構成例

学術系組織における、さくらのクラウドを利用した代表的な構成例

大学の研究室や情報処理センターなどの学術系組織では、民間とは異なるインフラへの要求事項が多く存在します。 ここでは学術系組織における、さくらのクラウドを利用した代表的な構成例をご紹介します。

要求
SINET5の利用
セキュリティ対策
5年単位での調達
解決策
SINETと接続し、閉域網でセキュアに通信。
「さくらのクラウドの学術機関向け定額プログラム」を利用して定額料金に

5年単位での調達

民間と大きく異なる点として、大学などの学術系組織では5年単位での調達がよく行われます。このような調達方式では、期間内に利用する量が確定できない「従量制のクラウドサービス」は敬遠されがちです。しかも、時間課金しかないクラウドサービスでは、28日までしかない2月と、31日まである3月では3日x24時間=72時間分の料金差が生まれます。

「さくらのクラウド」では、利用料金に月額利用料金が設定されているため、月々の支払べき料金を確定することができます。しかも、さくらのクラウドでは従量課金となりがちなサーバの「データ転送料金」や「I/O課金」が、サーバの月額料金に含まれているため想定外の高額料金が課金されることがありません。そのため、5年単位の調達でも容易に見積もりをすることができるのです。
この点は多くの大学様から評価をいただいている点です。

また、2017年3月からはNIIの「学認クラウド 導入支援サービス」利用者向けに「さくらのクラウドの学術機関向け定額プログラム」を提供開始しました。このプログラムは、毎月の利用金額の変動をある程度吸収できるようにできております。サーバの月額料金は一定でも、サーバ数が増減すると利用料金が若干変動してしまいます。その課題を解決し、利用期間中のサーバ増減にも対応できるプログラムとなっています。
(https://www.sakura.ad.jp/education/solution/cloud-teigaku.html)

SINET5の利用

学術情報ネットワーク 「SINET5 (https://www.sinet.ad.jp/)」 は、日本全国の大学、研究機関等の学術情報基盤として、国立情報学研究所 (NII) が構築し、2016年4月より運用している情報通信ネットワークです。

研究に関わるような重要なデータを学術機関同士でやりとりする場合は、SINET5を使うようにしている機関が多くあります。当然、さくらのクラウドを初めとする、専用サーバ、VPS、コロケーションなどのサービスは、「ハイブリッド接続」を使いSINET5に簡単に接続することが可能となっています。

また、SINET5は、学内LANを延長しているという感覚で使うケースも多いため、サーバを構築してもインターネットへの接続性は無しにすることが多くあります。

インターネットへの接続性がないサーバのメンテンナンスは、物理環境であればデータセンター等へ行って作業をする必要がありましたが、さくらのクラウドはバーチャルデータセンターとも言われているとおり、「さくらのクラウドのコントロールパネル」からサーバのコンソールにアクセスすることが可能になっています。そのため、インターネットへの接続性がサーバであってもメンテナンスに掛かるコストが低くすむという特徴があります。

また、せっかくインターネットへの接続性をなくし安全にしたサーバに、コンパネからアクセスできるようにすることで不安を感じる方もいるかも知れませんが、コントロールパネルの2段階認証で強固にアクセスを保護する方法を後述します。

VPNまたはSINET5の利用

一言にサーバのクラウド化と言っても、研究室のウェブサーバと、研究用サーバでは求められるセキュリティレベルも異なります。通信経路の保護方法も、インターネットVPNを利用する場合と、学術系の閉域網サービス SINET5を利用する場合の、2つに分けられます。これらを用途別に当てはめてみるとこのような形になることが多くあります。

・Webサーバなどの、公開を前提としているサーバ → インターネットVPN
・研究用サーバ → 「ハイブリッド接続」を利用してSINET5に接続

高いセキュリティを確保しつつ、学術系機関との接続性を高めたい場合は、さくらのクラウドとSINET5を接続することが出来ます。この場合はグローバル側のネットワークにつなげないことが可能ですので閉域網として使う事が出来ます。接続には「ハイブリッド接続」を利用します。

公開サーバなどの場合はメンテナンス用の回線として、安価なインターネットVPNを利用することがよくあります。さくらのクラウドでは、インターネットVPNは「VPCルータ」というアプライアンスで利用可能です。VPNを利用するだけであれば安価なスタンダードプランで十分です。スタティックNATが必要であればプレミアム以上のプランを利用します。VPN 接続数によって追加料金は発生せず、VPCルータの利用料以外の費用は発生しませんので予算も立てやすい特徴があります。    

さらに、VPCルータは、ファイアウォール機能や、NAT、ルーティング、syslog(ログ出力)機能など、ルータとしての基本的な機能も備えています。

2段階認証などでセキュリティ対策も万全

サーバのセキュリティ対策は、大きく2つに分類されます。クラウドインフラとしてのセキュリティ対策と、構築するサーバのセキュリティ対策です。
クラウドインフラとしてのセキュリティ対策としてよく挙げられるのがユーザ管理、アクセスレベル、2段階認証です。さくらのデータセンターがバーチャルデータセンターであることは前述しましたが、クラウド環境のセキュリティ対策を実際の物理のデータセンターと比べてみましょう。

データセンターとクラウドのセキュリティ対策比較の一例 物理データセンターでいう入館者登録に相当するものがユーザ管理になります。ユーザを分けていると、どのユーザが作業したかが作業履歴も残るので、監査などにも対応することが可能です。
複数のユーザがいると、全員が同じ権限を持っているとは限りません。たとえば、監査担当者であれば、サーバの確認は必要かも知れませんが、サーバ自体にログインする必要はありません。運用担当者であれば、当然サーバへのログインや再起動などの権限は必要ですが、作成や削除の権限は必要ないかも知れません。適切なセキュリティを確保するためには、ユーザには最低限の権限を付与するべきです。そのため、ユーザには下図のようなアクセスレベルを設定できるようになっています。
また、請求情報やイベントログ(コンパネの操作ログ)へのアクセス権限をアクセスレベルとは別にON/OFFする事も可能になっています。

・アクセスレベル
-作成・削除:サーバやスイッチ等のリソースの作成や削除
-設定編集:プラン変更や設定の変更
-電源操作:電源のOFF/ON
-リソース閲覧:閲覧のみ
-アクセス不可:閲覧もできない

・アクセス権限
-オブジェクトストレージ
-Webアクセラレータ
-イベントログ
-請求情報

必要な人に必要な権限を付与することで影響範囲は極小化できますが、権限を付与した人の安全性はどのように担保すればよいでしょうか。それには、2段階認証を利用します。一般的なユーザ認証はIDとパスワードで行われますが、パスワードが推測または窃用されてしまうということが昨今では頻繁に発生しています。そのような現状で安全性を高めるために2段階認証は機能します。2段階認証は、ID・パスワードの他に、ワンタイムパスワードを使用し、「認証アプリ(TOTP)・SMS(テキストメッセージ)・音声電話」による3種類の認証方法を選択できます。ワンタイムパスワードは数十秒間だけ利用可能なパスワードで仮に外部に漏れたとしても、すぐに使えなくなるため高い安全性を担保することが可能になります。
会員メニューの2段階認証について
さくらインターネットでは、様々な操作が可能なコンパネにおいて、高い安全性を保つための取り組みを行っております。

サーバ単位での管理コンパネ

ユーザはアカウント(プロジェクトや部署などの単位で作るクラウドリソースの集まり)単位でのアクセスを制御していましたが、学術機関では特定のサーバだけにアクセスが出来るコンパネが欲しいと言うリクエストが多くあります。

現在は特定の組織への提供のみを行っていますが、これは、ユーザをプロジェクトや研究室に割り当て、学生にサーバを提供するようなケースで活用されることが多いためです。サーバ単位でのコンパネは非公開ながらすでに提供の実績があります。。特性のサーバの再起動、コンソール操作などの操作を特定の人に権限を与えることが可能になります。この機能に興味のある方はお問い合わせください。
※本機能は、今現在は一般公開されている機能ではございません。一般公開される際は、機能等が変更される場合があります。あらかじめご了承ください。

WAFやIPSを利用したい

サーバ側のセキュリティ対策について目を向けてみると、前述のVPCルータを使ったVPNやファイアウォールといった機能でセキュリティ対策を行うことが可能です。
さらに踏み込んだ対策としては、サーバのウェブアプリケーションへの攻撃を検知・防御するWAF(ウェブ・アプリケーション・ファイアウォール)、「SiteGuard Lite」を提供しております。「SiteGuard Lite」は、通常は有償の製品となっていますが、さくらのクラウドで利用する場合、無料でご利用いただけます。

また、ネットワーク単位でファイアウォールよりも踏み込んだ対策として、IPS(侵入防御システム)を利用するケースもあります。さくらのクラウドでは機能としてはまだ提供しておりませんが、利用者の方自身が構築している実績のあるソリューションとしては、「SophosUTM」が上げられます。VPCルータの代わりに「SophosUTM」をルータとして利用することでサーバ等へのアクセスをIPSなどで保護することが可能です。
VPCルータをはじめとして、サーバ単位、ネットワークでのセキュリティ対策も充実した内容となっております。

まとめ

ここまで見てきたように、学術系機関からよくリクエストされる機能については幅広く解決方法を持っております。
お気軽にご相談ください。

資料請求・お問い合わせ

導入事例集

無料ダウンロード
0120-380-397
平日 10:00〜18:00(祝日を除く) メールでのお問い合わせ