大学および企業の教育関係者を対象に、CAUA FORUM 2019を開催しました。CAUAは、研究教育に関わるICT利活用や産学連携によるICT人材育成について、情報発信および共有の場を提供することを目的に、伊藤忠テクノソリューションズ株式会社（CTC）のアカデミックユーザー会を事務局として2000年にスタートした団体で、今年で活動20年目となります。

今年度から第3代会長として早稲田大学　理工学術院教授　深澤先生をお迎えし、工学院大学　教授　位野木先生、CTC／南山大学　客員教授　野村氏を運営委員に就任いただきました。
今回のテーマは「急速に進化するクラウド環境に大学はついていけるか ～特定のクラウドに依存しない最適な環境、継続的な改善を考える～」です。CAUAでは10年前、「大学はアウトソーシングを活用できるか？」というテーマでクラウド時代の大学情報システムの在り方を取り上げ、システムの強化・効率化、統合・アウトソーシング・協同化について討議を行いました。その後、システム更新にかける費用と労力の削減のため、クラウドを積極的に導入する大学も増えてきましたが、利用が進むことにより見えてきた課題もあります。また、機械学習・データ分析の研究教育環境など、これまでとは異なるデータ管理の在り方、システム要求が発生しています。

クラウド利用が大学経営に与える真の影響とは何か。今回のフォーラムでは、大学におけるクラウドサービス利用の現状と課題、および企業における最先端事例についての講演とパネルディスカッションを行いました。会場となった「Innovation Space DEJIMA」には、約60名の教育関係者および産学連携・人材育成に携わる方々が集まりました。

学内におけるクラウドサービス利用の最低限のルールをガイドラインとしてまとめ、運用しています。ガイドラインを作ったことで、担当者レベルで確認や判断ができるようになり、クラウド化を円滑に進めることができました。クラウド化によって、システムの構築やリプレースの際にハードウェアのライフサイクルを気にしなくてもよくなったこともあり、ハードウェア指向からサービス指向に移行できたのが大きな効果です。

本学のクラウドサービス利用ガイドラインは、大きく3つのブロックに分かれています。1つ目は準備に関する項目。これから利用しようとしているクラウドサービスと、大学で規定しているセキュリティなどのポリシーとの整合性がとれているのか、などをしっかり考えるということが示されています。2つ目は検討に関する項目。ここではクラウドサービスを利用する時に気を付けなければならない具体的な項目を列挙しています。3つ目は運用に関する項目。クラウドを利用したにもかかわらず、運用する側の問題でうまく使えていないということが起こらないようにチェックします。

このガイドラインを使ってクラウド化を進める過程で、大学におけるクラウドサービス利用のポイントが分かってきました。まず、クラウド選択の際の軸についてです。1つは、複数ユーザーで使う共用なのか、単一ユーザーで使う占用なのか。もう1つは、レスポンスタイムがある程度遅くてもいいのか、それとも速いレスポンスが求められているのか。この2つの軸でクラウドを選択することが重要です。次に、クラウド化もただ闇雲にやればいいわけではなく、クラウドを利用しやすいサービスと利用しにくいサービスがあるということです。例えば、計算リソースを大量に使うHPCは過去の経緯から稼働率が非常に高かったので、そのままクラウドに持っていくとコストが数倍に跳ね上がるという問題がありました。

本学のクラウドは、オンプレミスの仮想化基盤、ユーザー共用型パブリッククラウド、ユーザー占用型パブリッククラウドの3つの環境で構築されています。認証系のシステムやバックアップなどはオンプレミスの仮想化基盤、メールやWebなどのメインのシステムは占用型パブリッククラウド、ネットワーク系のサーバーなどは共用型パブリッククラウドといったように、コストやレスポンスタイムを考えて3つの基盤を使い分けしています。そして、認証系の利用者／サービス管理基盤を中心として、全ての基盤に対してコントロールをするという仕組みにしています。

こうした仕組み、特に利用者やサービスの認証情報の管理・運用を、第三者機関にも確認してもらうために、情報セキュリティマネジメントシステム（ISMS）の審査を受けて認証を取得し、その後ISMSクラウドセキュリティ認証も取得しました。ISMS認証を通じて、クラウドサービスを利用するということは、PDCAサイクルの中でクラウド化に伴う変化に気づき、その変化に対する対策を講じることだ、ということに気づかされました。

一方、このガイドラインによって、前例や免罪符を作ってしまったという問題もあります。例えば、ガイドラインの中でAWSを使った例が示されているとAWSならどんな使い方をしても問題ないと解釈されたり、ガイドラインに書いていないことは禁止されていないから問題ないと解釈されたりということも起きています。もう1つは、クラウドサービスの利用においてIaaSを選択したケースが多いということ。これでは、適切なサービスを選んで使っているのか確認が難しい。

今後、大学のクラウドサービス利用では、どこでもプロセスが動かせる柔軟性は当然として、プロセスの永続性を確保することが大事になってきます。サービスが急速に変化していく中で、1つのサービスに対して複数のソリューションを用意しておく。同じサービスを実現するのに複数のソリューションがあれば、組織は可用性を高めたり永続性を向上させたりすることができるだけでなく、利用者の利便性を向上させることが可能になります。さらにはデータの永続性の確保。特に研究データは、システムやアカウントのライフサイクルをはるかに超える長い単位で管理しなければならないので、プロセスとデータを分離して考える必要があり、将来的にはシステムやサービスの構築も分離して進めていくべきだと思っています。

本学では、クラウドサービスの本格的な利用に取り組むにあたり、ガイドラインを作ることによってハードウェア指向からサービス指向に移行しました。実際にクラウド化を実行してサービス指向を追求する過程で、プロセス中心に物事を考えるようになりました。今後は、それをデータ中心に変えていき、あまりプロセスにとらわれずにデータの永続性が確保される仕組みを、クラウドサービスの活用を通じて実現していこうと考えています。

企業におけるクラウド環境を考える場合、2つの側面があります。ユーザー側はいろいろなサービスを自由に使いたい。デジタルイノベーション事業部のような組織が立ち上がって、デジタル活用が急速に進められます。一方で情報システム部などの管理する側は、こうした事業部と相対しながら、クラウドを前提としたアクセス環境やセキュリティポリシーなどインフラの最適化を迫られます。

クラウドを使ってインターネット上で起きていることを組織に取り込んで、デジタル活用を進めていかなくてはならないというプレッシャーは非常に強い。アクセス環境やデータの移動と保管、ID管理、コスト管理など、クラウド環境を使う時に起こる諸問題は全て、インターネットを前提としたシステムが組まれているかどうか、ということに関係しています。イントラネットシステムの限界は、もはや境界防御が管理できない状況だということです。クラウドサービスとして提供されているものは全てインターネット上にあります。大きな組織で数万も端末があると、その全てを境界として考えるのはもう現実的ではありません。狙われたら防げない、入られることを前提にシステムを作る、というのが今の現実的な考え方なのです。

企業システムの世界では、境界を防御して内部を信用してしまうという考え方から、信用せずに登録して管理するという考え方に変わってきました。これがゼロトラスト・セキュリティと言われるものです。この環境では、登録されている人かそうでない人かを境界と考え、認証されてシステムの使用を始めた時から終えた時までが境界の中にいるのであって、それ以外は境界の外にいるということになります。だから、カフェで仕事をしているのと組織内で仕事をしているのが全く同じという状態を作ることができるのです。

ゼロトラスト・セキュリティは、信頼しないで検証することを前提とするシステム作りを目指します。基本的には利用する端末の全てを登録管理します。全体的な仕組みとしては、クラウドエクスチェンジを中心として、社内の各種サービスはインターネットのサービスと全く同じレイヤーでつながるので、完全にインターネット上のサービスとして提供されます。組織内のユーザーIDの統合認証基盤を持っている場合には、クラウドエクスチェンジを通じて統合します。今まで使っていたIDで様々なサービスにログインできるようになるのでユーザー側にもメリットがあるし、フェデレーションログからアクセス解析などができるので管理側にもメリットがあります。

信頼しないことを前提としたシステムへの大きな流れの中で、クラウドをベースとした新しいシステムはどう作っていけばよいのでしょうか。これまではアプリケーションを動かすためにJVMが動いているという状態を維持するのに大変な努力が必要でしたが、これからのアーキテクチャーでは動いていない状態を定常状態にすることを目指します。最近のコンテナは立ち上がるのに200ミリ秒程度で、チューニングすると20ミリ秒程度にもできます。このくらいで立ち上がるのなら普段は動いていなくても問題ありません。オーケストレーターが動く環境だけ準備しておいて、リクエストが来たらオーケストレーションして動かせばいいのです。

その際に大切なのはコードライブラリーです。テスト済みのコードをライブラリーにあげておけば、リクエストが来たらクラウド上で勝手に動かしてくれます。普段は動いていないので、コードを変更するのは簡単です。変更した新しいコードをライブラリーに置いておくと、次のリクエストから新しいコードにとって代わります。こうすることで、東日本ではAというサービス、西日本ではBというサービス、東日本先行リリースで、うまくいったら西日本にも展開するというような、自由なリリースプランが組めるようになります。

動いていないということを前提に動かしていくので、どのくらいのパフォーマンスで動かすかということを、アプリケーション性能管理をしながら見ていくことが重要です。性能管理はコスト管理そのものだと言えます。よりパフォーマンスを得たいのであれば、より高いコストを払うというのがクラウドの基本です。いくらもうかっているのかということが分からない状態でIT投資効率を測ることはできません。

アプリケーションの側でビジネスの結果が分かるログを収集して、アナリティクスをしっかり回せるようにならないと意味がありません。このシステムは何時間動いて、本当に役に立っているのかということが分からなければ、そこにITリソースを割り当てていいかどうかの判断ができません。実際にどのくらい利益が出ているのか、システムとして本当に役に立っているのか、ということをアプリケーションが教えてくれる仕組みを作らない限り、クラウドにおいて効果を上げることはできないのです。

政府においてもクラウドサービスを利用することが必要だと言われてきたが、情報セキュリティ面の課題もあり、なかなか前向きになれなかった側面は否定できません。そこに、世界最先端IT国家創造宣言・官民データ活用推進基本計画が閣議決定され、同時期にデジタルガバメント推進方針が出されました。こうした文書の中でクラウド活用が示された背景もあって、「クラウド・バイ・デフォルト」原則が登場しました。政府情報システムを整備する際にはクラウドサービスを第一候補として検討を行うこととなったのです。

それまで政府のシステムはほとんどがオンプレミスの世界だったので、この宣言を受けて、クラウドをどう活用していこうかと急ぎ検討を進めているのが今の状況ですが、そこには3つの大きな課題があると考えています。1つ目は予算関連の問題。単年度予算であり、定額での請負契約が中心となっているので、リソースに見合った課金をするというクラウドの特徴を生かすことが非常に難しい。政府のプライベートクラウドである政府共通プラットフォームもありますが、問題は手続きの複雑さ、例えば仮想マシンを1つ立てるのにも複雑な書類を出す必要があり、書類のやりとりで1週間も2週間もかかるという状況になることもあります。民間クラウドのように簡単にセルフポータルで設定するというわけにもいきません。また、高止まりするコストの問題もあります。構築・運用事業者が固定化することにより競争が働きにくくなり、移行することでコスト増になるケースも少なくありません。

結局のところ、現在の政府共通プラットフォームはデータセンター統合程度の効果に留まっていますが、クラウド・バイ・デフォルトに則って第2期政府共通プラットフォーム計画が現在進行中です。民間のパブリッククラウドを全面的に活用して、2020年第3四半期から稼働する計画です。これが動き出したら、クラウド・バイ・デフォルトが相当進んでいくのではないかと考えています。

米国にはFedRAMPという連邦政府共通のクラウドサービス調達のセキュリティ基準があります。そのため、省庁ごとに新たな調達評価の手続きをとる必要がありません。日本では、経産省が作ったり総務省が作ったりしていますが、それは政府全体で認識されていません。やはり、こういう共通のものさしを作った上で、クラウド・バイ・デフォルトを進めなければならないと思います。

政府情報システムのクラウドサービス利用の問題点は、第1に、調達方式や課金方式がクラウドの特徴に合わない部分があること。第2に、サプライチェーンリスクや契約面での明確な基準や認証制度がないということ。これらの問題点を認識した上で、ビッグデータの活用やAIなど、クラウド利用が前提となる中、クラウド・バイ・デフォルトを強力に推進していく必要があると認識しています。

クラウドを考える上では、衣食住の住に例えてみると分かりやすいのではないでしょうか。クラウドを家に例えると、占有かマルチテナントかは、一戸建てか集合住宅かに似ています。オンプレミスとアウトソースはそれぞれ持ち家と借家で、自分たちで作るか業者に任せるかは注文建築か建売販売かで置き換えられます。

私たちの衣食住の住では、住み替えのタイミングはどのように決めるのでしょうか。独立するから、身を固めるから、子どもが生まれたから、といったライフステージの変化がまず大きな理由になってきます。それ以外には、隣が新築したといった世間体もあるし、借家の場合には大家の意向というのもあります。このような文脈で考えると、情報システム部門がクラウドに移行する時はどのようなタイミングなのでしょうか。

クラウドの定義をあらためて考えてみます。まず、所有・購入からサービス利用・サブスクリプションになりました。購入形態がガラリと変わりました。所有権が自組織にあるならオンプレミス。プライベートクラウドも学内にサービスしているだけならサービスプロバイダーではないので、結局オンプレミスということになります。一方で、借りていればクラウド。クラウドはホスティングの種類でしかないというのが私の見解です。

これまでシステムの更新はハードウェアのサービス終了によるものでしたが、クラウド化でそれはなくなります。その代わり、ソフトウェアの寿命に縛られることになります。また、クラウド化を推進する時にリスクになるのは、今まで5年や6年と決まっていたシステム更新の時期が見えなくなることです。更新のタイミングが見えない中で、学内のスキル構築・伝承をどうやっていけばよいのかという問題もあります。

忙しさの軽減やコスト削減の目的でクラウド化すると業務効率化にはなるのですが、システムの更新がなくなれば、現場経験が消えてシステムがブラックボックス化する可能性があります。ブラックボックス化すれば、クラウド事業者にロックインされて業界における競争は減り、結局のところクラウドビジネス自体も斜陽産業化してしまうことも考えられます。それよりも、システム更新のタイミングまで自分たちで試行錯誤し、それを次の世代にどう伝えるかを考えることが重要なのではないかと思うのですが、いかがでしょうか。

本フォーラムの締めくくりとして、講演者によるパネルディスカッションが行われました。

安東氏の司会で始まった討論は、大学のクラウド利用の進め方と課題をさらに深掘りする形で展開され、「大学の仕事にはクラウドのよさを適用するのが難しいものもあるが、これからはクラウドの時代だから何が何でもクラウドで行くといったポリティカルな進め方も必要」（西村氏）、「クラウドに限らず、本当は何がしたいのかということを問い直すことが大事。そうすればどんなシステムが適しているか自ずと決まる」（鈴木氏）など、総合大学のIT運用をリードする各氏からメッセージが出されました。

課題の一つとしての予算措置に関しては、年度予算の考え方と従量課金のミスマッチが障壁になっていることをふまえ、「これだけ利益が出ているのだからいくらまでは使えるという上限キャップの考え方を取り入れたほうが、クラウドは導入しやすい」（山下氏）、「使いきれなかった予算を翌年に繰り越せるようにすることも検討すべき」（阿部氏）といった意見が提示されました。

さらに、IT全体やセキュリティのリテラシーを大学全体として底上げする重要性が問われたほか、オープンソースソフトウェアに代表されるインターネットの力を活用してコストと人的資源の最適化を図るべきではないかとする問題提起がなされるなど、活発な討論が続けられました。クラウド利用にとどまらず、テクノロジーの進化のスピードに負けないよう、大学の意識改革は待ったなしの状況であることをパネリスト全員で確認し、約1時間にわたる白熱したパネルディスカッションは幕を閉じました。