ゲーム機など,ネットワークに接続できる
れる.
携帯端末が急激に増加している.
本製品のシステム構成を図−1に示す.
携帯端末は,個人で所有されることも多く,ネット
ワークへの接続もたやすいことから,その簡便さと裏腹
に,情報漏洩などセキュリティ上の脅威やネットワーク
帯域資源の圧迫の要因となりつつある.
これら IT 機器,特に携帯端末がネットワークに接続
3.3 センサー
センサーは,それが管理するネットワークセグメン
ト内のすべての IT 機器の情報を収集する.収集した情
報はマネージャーに送る.
されたことを自動的に検知し,その種別に応じたネット
●表−1 基本機能●
ワーク接続ポリシーに沿って,接続許可や接続拒否(遮
断)などの対応がとれるようなシステムが必要である.
基本機能
(3)機器管理にかかるコストの課題
大項目
ネットワークに接続される IT 機器が増えると,その
機能
機器の検知
管理にかかるコストも増大する.たとえば,ネットワー
クに接続された IT 機器の台数,種別などの現状を把握
IT 機器管理
機器の識別
するためには,管理者が台帳により管理する方法が未だ
機器の台数,稼働管理
多く,管理コストがかかる上に,登録情報の重複や登録
ホワイトリストの作成・維持
漏れが発生する恐れが多分にある.
IT 機器の現状を自動的に収集・把握し,見える化す
管理者への接続通知
ネットワーク接続管理
接続の許可/拒否(遮断)
ることができれば,管理の簡略化,ミスや手戻りの防止
接続の承認(遮断解除)
につながり,機器管理コストを大幅に削減できる.特に
中小規模なネットワークを運営する事業者においては,
1 ∼ 3 セグメント対応
大規模対応
タグ VLAN 対応
IT 機器の管理にかけるコストは限られており,必要な
管理機能を簡単・安価に導入・運用できる製品やサービ
スが求められている.
機器管理
情報の見える化
印刷管理
稼働時間/電力使用量管理
(4)現状の把握・分析に関する課題
ネットワークに接続された IT 機器の台数,稼働時間,
消費電力などの現状を把握することは,コスト分析の観
点から非常に重要である.さらに,プリンタの印刷量の
ブラウザベース
で運用管理
データ管理
マネージャー
把握も同様に把握しておきたい情報である.これら情報
センサー
検知・識別
を自動的に収集・把握し,見える化することができれば,
コストの削減やエコロジー対策となりうる.
チャート
3
ここでは,本製品の概要について説明する.
3.1 基本機能
本製品の基本機能を表−1に紹介する.
2
スイッチ
本製品の概要
見える化
●図―1 システム構成●
(Fig.1-System configuration)
PFU Tech. Rev.,21, 2,(11,2010)
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
センサーは,基本的な構成として,ネットワークセ
れた PC で動作するソフトウェアである.マネージャ
グメントごとに 1 台設置し,そのセグメントを管理す
ーをインストールしたマネージャーマシンは,システム
る.基本構成に加えて,センサーの 3 つの LAN ポー
に 1 台設置し,複数のセンサーが検知した IT 機器の
トそれぞれを別セグメントに接続する構成,およびタグ
情報をデータベースで一元管理する.
VLAN を使用する構成により,センサー 1 台で複数の
セグメントを管理することもできる.
センサーの外観を図−2に,主な仕様を表−2に示
システム管理者は,Web ブラウザを使ってマネージ
ャーにアクセスし,ネットワークに接続された IT 機器
の情報を把握することができる.
す.
3.5 チャート
3.4 マネージャー
チャートは,マネージャーが管理する IT 機器の情報
マネージャーは,Windows R 注1)がインストールさ
をさまざまな角度で集計し,グラフや表などのビジュア
ルな形式で表示するソフトウェアである.
4
製品の特長と実現技術
4.1 課題に対する取組み
ここでは,2 章に記載した課題に対応させて,本製
品の特長と技術的な取組みについて紹介する.
(1)IT 機器の検知と自動識別
本製品は,センサーが接続されたネットワークセグ
メント内の IT 機器を検知し,その種別を自動的に識別
する機能を持つ.
IT 機器は,その機器の種別,用途,ベンダーなど
諸々の要因により,ネットワークで通信する情報や通信
手順・方法が異なる.そのため,各種 IT 機器の通信特
性を調査・分析することにより,IT 機器の種別をある
●図―2 センサーの外観●
(Fig.2-Appearance of the sensor)
程度まで識別できる.また,本製品では,その方法に加
え,センサーから IT 機器の通信環境を能動的に確認し,
種別を特定する技術を採用し,識別精度を上げた.
●表−2 センサーの仕様●
項目
仕様
上記取組みにより,OS 別の PC,複合機(MFP)
,
プリンタなど周辺機器,携帯端末など,ネットワークに
接続されたさまざまなベンダーのさまざまな IT 機器が
CPU
32 ビット CPU
LAN
3 ポート(10 / 100 / 1000Base-T)
スイッチ
電源,INIT(初期化スイッチ)
表示(ランプ)
電源,警告,状態表示× 2
サイズ(W / D / H)
42.5 mm × 198 mm × 180 mm
電源
AC 100 - 240 V(50 / 60 Hz)
冷却
ファン× 1(高温時動作)
に,ネットワークへの接続許可/拒否を定義できる.た
環境対応
RoHS 指令
とえば,プリンタは自動的に接続を許可し,Windows
EMC 規制
VCCI ClassB
PC は管理者の承認後に接続許可し,それ以外の機器は
識別できるようになった.
さらに,識別条件を追加・更新することにより,本
製品導入後においても,識別可能な機器を適宜増やすこ
とができる.
(2)接続の許可と不正接続機器の遮断
本製品は,個々の IT 機器ごと,IT 機器の種別ごと
接続を拒否するといった定義ができる.
注1)Windows は,米国 Microsoft Corporation の,米国,日本
およびその他の国における登録商標または商標である.
PFU Tech. Rev.,21, 2,(11,2010)
利用者は,各ネットワーク環境でのセキュリティポ
リシーに沿った条件定義をすることにより,許可された
3
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
IT 機器以外の機器が接続されることによる情報漏洩な
どセキュリティ上の脅威を防ぐことができる.
本機能は,ネットワークへの接続を許可する IT 機器
のリスト(ホワイトリストと呼ぶ)を基に以下を実現す
る.
1)ホワイトリストにある機器の接続を許可する
セキュリティポリシーに沿って作成したホワイトリ
ストにある IT 機器については,ネットワークへの接
続を自動的に許可する.
2)ホワイトリストにない機器の通信を遮断する
ホワイトリストにない IT 機器がネットワークに接
続されたことを検知すると,その機器の通信を遮断し,
同時に未許可機器が接続されたことをシステム管理者
にメールや SNMP トラップで通知する.
チャートでは,RIA(Rich Internet Applications)
技術であるアプリケーション実行環境“A d o b e
AIR”注2)を活用して,以下の情報をグラフィカルなレ
ポートとして表示する.
1)機器の一覧
2)機器の台数(合計,増減,種別ごと台数・割合)
3)機器の稼働時間と電力使用量(概算,増減,推移)
4)プリンタの印刷量(合計,増減,推移)
Adobe AIR の利用により,高い表現力を持ち,直
感的に情報が把握できるユーザーインターフェースを実
現している.
図−3に機器の一覧,台数情報を表示した画面例を
示す.
図−4にプリンタの印刷量を表示した画面例を示す.
3)遮断された機器の接続を申請・許可する
通信が遮断された機器に関して,管理者が確認・承
認した後,遮断を解除する.各ネットワーク環境にお
ける機器接続申請プロセスに応じて,機器利用者が自
己申請することで遮断を解除する運用も可能である.
(3)機器管理にかかるコストの削減
本製品では,接続された IT 機器のリストおよびホワ
イトリストの作成,維持を自動的に実行することにより,
システム管理者の負担を軽減し,管理コストを大幅に削
減する.
まず,4.1節の(1)項で紹介した機器検出・識別
の技術により,ネットワークセグメント内に接続されて
いる IT 機器の種別,IP アドレス,ネットワークへの
接続属性などの情報からなるリストを自動的に作成す
●図―3 チャートの画面例(1)●
(Fig.3-Sample chart screen (1))
る.その後,接続された機器についても随時リストに自
動登録する.
また,リストに登録された機器についても,一定期
間接続がない場合,リストから自動的に削除できる(削
除しないことも可能)ため,システム管理者の操作なし
で,常にリストを最新の状態に維持することができる.
これにより,登録情報の重複や登録漏れも防止でき,
管理の簡略化,ミスや手戻りの防止につながり,機器管
理のコストを大幅に削減できる.
(4)各種情報を分析し見える化
本製品では,チャートにより,ネットワークに接続
された IT 機器の情報を見える化する.
システム管理者は,チャートを利用することにより,
●図―4 チャートの画面例(2)●
(Fig.4-Sample chart screen (2))
容易に現状の把握と分析ができる.コスト削減やエコロ
ジー対策の観点で,PDCA サイクルに則った効果的で
しかも継続的な改善を図ることも可能となる.
4
注2)Adobe,AIR は,Adobe Systems Incorporated(アドビ
システムズ社)の米国ならびに他の国における商標または登録
商標である.
PFU Tech. Rev.,21, 2,(11,2010)
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
4.2 ハードウェアの設計
ため,以下に述べるように,相反する空冷条件をクリア
する必要があった.
(1)センサーの筐体設計
センサーのハードウェアは,既存製品ユーザーおよ
1)塵埃が多い環境での課題
塵埃が多い環境では,ファンによる強制空冷では,
び新規ユーザーへの聴き取り調査を実施し,その調査結
吸気口に塵埃が吸着しやすくなり,その結果,吸気が
果を基に仕様を決定した.
調査結果から,小規模なオフィスや店舗での設置,
停止し,システムダウンとなる恐れがある.そのため,
および各種ネットワーク機器を搭載しているラックへの
ファンなしの自然空冷が要求された.ところが,
設置の両方に対応できる小型筐体が要求されていること
CPU は 11 W の発熱量があり,単にヒートシンク
が分かり,電源・筐体仕様も明確になった.
筐体サイズは同等発熱量の CPU を搭載した装置と
しては業界トップクラスのコンパクトサイズとすること
(熱の放散により温度を下げる放熱器)を大型化する
だけでは冷却できない課題が生じた.
2)ラック搭載による高密度実装での課題
を目標とし,横幅は CF(フラッシュメモリ型メモリカ
一方,ラック搭載の場合,センサーの熱がラック内
ード)
,ファン,I/O ポート,DIMM(Dual Inline
にこもるため,ファンによる強制空冷は必須条件とな
Memory Module)を実装できる最小限のサイズから
る.
198 mm とした.奥行きと高さは,DIMM 実装の制
このように,自然空冷および強制空冷という相反す
限から,それぞれ,180 mm,42.5 mm とした.サ
る空冷が必要な二つの環境の双方で,11 W の熱量を
イズの最小化を図ることにより,試作筐体に対して
持つ CPU を冷却することが冷却設計の課題となっ
78 %の容積率が実現できた.
た.
電源は小規模なオフィスや店舗では,3 ピンの AC
ケーブルコンセントの使用が困難なため,外付け AC
まず最初に,11 W の熱量を持つ CPU を自然空冷
する方法を検討した.
アダプタを採用し,2 ピンの電源コンセントに対応した.
単純にヒートシンクで放熱しようとすると,ヒート
ラック搭載も必要となるため,LAN ポートは前面配
シンクが巨大化し,筐体サイズが拡大するだけでなく,
置とし,利用者の利便性を図った.
図−5にセンサーの内部レイアウトを示す.
重量,部品実装,価格の面でもデメリットが多いため,
この方法は採用できなかった.そこで,天板にヒートシ
ンクの熱を効率的に放熱する通気孔を設けて,小型のヒ
(2)センサーの冷却設計
冷却設計では,40 ℃の環境条件で,11 W の発熱量
の CPU を実装した筐体を,塵埃が多いオフィスや店
舗,および熱集中する高密度実装のラックにも設置する
ートシンクでも放熱効果が得られるよう工夫した.
次に,環境温度に応じてファンの回転を制御する方
式を検討した.
これは,環境温度を監視し,規定の温度以下では,
ファンは回転させず,規定の温度を超えた場合に,ファ
ンを回転させる工夫である.
DIMM
センサーは,縦置きおよび横置きの両方の設置条件
を考慮する必要があるため,その二つの設置条件で,熱
CPU
解析を実施することにより,冷却対策の効果を検証した.
ファン
環境温度を規定の温度に設定し,縦置き時と横置き
ヒートシンク
時の熱解析結果を図−6と図−7に示す.
熱解析の結果から,オフィスや店舗などの環境では,
LAN コネクタ
CF
自然空冷(ファンなし)でも CPU や他の部品に対し
て高温による悪影響を与えないことが確認できた.
5
●図―5 内部レイアウト●
(Fig.5-Internal layout)
PFU Tech. Rev.,21, 2,(11,2010)
利用事例
本製品を企業のオフィスに導入した場合のシステム
イメージを図−8に示す.
5
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
背面側
背面側
前面側
高温
高温
低温
低温
●図―6 縦置き時の熱解析結果●
(Fig.6-Results of thermal analysis with the sensor installed
vertically)
前面側
●図―7 横置き時の熱解析結果●
(Fig.7-Results of thermal analysis with the sensor installed
horizontally)
システム管理者
ブラウザベースの
運用管理画面
部門 A
センサー
部門 B
マネージャー
チャート
部門管理者
部門 C
管理部門下の機器情報を
ビジュアルレポート
●図―8 企業のオフィスでの利用例●
(Fig.8-Examples of use within a company's office)
この例では,オフィス内の各部門のネットワークに
器リストの管理やコスト削減などに役立てる.また,許
本製品を接続し,部門ごとに IT 機器の情報を収集する.
可されていない機器が接続されないように対策すること
収集された情報は,マネージャーで一元管理する.
もできる.
各部門の管理者は,自部門の機器の台数,種別,稼
働時間などの情報をチャートにより視覚的に把握し,機
6
システム管理者は,オフィス全体の機器情報を管理
する.
PFU Tech. Rev.,21, 2,(11,2010)
多様化する IT 資産をトータルに管理する iNetSec Smart Finder
6
今後の取組み
7
むすび
多様な機器に対応した本製品であるが,現場環境の
オフィスや製造現場,流通現場など含めた現場環境
見える化,機器の管理の省力化,すべての人への安心・
においては,無線 LAN の普及も相まって,ネットワ
安全なネットワークの提供を実現するために,継続して
ークに接続される機器は今後ますます多様化し用途も拡
以下に取り組む.
大していくことが予想される.本製品は,対応機器の拡
(1)対応機器拡大と固有情報取得の深化
ますます多様化していく機器に対応していくことは
もちろん,機器に固有な管理情報をより深く取得し,さ
大とポリシーの充実によって,現場環境のネットワーク
の見える化と安心・安全なネットワークの提供を目指
し,今後も進化していく.
らなる見える化を推進する.
(2)海外展開
現場環境での機器管理の省力化,ネットワークの見
参考文献
参1)PFU iNetSec 製品紹介ページ
http://www.pfu.fujitsu.com/inetsec/
える化のニーズは,もちろん日本に固有なものではない.
諸外国固有の事情を市場調査しつつ,グローバルな製品
展開を推進する.
PFU Tech. Rev.,21, 2,(11,2010)
7
Fly UP