|
|
新しい拠点となる秋葉原UDX、ダイビルで、AlaxalA & Apresiaを採用したセキュアなネットワークを構築。
日立グループのガイドライン策定がここから始まった。
|
 |
|
2006年4月、日立製作所ではお茶の水にあった本社の管理部門を秋葉原UDXビル、ダイビルに移行。
最新のネットワーク技術を活用して、コアスイッチにAlaxalAを、エッジスイッチにApresiaを選択して、日立グループ内のネットワーク標準となるセキュアな高速ネットワーク環境を構築した。
今回初めてオール日立製品で構築した背景について、情報システム事業部e-プラットフォーム本部ネットワーク統括部主任技師の岡山隆司氏、運用を担当している全国情報ネットワーク本部情報ネットワーク第3部の入澤昌氏に語っていただいた。
|
| 名称 |
株式会社 日立製作所 |
| 所在地 |
〒163-8001
東京都千代田区丸の内一丁目6番6号 |
| URL |
|
|
|
|
高効率、高性能、ハイセキュアなネットワークを構築し、日立グループ内のガイドラインを策定するために。
|
株式会社 日立製作所
情報システム事業部e-プラットフォーム本部
ネットワーク統括部
主任技師 岡山 隆司 氏
|
|
本社の中枢を担う新しいネットワーク構築に際して、その中心的な役割を担ったネットワーク統括部主任技師の岡山氏はその導入目的について語る。
「第一の目的は、今後の日立グループの模範となるようなセキュアで高速なネットワークの構築です。そしてできればオール日立製品でという想いがありました。以前は海外ベンダの機器を中心に使用しており、また各拠点で個別に展開していました。2004年から高効率、高性能、ハイセキュアなネットワークの統合化、フラット化に取り組んでおり、その第一弾として構築したのが今回のネットワークです。
これまでどのような課題があったのだろうか。
|
「まずセキュリティの問題です。ネットワークはWANでつながれた、ひとつの大きな網を構成しています。それぞれの末端に脆弱性があると全体のセキュリティレベルが下がってしまいます。拠点のセキュリティレベルを均一にする必要があったのです。また人材的に多種多様の製品の運用をサポートできるエンジニアを確保することが困難でした。一定のガイドラインに基づいた仕様で作られたネットワークで展開していけば、人材の広範な活用も行えます」
ガイドライン設定に向けた準備は3年前から始まっていたと言う。
「ネットワーク黎明期には、工場・事業所単位で個別に構築していました。しかしグループ内ではさまざまなコラボレーションが行われており、組織変更や分社化、事業の再編を行う上でも弊害が出てきました。そこで社内ネットワークの標準化を図るために、日立グループのITインフラを統合する方針が決定し、推進されることになりました。その検討の過程で、末端からWANを含めて1つのシステムとしてフラットにしていく必要性を感じ、ネットワークについてのガイドラインを策定することにしました。特にいろいろなレイヤーでセキュリティ技術を実装していくことが主眼でした。その最初の取り組みとして、UDXビル、ダイビルのLANにネットワーク認証技術を盛り込み、構築することになったのです」
|
|
コスト・パフォーマンスはもちろん、エンド側のセキュリティを重視することが、Apresia採用の決め手。
|
日立グループのガイドラインとなるネットワーク構築に向けて、どのような導入プロセスをたどったのか。
コアスイッチにAlaxalAを選択、エンドスイッチにApresiaを採用した経緯について岡山氏は説明する。
「ある時、研究部門から超並列コンピュータの計算用に10Gネットワークを組みたいということで話があり、通信キャリアとWAN側の打合せを行いましたが、その中でApresiaがキャリア用途にも採用されていることを知り、改めて品質・機能性の高さを認識しました。並行してダイビルの検討を他社製品で進めていたのですが、参考のために日立電線さんのSEの方にヒアリングさせていただきました。AlaxalA & Apresiaと他社製品とを比較しながらコンセプトをご説明して提案をお願いしました。1Gアップリンク、48ポート収容で802.1Xサポート。加えてApresia NA*1 によるフレキシブルな認証方式の選択や、将来の検疫ネットワーク対応についてご説明頂きました」
何が採用の決め手だったのか、その逆転劇について岡山氏は明かす。
「Apresiaを選んだのは、コスト・パフォーマンスが勝っていたこと。検討していた他社製品と比べると圧倒的な開きがある。また今回の構築ではセキュリティが重要なキーワードになっています。島ハブからPCに接続するとコストは抑えられますが、末端のセキュリティを管理することができません。できれば、セキュリティを保ったままエッジSWへ直接PCをつなぎたかった。しかし、他社製品でそれをやるとかなりコストの高騰を招いてしまう。また極端に低コストの別製品では性能の面で不安でした。そこで、エンド側フセキュリティを最重要視して日立電線のApresiaを選択しました。コアとなるAlaxalAのAXシリーズは、日立製作所のスイッチ&ルータ製品であるGS/GRシリーズを継承し、AlaxalAで発展させたものです。そういった意味で結果的にオール日立グループの製品になったわけです。オール日立グループ製品で、基本的な要件をすべて満たしたネットワークを構築出来ることを実証するという考えがカタチになりました」
| *1 |
Apresia NA:Apresia独自の認証機能。NAはNetwork Anthenticationの略 |
|
|
秋葉原UDXビル/ ダイビル ネットワーク構成図
|
※本取材は2006年4月5日時点の内容です。
|
|
|
Apresiaの高信頼性とともに、RADIUSサーバで一括管理してMAC認証が行えるフレキシブルなネットワーク認証機能を評価。
|
導入後のApresiaについて、その信頼性の高さとネットワーク認証機能を岡山氏は評価する。
「そもそも壊れないと思って導入しましたが、ここまで壊れないとは思わなかった。本当に壊れない。ネットワークを管理する上でこれは非常にありがたいです。それとApresia NAは、他社製品にはない機能です。ネットワーク認証で難しいのは、サポートしない端末をどうするかということなんです。特に802.1Xというのは端末側でもサポートしていなければなりません。それを基本にするとセキュリティは高いものになりますが、プリンタや古い端末はつながらないことになります。それではどうしたらいいのか。他社製品の場合は、802.1Xを他のポートに設定してプリンタをつなぐポートだけフリーにしておくか、各スイッチごとにMACアドレスを入れてそれだけ通すという方法もありますが工数的に見合わない。それに対してApresia NAでは、MACアドレスを認証サーバであるRADIUSサーバに登録しておくだけで一括管理してMAC認証できる。ポートごとに802.1XとApresia NAの場所を分けておくことができるので、すべての端末を802.1Xで認証するまでの間、レガシーな機器に対してはApresia NAにし、かつセンターでMACアドレスを管理して認証をとれる。将来の完全な802.1Xに向けて都合がいいですね」
株式会社 日立製作所
情報システム事業部
全国情報ネットワーク本部
情報ネットワーク第3部
主任 入澤 昌 氏
|
|
運用サポートを担当する入澤氏も信頼性の高さについて述べる。
「ずっと海外製品を使っていたので、正直言って最初はどうなんだろうかという感じでした。これくらいの数のスイッチを入れたら、1年でどれくらい壊れるのだろうかと思っていました(笑)しかし、ここ1年はメンテナンスフリー。落ちないし、障害も初期不良もなく、これは使えると実感しました。また国内ベンダなので要求を出しやすく、回答がすぐに返ってくるので助かります。Apresia NAに関しては、自宅のPCを持ってきてもつながらないわけですから、管理する側として安心感はありますね。不正に持ち込んだPCはつながせない。許可されているPCでも、一定期間離れていたPCも同じです。いままでは島ハブベースでアドレスがわかればつなげてしまうので、そこからウイルスに感染してしまうこともありました。以前よりかなり減っていると思います」
|
|
|
今後の他拠点への展開の中で、日立電線らしいフットワークの良さに期待を寄せる。
|
 |
|
日立電線に対しては、機能が進化し続けている印象を持つと言う。一番評価するところは、海外ベンダにない対応の速さだと述べる岡山氏は、今後の展開についても日立電線の優位性を指摘している。
「いま利用製品の標準化というものを進めているのですが、その中での標準製品という位置づけでAlaxalAとApresiaを考えています。標準的なネットワークであれば、これらの製品のみで設計が可能です。単体の性能や実装されているいろいろな機能で不利なところはまったくない。UDX・ダイビルは日立グループのネットワークのガイドラインを具体化したものですから、当然ながら横展開していくつもりです。中小規模拠点ではすでに展開が始まっています」
|
入澤氏も対応について感想を述べる。
「構築時に、安定した冗長切り替え機能としてGSRP*2 との連動が必要になったのですが、1ヶ月足らずで対応してくれたんです。フットワークが本当に軽いなと驚きました。早くやってくれて、早く答えを出してくれる。利用する側にとっては大きなメリットがあります」
日立電線に対する今後の期待も大きい。
「運用開始後もよく連絡をくれますし、新しいものが出るとすぐに教えてくれる。今後もフットワークの軽さを維持してもらいたい。引き続き価格を抑えた製品を出していただけるとありがたいですね」
岡山氏もさらなる期待をよせる。
「技術革新がどんどん進んでいるので、それに遅れずに新製品を投入して欲しいですね。品質の考え方も上がっていきます。市場の一般のレベルよりも高いレベルを維持しながら、新製品を継続的に出していただきたい。当然今後は10Gbpsへ、その先には40Gbps、100Gbpsがあるでしょうけど、そういう時にも付加価値のある製品を出して欲しい。性能面だけでなく、いまと同じようにセキュリティ、運用性、信頼性までも含めて供給して欲しいですね。それとロードマップを出して、ちゃんと約束を守っていただけること。海外ベンダの場合、自社の都合で方針転換するとあっさりと切ってしまうことがある。日立電線さんには、信頼され続ける会社であって欲しいと思います」
| *2 |
GSRP:Gigabit Switch Redundancy Protocolの略。レイヤ2/3スイッチの冗長化を実現するプロトコロル |
|
|
Hitachi Cable
|
 |
|
シンプルで信頼性の高いセキュアなネットワークを構築するうえで、コストと機能のバランスが最適なソリューションをご提案出来たと思います。特に認証方式をフレキシブルに選択頂けるという部分が、「末端まで漏れなくセキュアに」という、ご要望に合致したと考えています。
今後もご要求が更に高度化していくと思いますので、フットワークを軽やかに、機能的にも品質的にもご満足頂ける製品をご提供し続けていきたいと思います。
|
|
|
株式会社 日立製作所
|
日立製作所の情報システム事業部e-プラットフォーム本部ネットワーク統括部は、日立グループ全体のネットワークの開発・構築を担当しているディビジョン。
OSIにおける各層の標準化を進める役割を持ち、日立製作所の本社機能の移転を契機に、よりセキュアな高速ネットワーク環境を構築することとなった。
秋葉原UDX・ダイビルでのネットワーク構築が基本モデルとなり、e-プラットフォーム本部を核に2003年から進められている標準化のためのガイドラインを本格化させ、日立グループ内にある各拠点への展開を行うことになっている。
本事例記載の情報(役職名、製品価格、製品仕様、サービスの内容、お問い合わせ先、URL等)は、取材日現在の情報です。予告なしに変更され、検索日と情報が異なる可能性もありますので、あらかじめご了承ください。
