値上がりで悲鳴が上がるオンプレVM、対応待ったなしのランサムウェア……、どう考え、どう解決したらいい？

　VMware社の仮想化ソフトウェアは、サーバーからPCまでさまざまな環境で使われている。特に企業の業務システムのサーバーでは、オンプレミスから、データセンターを使った事業者によるプライベートクラウド（ホステッドプライベートクラウド）まで、VMwareのサーバー仮想化製品をプラットフォームに採用しているケースが多い。

　そのVMware社が2023年にBroadcom社に買収された後、ライセンス体系が大きく変更された。買い切り型の永続ライセンスの廃止や、ライセンスのラインナップの簡素化などにより、事実上かなり大きな値上げとなった。これによりエンドユーザー企業やプライベートクラウドサービス事業者などから悲鳴に近い声も上がり、“脱VMware”という言葉も言われるようになった。

　そんな中、国内でプライベートクラウドなどのサービスを展開するInfiniCloud株式会社は、8月8日に、プライベートクラウドサービス「High Response Private Cloud」（HRPC）を6世代目・第4版にあたる「6Gf」に刷新した。HRPC 6Gfでは、オンプレミスVMwareからの移行にフォーカスしていることが特徴として打ち出されている。そのほか、標的型ランサムウェア攻撃からの防御を重視しているという。

　そこでInfiniCloud株式会社 代表取締役CEOの瀧康史氏に、VMwareを利用している企業が今後について考えるべきポイントや、HRPC 6Gfの特徴などについて話を伺った。

1社に依存した結果、脱VMwareせざるをえない状況に

InfiniCloud株式会社の代表取締役CEOである瀧 康史氏

――まず御社の事業やサービスについてご紹介ください。

[瀧氏]2001年に創業し、2007年からプライベートクラウドサービスの1世代目を提供開始しました。Solaris上でSolarisコンテナ技術を使ったもので、当時は「クラウド」という言葉は知らなかったので「バーチャルデータセンター」と呼んでいました。

　実はプライベートクラウドサービスの1世代目の前に、Linux上でVMwareやQEMU、UML（User Mode Linux）などの仮想化技術も実験していて、そうした中から実サービスになったのがSolarisベースのものでした。

　今でこそ通常のIaaSをしていますが、Solarisからスタートしたことからもわかるように、用途としてはミッションクリティカルやエンタープライズが中心です。そのため、ネットワークから、ストレージ、コンピューティング、仮想化まで、安定性を重視しています。HRPC 6Gfも、そうした積み重ねから生まれました。

　弊社も、VMwareのクラウドプロバイダーの認定を受けていて、プライベートクラウドの2世代目からサービスを提供しています。2世代目からは同時に、Linuxの仮想化技術であるXenベースのサービスも提供しています。2種類の技術を採用したのは、1つの技術だけ使っているとそれがすべてに見えてしまい、技術の全容が見えにくくなってしまう、という私の考えからでした。これは裏側の話になってしまいますが、Broadcomによる買収後、こうした認定についても、しっかり維持するのも苦労した、という現実もあったりします。

――今回、VMwareのライセンスの値上がりが問題になっています。特にどのようなところで大きな影響があって、どんなことが起きているか、教えてください。

[瀧氏]最初に申し上げておきたいのは、VMwareの製品はとても優れているということです。ユーザーがハイパーバイザーの特性や動作などを理解してなくても、比較的簡単に安定して動くというのは、凄いことです。

　そのうえで、サプライチェーンの問題として「こんなに偏って大丈夫だろうか、もし、何かの事情でVMwareが使えなくなるようなことがあったらどうなるだろう」と危惧していました。国内SIerはVMwareを使ってプライベートクラウドを作っていたところが多いので。そして、それが今回起きたわけです。

　日本企業の情シスでは、全部パッケージされたものを導入し、サポートまで大手ベンダーにお任せするケースが多いかと思います。そうしたケースでVMwareが使われていました。

　同じ考えでNutanixも注目されていましたが、インフレとドル高のダブルパンチで価格が上昇しました。VMwareもNutanixも米国の製品で、1つの国だけに頼る状況がリスクになっている面があると考えています。

　VMwareの問題の結果、中小や中堅、場合によっては大企業でも、コンピューティング基盤を組み立てるためのソフトウェアが失われてしまったというのが今の状態だと考えています。いくつかの会社では、脱VMwareしたいのではなく、せざるをえない状況になってしまったというのが実情なんじゃないかと思います。

選択肢を考える～現実解は「プライベートクラウドへのリホスト」～

――では、VMwareを利用している企業にとって、何ができるか、どのようなことを必要があるか考える、ご意見をお聞かせください。

[瀧氏]ここではオンプレミスでVMwareを使っている場合を考えます。選択肢は大きく分けると、オンプレミスを続けるか、クラウドに移行するかがあります。

クラウドに移行するなら

――ではオンプレミスではなくクラウドに移行する場合はどのようなことを考える必要があるでしょうか。

[瀧氏]クラウドに移行するとなると、次はパブリッククラウドかプライベートクラウドかが選択肢となります。

　オンプレミスで運用していた人にとって、パブリッククラウドで難しいのは、クラウド事業者ごとにサービスや考え方が違い、個別の製品知識が必要になることです。結果として、自分たちのシステムを、クラウド上のPaaSやSaaSなどのマネージドサービスを使って作り変える必要があります。しかも、そのサービスはどんどん新しい仕様に変わっていきますから、作り変え続けることになってしまいます。

　クラウド移行については、リホスト（そのまま持っていく）や、リプラットフォーム（マネージドサービスを使うよう作り変える）、リファクタ（作り直す）など、6つの方針があると言われています。

　これについては、「リファクタのほうがカッコイイし、そのほうが良い」という空気感があると思うのですが、「本当にそうなのか」という点はよく検討すべきだと思います。必要な要件も、それを処理する「実績のある」システムも大量にあるわけです。「この機会にモダナイゼーションを」というのももちろんアリですが、下手をすると「なにかあるたびに毎回作り直す」ことになりかねません。例えば、「コアはリホストし、最新の要件のできるところだけ、モダナイゼーションしていく」というのは、十分な現実解かと思います。

　リホストにはプライベートクラウドが向いています。プライベートクラウドであれば仮想マシンのスナップショットや、レプリケーション、マイグレーションなどもそのまま使えます。

　その先は、セキュリティや、ずっと使い続けられるかどうか、移設は簡単か、ということが選択基準になります。

ネットワーク構成はそのまま、隔離するものは隔離してプライベートクラウドへ

――では、VMwareによるシステムをプライベートクラウドにリホストする際、ネットワークやセキュリティなどで、どのようなことを考えなくてはならないでしょうか。

[瀧氏]まず、「サーバーのIPアドレスやネットワークセグメントを、オンプレミスと同じままクラウドに持っていく」というのがあります。

　システムは1つのソフトウェアだけで動いていることはあまりなく、複数のソフトウェアが結合して動いています。その構成を読み解いて設定変更して移設するのはとても骨が折れます。特に、ベンダーにお任せしているような業務システムは、頼まないと設定変更もできないことも多いでしょう。

　その一方、セキュリティではランサムウェアの話を考慮したほうがいいでしょう。

　最近は、リモートワークで社内にアクセスする必要から、VPN機能を含むUTM（統合脅威管理機器）がすべての社内ネットワークにつながる中心になっている場合が多いのですが、この構造だと、1箇所のUTMがセキュリティホールなどで破られると、すべて攻撃を受けてしまいます。しかし、昔のように「企業のネットワークがいくつかに分離され、ファイアウォールで区切られている」ような構造ならば、被害範囲を限定しやすいメリットがあるわけです。

　これをリホストで考えると、同一IPアドレスと同一ネットワークセグメントで移行しつつ、隔離するものは隔離することを考えないといけない、というわけです。

「VMwareを使っていた企業向け」に作りこんだプライベートクラウド「HRPC 6Gf」「安定性」「ネットワークリソースの隔離」「ランサムウェア対策」

――そうして今回刷新されたHRPC 6Gfでは、オンプレミスVMwareからの移行にフォーカスしていることをうたっています。このHRPC 6Gfについて解説をお願いします。

[瀧氏]特徴の1つめは、安定性です。

　6Gt(6世代目第3版)では、速度とコスト効率をめざしてサービスを作りあげてきました。それに対し、6Gf(6世代目第4版)では、オンプレミスでVMwareを使っていたお客様にも十分な安定性が提供できるよう、再設計しています。

　具体的には、弊社歴代のクラウド技術をフィードバックしてハイパーバイザを再設計、これに合わせてハードウェアを調達し、オーケストレーションとしてProxmox VEやVates VMSを利用しています。

　たとえば、先ほどもリソース再利用性と隔離性は相反する部分があると説明しましたが、6Gfではリソース再利用性より隔離性を重視しました。1つの仮想マシンがハングアップしたり高負荷になったりしても、ほかの仮想マシンにあまり影響がないように設計しています。ハードウェアについても、安定性を重視しています。

　2つめはネットワークリソースを専有型としていることです。

　ネットワークをお客様の間で共有することなくリソース専有型にしており、お客様専用の隔離された空間になっています。弊社のネットワークサービスと組み合わせると、プライベートクラウドとオンプレミスを、同じネットワークセグメントで接続すること（L2延伸）もできます。また、オンプレミスからVMwareの仮想マシンを移行するのも簡単です。ネットワークセグメントのことを気にしなくて済みますから、「仮想マシンを1つずつシャットダウンして、移設ボタンを押し、クラウドで立ち上げる」といった作業で、元と同じIPアドレスとネットワークセグメントによって動きます。

ネットワーク構造からの「ランサムウェア対策」

[瀧氏]3つめは、ランサムウェア対策など、セキュリティのためのネットワーク的な隔離です。

　昨今、日本企業への攻撃は非常に多くなっています。業務システムを預かる以上、クラウドのセキュリティ対策はもっとも重要だと言っても良いでしょう。

　たとえば業務システムが犯罪者ハッカーの手で陥落した場合、それがプロビジョニングネットワークにもつながっていると、全権限が犯罪者の手に渡ってしまいます。仮想サーバの停止も立ち上げも、データを盗むのもできてしまいます。

　そこで、システムが動くサービスネットワークと、プライベートクラウドを管理するダッシュボードなどのプロビジョニングネットワークを完全に隔離しました。これにより、仮にUTMがハッキングされたりPCがマルウェアに感染したりしても、プロビジョニングネットワーク経由で仮想サーバーが勝手に起動や終了される可能性はあっても、サービスネットワーク側には攻撃は及びません。

　また、このプロビジョニングネットワークはお客様ごとにも隔離されているため、ほかのお客様に波及することも防ぎます。

隔離性重視ならXenが、そうでなければKVMがおすすめ

――HRPC 6Gfでは、XenとKVMの2種類の仮想化ハイパーバイザーのサービスを用意しています。利用者にとって、両者はどのように違うのでしょうか。

[瀧氏]まず、これもリソースの再利用性と隔離性の話になりますが、どちらかというとXenのほうがリソースの隔離性が高く、KVMのほうが再利用性が高い作りになっています。

　VMwareからの移設は、どちらも比較的簡単ですが、KVMのほうがより容易というのはあります。

　ひとつには、XenではLinuxの仮想マシンでディスクのデバイス名が変わるので、設定変更が必要です。一方、KVMなら、VMwareで使っていたネットワークデバイスやディスクの準仮想化ドライバー（仮想デバイス専用のデバイスドライバー）が、一応、そのまま動くことが多いです。後からKVMの準仮想化ドライバーに変えるにしても、「ひとまず動く」というのは、移行の1ステップ目としてやりやすいでしょう。

　そのほか、KVMのProxmox VEではハイパーコンバージドインフラストラクチャー（HCI）の仕組みがあるので、ストレージサービスを使わなくてもストレージの追加が容易で、コストがあまりかからないという点もあります。

　そのため、隔離性をとても重視する人にはXenがおすすめ、そこまででなければKVMがおすすめ、といえます。これについては、詳しい資料も公開していますので、参考にしていただければと思います。

――VMwareからの移設は比較的簡単というお話でしたが、簡単にできるものでしょうか。

[瀧氏]移設のためのWebユーザーインターフェイスのマニュアルやハウツーは、弊社のWeb上で公開しています。そのため、Webユーザーインターフェイスから操作して移設できると思います。

――ハマりどころとかはないでしょうか。

[瀧氏]たとえば、とても古いOSについては、事前にデバイスの種類を変えておく必要があるなど、細かいノウハウがあります。そうしたことについても、お客様に相談されたりしたノウハウが溜まっていますので、Web上で公開しています。

「移設のコツ」の例

ネットワークやストレージのサービスと組み合わせることで災害対策や複製も

――クラウドサービスとして見た場合に、InfiniCloudのネットワークやストレージなど、ほかのサービスとの組み合わせも特徴になってくると思います。そのあたりはいかがでしょうか。

[瀧氏]われわれはもともとプライベートクラウドに強く、そのためのいろいろなサービスがあります。

　ひとつには、関東、中部、関西、九州にリージョンがあり、ネットワークですべてのリージョンがシームレスでつながるのも特徴です。

　災害対策のための二重化では、同じ災害で被災しないよう、物理的な距離や地理条件が重要ですが、距離が離れるほど、データ同期が難しくなります。例えば、東京 - 大阪の400km間で二重化するのは比較的難しくありませんが、東南海地震や昨今の巨大台風では、東京と大阪が同時に被災してしまう可能性を排除できません。そうした際、弊社なら東京と九州で二重化し、その間をL2延伸して、同一セグメントで結ぶ、ということが可能です。

　また、ストレージサービスにはレプリケーション（複製）機能があります。これを契約すれば、たとえば、バックアップツールを使わなくても、仮想マシンイメージを東京と九州でコピーして複製でき、何かあったら複製から起動することもできます。

　ストレージサービスは長く扱っているので、いろいろなことをやっています。先日は、QNAP社やPALTEK社と提携して、弊社のクラウド上で仮想QNAPのNASを用意できるサービスも開始しました。当然、ブロックストレージやファイルストレージなどで使える通常のエンタープライズストレージサービスもあります。いろいろな組み合わせができるのが、われわれの特徴だといえます。

――そのほか、InfiniCloudの特徴を教えてください。

[瀧氏]現在のご時世では、データの所在が話題に上がることがあります。弊社は国内にある国産クラウドなので、そうしたソブリンクラウドのニーズもあるかと思います。

　また、われわれはデータセンター施設を所有しているわけではありませんが、独自の基準でベンチマークしたデータセンターを選定しています。ハザードマップや断層なども含めて、エンドユーザー企業ではできないチェックまでしているのも特徴だと思います。

――HRPC 6Gfは、どんなお客さんに使っていただきたいと考えているでしょうか。

[瀧氏]脱VMwareせざるをえなくなってしまうのは、さまざまな日本企業にとって、非常に厳しいことだと思います。われわれの既存のお客様は、ミッションクリティカル向けなので大きめの企業が多いのですが、こなれた価格で提供できるので、ぜひ中小や中堅の企業にも考慮に入れてもらえると幸いです。

　VMwareから移設するときには、いろいろ困ることもあると思います。その部分については、われわれの持っているノウハウもお出しできるので、ご利用いただければと思います。

――将来の方向性などについて、言えることがあれば教えてください

[瀧氏]今現在は企画段階ですが、弊社のHRPCで利用しているハードウェアや、ハイパバイザの技術を、国内のデータセンター事業者やSIerに提供できないか？と考えています。

　これまでは、SIerがVMwareを使ってプライベートクラウドを作る例が多々ありましたが、それが難しい状態になりつつあります。我々はデータセンター施設を所有しないクラウド業者なので、我々のハイパーバイザ技術とハードウェアの技術を提供し、協業できれば、様々な意味で皆さんのお役に立てるのではないでしょうか？

　それによって、さまざまな地域でソブリンクラウドが作られればと思います。われわれはもともと地方企業なので、そうしていろいろな地域の方々に貢献できればと。日本でクラウドを作って運用するエンジニアは限られるので、いろいろなエンジニアと関係を結びながら、日本の中でクラウドを作っていければいいと思っています。

――ありがとうございました。