【てくさぽBLOG】IBM Power Virtual ServerのAIX環境とIBM Cloud Object Storageを接続してみた（Part2）

2023年04月

【てくさぽBLOG】IBM Power Virtual ServerのAIX環境とIBM Cloud Object Storageを接続してみた（Part2）

ブログ

こんにちは。
てくさぽBLOGメンバーの高村です。

本ブログは IBM PowerSystems Virtual Server（PowerVS）から IBM Cloud Object Storage（IBM COS）へバックアップ取得を想定し、AIX環境から Proxyサーバ経由で IBM COS へファイル転送を行う手順をご紹介するブログです。

前回の Part1 では、PowerVS、VSI for VPC、Direct Link Connect、IBM COS のプロビジョニング手順をご紹介しました。
Part2（本ブログ）では、各サービスの設定とファイル転送を行います。

Part1 でもご説明しましたが、以下の図は検証の接続イメージ図です。
今回はセクション1,2,3,4の IBM COS の設定、Proxyサーバソフトウェアの設定、AIXの設定、最後にAIX環境からProxyサーバ経由でIBM COSへファイル転送を行う手順をご紹介します！

セクション
1）IBM COSの設定 2）VSIのセキュリティー・グループ設定 3）Proxyサーバの設定 4）AIXの設定 5）IBM COSへファイル転送 6）IBM COSの使用量確認さいごにお問い合わせ

1）IBM COSの設定

・作成したバケットにアクセス・ポリシーを設定します。作成したバケットをクリックします。

・バケット・アクセス・ポリシーの設定画面でユーザをプルダウンして選択し「アクセス・ポリシーの作成」をクリックします。

・アクセス・ポリシーが作成されました。

・左側メニューから「サービス資格情報」を選択し「新規資格情報+」をクリックします。

・「HMAC 資格情報を含める」を「オン」にして「追加」をクリックします。

・サービス資格情報が作成されました。
※AIXの設定で赤枠内のaccess_key_idとsecret_access_keyが必要なのでテキストなどにメモしておきましょう

IBM COSの設定が完了しました。

2）VSIのセキュリティー・グループ設定

IBM COSへの通信はhttps (port443) を使用します。VSIのセキュリティー・グループ設定でインバウンド・ルールにport443の許可を設定をします。

・ナビゲーションメニューから「VPCインフラストラクチャー」「セキュリティー・グループ」を選択、「ルール」タブを選択し、インバウンド・ルールの「作成+」をクリックします。

以下の設定で作成します。
- プロトコル：TCP
- ポート最小値：443
- ポート最大値：443
- ソースタイプ：CIDRブロック
- IPの範囲：192.168.1.0/24 (PowerVSのセグメント)

・インバウンド・ルールにport443許可の設定ができました。

3）Proxyサーバの設定

Part1でもご紹介しましたが、PowerVS から IBM COS への接続には IBM Cloud (x86環境) 上の Proxyサーバを経由する必要があります。
今回は Proxyサーバソフトウェアとしてリバースプロキシ機能がある nginx を使用します。

・作成した VSI に ssh でログインし、su で rootユーザにスイッチします。
nginx設定のため “/etc/nginx/nginx.conf” を探しましたが見当たりません。RHEL に nginx はデフォルトで導入済みと思い込んでいましたがインストールが必要でした。
yumコマンドを使用してインストールします。

# yum -y install nginx

・nginxのプロセス起動を確認します。

・”/etc/nginx/nginx.conf” が作成されていました。次はnginx.confを編集します。

・その前にファイルのバックアップを行います。

・viコマンドでnginx.confファイル内のhttp { } の中に下記を追加します。
proxy_passはIBM Cloud資料「Endpoints and storage locations」記載の IBM COS の Direct Endpoint を指定します。

vi /etc/nginx/nginx.conf

server {
client_max_body_size 100M;
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name 10.244.64.14; <VSIのIPアドレス
root /usr/share/nginx/html;

ssl_certificate “/etc/ssl/certs/NGINX-selfsigned.crt”;
ssl_certificate_key “/etc/ssl/NGINX-selfsigned.key”;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
proxy_set_header Host $server_name;
proxy_pass https://s3.direct.jp-tok.cloud-object-storage.appdomain.cloud ;
}　<IBM COSのDirect Endpoint

# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;

error_page 404 /404.html;
location = /40x.html {
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

・nginxにhttps通信のため自己証明書を作成します。以下コマンドを実行します。
今回パラメーターは特に入力せずブランクで設定しました。

# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/NGINX
-selfsigned.key -out /etc/ssl/certs/NGINX-selfsigned.crt

・systemctlコマンドでnginxのサービスを再起動し、ステータスを確認します。

# systemctl restart nginx
# systemctl status nginx

これでProxyサーバソフトウェアの設定は完了です。
コマンドのインストールが必要など、多々躓きました。次は AIX側の設定です。

4）AIXの設定

AIX から IBM COS を操作するために s3cmd というツールをインストールします。
以下 rpmファイルを「Apache 2 Test Pageのrpmファイルダウンロードページ」からダウロードし、SCP などのツールで任意のディレクトリに配置します。

file-5.32-1.aix5.1.ppc.rpm
file-libs-5.32-1.aix5.1.ppc.rpm
python-magic-5.32-1.aix5.1.ppc.rpm
s3cmd-1.6.1-1.aix5.1.noarch.rpm

・rpmコマンドでインストールします。
s3cmd-1.6.1-1.aix5.1.noarch.rpmファイルをインストールしようとしたところ error でインストールできませんでした。どうやら前提ファイルが足りないようです。

# rpm -i file-libs-5.32-1.aix5.1.ppc.rpm
# rpm -i file-5.32-1.aix5.1.ppc.rpm
# rpm -i python-magic-5.32-1.aix5.1.ppc.rpm
# rpm -i s3cmd-1.6.1-1.aix5.1.noarch.rpm
error: Failed dependencies:
python-dateutil >= 2.6.0-1 is needed by s3cmd-1.6.1-1.noarch
#

・以下のrpmファイルを「AIX Toolbox for Open Source Software」からダウンロードし、SCPでAIXに転送し、rpmコマンドでインストールします。
「python-dateutil-2.6.0-1.aix6.1.noarch.rpm」

# rpm -i python-dateutil-2.6.0-1.aix6.1.noarch.rpm

・インストールを失敗した rpmファイルも無事インストールできました。

# rpm -i s3cmd-1.6.1-1.aix5.1.noarch.rpm

・以下のコマンドで環境変数を設定します。

# export PATH=/opt/freeware/bin:$PATH

・以下のコマンドで IBM COS に接続しようとしましたが、エラーが返ってきてしまいました。
エラーの内容からs3cfgのパラメーターが設定されていないようです。

# s3cmd -ls
ERROR: /.s3cfg: None
ERROR: Configuration file not available.
ERROR: Consider using –configure parameter to create one.

・Web で検索して調べたところ s3cmd の初期設定が必要でした。
以下のコマンドを実行して設定します。
※access_key と secret_key は「１) IBM COSの設定」でメモした access_key_id と secret_access_key を入力します。

# s3cmd –configure

Enter new values or accept defaults in brackets with Enter.
Refer to user manual for detailed description of all options.

access key and Secret key are your identifiers for Amazon S3. Leave them empty for using the env variables.
access Key:メモした情報
Secret Key :メモした情報
Default Region [US]:　＜ブランクのままエンターキーで継続

Encryption password is used to protect your files from reading
by unauthorized persons while in transfer to S3
Encryption password:　　＜ブランクのままエンターキーで継続
Path to GPG program [None]:　　＜ブランクのままエンターキーで継続

When using secure HTTPS protocol all communication with Amazon S3
servers is protected from 3rd party eavesdropping. This method is
slower than plain HTTP, and can only be proxied with Python 2.7 or newer
Use HTTPS protocol [Yes]:　＜ブランクのままエンターキーで継続

On some networks all internet access must go through a HTTP proxy.
Try setting it here if you can’t connect to S3 directly
HTTP Proxy server name:　＜ブランクのままエンターキーで継続

New settings:
access Key: c03ad59f84274b069f69cc60b0b4fb9b
Secret Key: 3b8c9337eff3d611fd7081f6d13223841f19bb72725f7821
Default Region: US
Encryption password:
Path to GPG program: None
Use HTTPS protocol: True
HTTP Proxy server name:
HTTP Proxy server port: 0

Test access with supplied credentials? [Y/n] n　＜nを入力

Save settings? [y/N] y　＜yを入力
Configuration saved to ‘/.s3cfg’

・ホームディレクトリの下に .s3cfgファイルが作成されました。
viコマンドで host_baseとhost_bucket の項目を編集します。access_key と secret_key は前述の初期設定で反映済みです。

# cat .sc3cfg
access_key = xxxxxxxxxxxxxxxxx
check_ssl_certificate = False
check_ssl_hostname = False
encrypt = False
gpg_command = None
host_base = 10.244.64.14　<VSIのIPアドレス
secret_key = xxxxxxxxxxxxxxxxx
use_https = True
host_bucket = %(bucket).10.24.64.14　<VSIのIPアドレス
#

・再度 AIX から IBM COS に接続してみたところ接続成功し、IBM COS に作成したバケットが表示されました。

# s3cmd ls
2022-12-12 05:32 s3://icos-test-20221212

ようやく AIX から Proxyサーバ経由で IBM COS に接続することができました。
細かいところで躓いてしまったので少し時間がかかりました。次は AIX から Proxyサーバ経由で IBM COS にファイル転送をしてみたいと思います。

5）IBM COSへファイル転送

AIX から Proxyサーバ経由で IBM COS にファイル転送をします。
今回は1.8GBのファイルを用意し IBM COS への転送時間を Timeコマンドで計測します。
また、Proxyサーバでは dstatコマンドで受信データ量、送信データ量、CPU の使用状況を確認します。

・VSIにログインし、dstatコマンドをインストールします。

# yum -y install dstat

・ファイル転送時にProxyサーバでの受信データ量、送信データ量、CPU使用割合を確認するためdstatコマンドをオプション無しで実行しておきます。

# dstat

・次に AIX にログインし、SCP などで任意のディレクトリに IBM COS に転送するファイルを配置します。

# cd test_data
# ls -l
合計 3756712
-rw-r–r– 1 root system 1923432893 Dec 16 12:06 DB2S_11.5.4_AIXML.tar.gz

・以下コマンドを実行し、IBM COS にファイル転送を行います。
15MB毎に分割されてアップロードされていることがわかります。Timeコマンドの結果から転送時間は2分37秒でした。思っていたよりも速い印象です。

# time s3cmd put /test_data/DB2S_11.5.4_AIXML.tar.gz
s3://icos-test-20221212/DB2S_11.5.4_AIXML.tar.gzupload: ‘/test_data/DB2S_11.5.4_AIXML.tar.gz’ -> ‘s3://icos-test-20221212/DB2S_11.5.4_AIXML.tar.gz’ [part 1 of 69, 15MB] [1 of 1]
65536 of 15728640 0% in 0s 858.63 kB/s 15532032 of 15728640 98% in 1s 12.11 MB/s 15728640 of 15728640 100% in 1s 7.78 MB/s done
upload: ‘/test_data/DB2S_11.5.4_AIXML.tar.gz’ -> ‘s3://icos-test-20221212/DB2S_11.5.4_AIXML.tar.gz’ [part 2 of 69, 15MB] [1 of 1]
65536 of 15728640 0% in 0s 862.77 kB/s 15728640 of 15728640 100% in 0s 16.22 MB/s done
upload: ‘/test_data/DB2S_11.5.4_AIXML.tar.gz’ -> ‘s3://icos-test-20221212/DB2S_11.5.4_AIXML.tar.gz’ [part 3 of 69, 15MB] [1 of 1]
65536 of 15728640 0% in 0s 865.13 kB/s 15728640 of 15728640 100% in 0s 25.65 MB/s done
-中略-
real 2m37.57s
user 0m4.63s
sys 0m0.70s
#

・Proxyサーバの画面に戻ってdstatコマンドの状況を確認します。
検証では送受信 (send/recv) とも平均30MB/sでした。CPU (user/sys/idle) を見ると使用割合は少ないことがわかります。

# dstat
You did not select any stats, using -cdngy by default.
—-total-usage—- -dsk/total- -net/total- —paging– —system–
usr sys idl wai stl| read writ| recv send| in out | int csw
0 0 100 0 0| 0 0 | 60B 633B| 0 0 | 50 72
0 1 100 0 0| 0 0 | 60B 298B| 0 0 | 48 71
0 0 99 0 0| 0 0 | 60B 314B| 0 0 | 44 68
0 0 100 0 0| 0 0 | 60B 298B| 0 0 | 43 67
1 0 100 0 0| 0 4096B|6575B 4017B| 0 0 | 91 93
2 1 96 0 2| 0 0 | 15M 56k| 0 0 |2374 1091
2 1 98 0 0| 0 0 | 235k 12M| 0 0 |1278 135
2 1 96 0 1| 0 0 | 12M 3564k| 0 0 |2136 994
1 1 97 0 0| 0 0 |3094k 13M| 0 0 |1869 382
5 3 91 0 2| 0 0 | 31M 18M| 0 0 |6414 2595
7 3 87 0 3| 0 0 | 26M 29M| 0 0 |6771 2006
1 0 99 0 0| 0 6144B|4022k 13k| 0 0 | 596 294
3 2 93 0 1| 0 0 | 16M 16M| 0 0 |4203 1323
6 3 87 0 3| 0 0 | 21M 29M| 0 0 |5826 1447
1 1 99 0 1| 0 0 |8528k 28k| 0 0 |1300 716
6 2 92 0 2| 0 0 | 17M 19M| 0 0 |4601 1358
5 3 91 0 3| 0 0 | 21M 26M| 0 0 |5732 1621
7 3 87 0 3| 0 0 | 25M 30M| 0 0 |6634 1800
2 1 97 0 1| 0 0 | 13M 39k| 0 0 |1806 877
5 2 90 0 2| 0 0 | 18M 19M| 0 0 |4897 1470
5 3 92 0 1| 0 0 | 31M 29M| 0 0 |7496 2665
6 3 88 0 3| 0 0 | 28M 28M| 0 0 |6420 2091
0 0 99 0 0| 0 0 | 60B 314B| 0 0 | 48 72
6 2 91 0 3| 0 0 | 19M 15M| 0 0 |4769 1541-以下省略-

・IBM Cloud のコンソールから IBM COS の画面に入ります。
作成済みバケットにAIXからアップロードしたファイルを確認できました。

これでファイル転送は完了です。
私の予想は5分以上かかると思っていましたが、予想よりも速かった印象です。

6）IBM COSの使用量確認

IBM COS は Liteプランの範囲で作業したため課金は発生しませんが、IBM Cloud の管理画面から使用量を確認できるので見てみましょう。

・IBM Cloud画面上の「管理」⇒「請求および使用量」をクリックします。

・「使用量」を選択し「Cloud Object Storage」をクリックします。
以下の画面の様に各メトリックの使用量を確認できます。ClassA (PUT) は数量233となっており、予想以上に使用していたことがわかりました。
※前述した通りLiteプランのためコストは$0となっています。

さいごに

Part1 からご覧頂きありがとうございます。遠回りしながらなんとかファイル転送をすることができました。

実際に作業してみて公開されている手順以外に必要な作業を確認できました。
Part1では、VSIのコンソールを開くためにユーザー権限が必要であることとRHELの初期パスワードはレスキューモードで再設定を行わなければいけないこと、Part2では、Proxyサーバソフトウェア設定で nginx やコマンドのインストールが必要なことがわかりました。
構築のご予定がある方はご参考になれば幸いです。

今回 PowerVS から IBM COS へ 1.8GB のファイルを転送しました。
私の予想では5分以上かかると思っていましたが意外にも予想の半分程度の時間で完了しました。Proxyサーバの send/recv値は平均 30MB/s なので、遅すぎる結果ではないと思います。
また、転送時 Proxyサーバの CPU使用割合は少なかったので、沢山のリソースを構成する必要はなさそうです。

今回は PowerVS から Proxyサーバ経由で IBM COS に接続しましたが、Qiita のブログ「オンプレミスやPowerVSからDirect Link 2.0越しにVPE経由でICOSのDirect Endpointにアクセスする」にある通り、VPE経由でもアクセスすることが可能となりましたので今後検証してみたいと思います。

お問い合わせ

この記事に関するご質問は下記までご連絡ください。

エヌアイシー・パートナーズ株式会社
E-Mail：nicp_support@NIandC.co.jp

2025年11月10日

【早わかり】ILMT導入前の注意点

＊　　＊　　＊　　＊　　＊　　＊こんにちは。てくさぽBLOGメンバーの原田です。 IBMソフトウェア（Passport Advantage：以下 PA）ライセンス管理ツールである IBM License Metric Tool（以下 ILMT）を導入するにあたり、ILMT の具体的な構成と導入前の注意事項についてご説明いたします。 ILMT の必要性や基本的な利用ルールついては「【早わかり】仮想化環境でIBMソフトウェアを利用するには」で解説していますので、ぜひご覧ください。目次はじめに ILMT9.2管理サーバーの導入タイプ ILMT9.2でサポートされるオペレーティング・システム ILMTサーバー構成に関するよくある質問さいごにお問い合わせはじめに ILMT でのライセンス管理にあたっては、ILMT管理サーバーを用意し、ライセンス管理を必要とするサーバーに対して ILMTエージェントを導入する必要があります。パスポートアドバンテージ契約が必要 ILMT は無償のツールですが、製品のダウンロードや技術サポート受けるにはパスポート・アドバンテージのご契約が必要です。このため、ゼロ円のライセンスの発注が必要な点にご注意ください。ご契約が締結されていない場合は、製品のダウンロードや技術サポートを受けることができません。また、翌年以降もソフトウェア・サブスクリプション&サポート（以下 SS&S）をゼロ円で注文する必要があります。（※SS&S契約がないとバージョンアップができないため） ILMT管理サーバーは専用サーバー（区画）への導入が前提 ILMT は専用のサーバー機または仮想サーバーにインストールすることが前提とされています。他のアプリケーションと共存させた場合、リソースやポートの競合が発生する可能性が考えられます。運用開始後に想定外の問題が発生することを避けるためにも、ILMTサーバー用に専用のサーバー機、または仮想サーバーをご用意ください。 ILMTは常に最新のバージョンをご利用くださいサブキャパシティ・ライセンスのご契約条件上、ILMT は常に最新のバージョンをご利用いただくことが前提です。最新バージョンをご利用でない場合は規約違反となり、監査上お客様に不利益が生じる可能性がありますのでご注意ください。また、最新バージョンには様々な修正が含まれているため、問題の発生を事前に抑制するためにもバージョンアップをご実施ください。現時点での ILMT最新バージョンは9.2となっています。9.2リリース後も「License Metric Tool -新機能-」（IBMサイト）に記載の通り随時修正がリリースされるため、常に最新化する必要があります。 ILMT9.2管理サーバーの導入タイプ ILMT の現時点最新バージョンは9.2です。ILMT 9.2 における管理サーバーの導入タイプとしては、以下の3種類が用意されています。 License Metric Tool Lite Ansibleを使用したLicense Metric Tool BigFixを使用したLicense Metric Tool 上記のうち1と2については、エージェント側で収集した情報を手動でサーバーに渡す仕組みを検討する必要があるため弊社では「3」のタイプでの導入を推奨しており、今回は「3」のパターンで ILMT管理サーバーを構成する場合についてご説明します。各導入タイプの詳細については「License Metric Tool -インストール-」（IBMサイト）の資料をご参照ください。 BigFixを使用したLicense Metric Toolの構成概要図以下図の通り、サブキャパシティー・ライセンス対象のシステム上に導入する BigFixクライアントにて収集したデータを ILMT/BigFixサーバーにアップロードし、ILMTサーバーにて監査レポートを作成します。 BigFixサーバーから最新のソフトウェアカタログを入手するため、インターネット接続が必要です（直接インターネットに接続できない構成の場合はAir-Gapped構成も可能） BigFix は HCL社の製品ですが、ILMT で利用する BigFix については IBMサポートの対象となります ILMT9.2でサポートされるオペレーティングシステム次に、「IBM License Metric Tool」（IBMサイト）を元に、ILMT を導入するサーバーのオペレーティング・システムの前提を確認する必要があります。 [確認手順] 1) 表示される画面で最新バージョン・リリースを選択してください。 2) 次に表示される画面で「Operating Systems」を選択してください。 3) 次に表示される画面で現在サポートされているOS・バージョンをご確認いただけます。 ILMT管理サーバーとエージェントを導入するサーバーでは、サポートされるオペレーティング・システムが異なりますのでご注意ください。弊社では、LESサーバーを利用した ILMT管理サーバーのサンプル構成（現在は以下に記載の4パターン）を準備しています。 Windows構成 RHEL構成特徴 1台のマシンにILMTサーバー、BigFixサーバー、BigFixコンソールを同居させる構成 1台のマシンにILMTサーバー、BigFixサーバーを同居させる構成 BigFixコンソール別途用意は不要別途PC等で用意が必要（Windowsのみサポート） ILMT管理サーバーのOS Microsoft Windows Serve Red Hat Enterprise Linux（RHEL）データベース MS SQL Server Standard Edition（コアライセンスモデル） Db2（ILMTサーバーライセンスとともに無償提供）主なHWスペック、オプションモデル：SR250 V3 3年保証CTOモデル CPU：「エンドポイント最大1,000」パターン：4コア　　　「エンドポイント 1K～5K」パターン：6コアメモリ：16GB 内蔵ディスク：600GB 10K SAS HDD x 3（RAID1+ホットスペア） 1GbE NIC：オンボード2ポート + 4ポートアダプター x 1 その他：外付けDVD-RW、200V電源コード保守：5年24x7、メディアお渡しオプション、Value Selection ILMTサーバー構成に関するよくある質問 Windows構成の場合、データベースとして MS SQL Server Expressは利用できますか？ IBM License Metric Tool と BigFix を同一コンピューターに導入するオールインワン構成の場合、SQL Server Express はご利用いただけません。また、BigFix は本番環境での SQL Server Express のご利用はサポートされておりません。従いまして、Windows にて IBM License Metric Tool を構築する場合は、有償版の SQL Server が必要となります。 RHEL構成の場合、データベースとして別途Db2ライセンスの購入が必要でしょうか？いいえ。Db2ライセンスはILMTライセンスとともに無償で提供されるため、別途購入は不要です。 RHEL構成の場合、BigFixコンソールは別途必要でしょうか？はい。BigFixコンソールは Windows のみがサポートされるため、別途PC等で BigFixコンソールをご用意いただく必要があります。「オプション A: Linux へのオールインワン・インストール（BigFixシナリオ）」もご参照ください。さいごに昨今のシステムでは仮想化やコンテナ化は当たり前になり、仮想化環境やコンテナ環境におけるソフトウェア製品のライセンス管理は必要不可欠となっています。コンテナ環境で IBM PAライセンスをご利用される場合には「IBM Container Licenses」（IBMサイト）をご確認ください。 IBMソフトウェア製品のライセンス管理ツールとして ILMT はおなじみの製品となりましたが、ILMT を取り巻く環境や制度は時代の流れと共に変化しています。ぜひ正しい理解のもとでご利用いただきますようお願いいたします。また、IBM PAライセンスを管理するツールとして「Flexera One with IBM Observability」という SaaS製品もございます。弊社での導入検証結果を「【やってみた】IT資産管理ソリューション「Flexera One with IBM Observability」を使ってみる -Part1-」でご紹介していすので、ぜひご覧ください。お問い合わせこの記事に関するご質問は下記までご連絡ください。エヌアイシー・パートナーズ株式会社E-Mail：nicp_support@NIandC.co.jp .highlighter { background: linear-gradient(transparent 50%, #ffff52 90% 90%, transparent 90%); } .anchor{ display: block; margin-top:-20px; padding-top:40px; } .btn_A{ height:30px; } .btn_A a{ display:block; width:100%; height:100%; text-decoration: none; background:#eb6100; text-align:center; border:1px solid #FFFFFF; color:#FFFFFF; font-size:16px; border-radius:50px; -webkit-border-radius:50px; -moz-border-radius:50px; box-shadow:0px 0px 0px 4px #eb6100; transition: all 0.5s ease; } .btn_A a:hover{ background:#f56500; color:#999999; margin-left:0px; margin-top:0px; box-shadow:0px 0px 0px 4px #f56500; } .bigger { font-size: larger; }

ブログ

2025年11月05日

クラウド環境のインフラストラクチャ自動化にIaCツール「IBM Terraform」が活用される理由

公開日：2025-11-04 企業の中で、さまざまなシステムが存在する今、環境が変わっても、システムが同じ動きをしなければ、開発者の負担となるだけでなく、ユーザーからのクレームを招くことにもなります。特に、大量のリクエストを捌くためのシステムでは、コンテナを活用してサーバー台数を自動で増減させるような仕組みが必要です。そこで今、企業に求められているものが、インフラストラクチャの効率的な管理を実現する自動化です。本コラムでは、インフラストラクチャの自動化において注目されている、「コードとしてのインフラストラクチャ : Infrastructure as Code（IaC）」の活用メリットと、今、世界のクラウド環境でもっとも多く利用されているIaC ツール「Terraform」をご紹介します。目次規模と複雑さが増大し続けるITインフラストラクチャに対して、企業に求められる課題 ITインフラストラクチャの自動化が必要な理由「Infrastructure as Code（IaC）」による自動化のメリットクラウド環境でもっとも利用されている IaC ツール「Terraform」 Terraformが選ばれる理由 TerraformとAnsibleの連携で実現するエンドツーエンドのハイブリッド・クラウド・プラットフォームまとめお問い合わせ規模と複雑さが増大し続けるITインフラストラクチャに対して、企業に求められる課題多くの企業が、1日に何百ものアプリケーションを本番環境にデプロイしています。そこでは常に、ITインフラストラクチャが要求に応じて立ち上げられ、あるいは削減され、その規模は頻繁に拡大や縮小が行われています。そのため、ITインフラストラクチャを安全かつ効率的に、構築、変更、バージョン管理することが、企業が提供するビジネスの品質・スピード・競争力を左右する最も重要な要素となりました。しかし、企業や組織のITインフラストラクチャの規模と複雑さが増大する一方で、時間やスタッフの数には限りがあり、ITチームは従来の手法ではこの拡大に対応するのが精一杯となっています。その結果、システムの更新やパッチの適用、リソースの提供に遅れが生じ始めている状況です。そこで今、企業が急ぎ導入を進めているのが、「ITインフラストラクチャの自動化」です。 ITインフラストラクチャの自動化によって、プロビジョニング、構成、デプロイ、撤去などの一般的な管理タスクを含む幅広い運用を単純化できるほか、ITインフラストラクチャに対する制御力や可視性を取り戻すことが可能となります。そのため、企業においてITインフラストラクチャの自動化は、コストを管理し、リスクを低減し、新たなビジネスチャンスや競争上の脅威に迅速に対応するためには不可欠な施策となっています。 ITインフラストラクチャの自動化が必要な理由 ITインフラストラクチャの自動化の必要性には、具体的に次のようなものが挙げられます。マルチクラウドやハイブリッドクラウドの活用マルチクラウドやハイブリッドクラウドの活用している場合、ITインフラストラクチャの管理において、多種多様な複数クラウドを管理するだけでなく、マルチクラウド間でのリソース移行や追加が求められます。また、クラウドネイティブアーキテクチャの採用においては、Kubernetesやサーバレスリソースのプロビジョニングなど、柔軟なリソース展開とスケーリングにも対応しなければなりません。コンプライアンスとセキュリティへの対応 ITインフラストラクチャの管理において、コンプライアンスとセキュリティに対応するためには、変更履歴のトレーサビリティを確保しつつ、セキュリティ要件と一貫性のある構成変更を行うことが重要となります。また、リソースコストの最適化を図るだけでなく、複数リージョンの管理と迅速な障害復旧によるグローバルな運用と展開を実現することも必要です。クラウドコストの削減クラウドに対する企業のコストは年々増加しており、クラウドコストの削減も大きな懸念事項となっています。正しいクラウドのライフサイクル管理を行えば回避可能なインフラストラクチャ関連コストとしては、ワークロードに対するリソースのオーバー・プロビジョニング未使用または十分に活用されていない開発/テスト用環境などのリソース標準化された共有サービス不足による専門知識、一貫したワークフロー、引き継ぎ不足環境削除のための有効期限未設定による一時的なクラウドリソースの稼働継続などがありますが、これらの無駄なクラウドコストを削減するためには、初期プロビジョニングだけでなく、ライフサイクル全体の管理が必要です。「Infrastructure as Code（IaC）」による自動化のメリット ITインフラストラクチャの自動化において、多くの企業から注目されているのが、インフラストラクチャをコードベースで管理・自動化できる「Infrastructure as Code（IaC）」です。 IaC は、サーバーやネットワークといったITインフラストラクチャの構成と管理に、手動プロセスではなく、高レベルの記述モデルで記述的なコーディング言語（プログラム）を用いる手法です。ネットワーク、仮想マシン、ロード・バランサー、クラスター、サービス、および接続トポロジーなど、組織のITインフラストラクチャの管理およびプロビジョニングを自動化することで、リスクとコストを抑えながら、より迅速なクラウド・アプリケーションの開発・導入・拡張を可能にします。また IaC は、ソフトウェア・デリバリー・ライフサイクルに欠かせない DevOps において、競争力のあるペースを生み出すための必須の手法でもあります。DevOpsチームは IaC を活用することで、ソースコードのバージョン管理を行うのと同じ感覚でインフラストラクチャを迅速に作成し、バージョンを管理し、バージョンを追跡することで、デプロイ時にIT環境間の不整合による深刻な問題を引き起こす可能性を回避することができます。その結果、IaC を活用することで、ソフトウェア・アプリケーションの開発、テスト、またはデプロイのたびに、サーバー、オペレーティング・システム、データベース接続、ストレージなどのインフラストラクチャを手動でプロビジョニングおよび管理する必要がなくなることから、（1）オートメーションによる構成の編集、共有、再利用の高速化（2）ITインフラストラクチャ管理の信頼性向上（3）意図しない設定変更や設定ミスによる構成の差異による構成ドリフトの防止（4）実験・テスト・最適化をサポートし新しいインフラストラクチャを迅速にスケールアップを実現し、クラウド・アプリケーションの開発・展開・拡張の迅速化とともに、リスクの軽減とコストの削減への効果が期待できます。クラウド環境でもっとも利用されている IaC ツール「Terraform」 IaC ツールは数多くありますが、AWSやGoogle Cloud 環境において、それぞれのクラウドベンダーが提供するネイティブな IaC ツールよりも多くの企業に採用されている IaC ツールが「Terraform」です。Terraformは、クラウドインフラのプロビジョニングで業界標準ツールとして、デファクトスタンダートの位置付けにあります。 Terraformは、クラウドネイティブな環境におけるインフラ運用の自動化を実現するソフトウェアです。宣言型のプロビジョニングおよびインフラストラクチャ・オーケストレーションにも対応しており、大規模なシステムやマルチクラウド環境において特に高い効果を発揮し、インフラ管理の効率化と安定化に大きく貢献します。また、インフラの設定をコードで記述し、それを基にインフラを構築・管理することで、手作業による人為的な設定ミスを減らし、環境の再現性を高めることができます。さらに、AWS、Azure、Google Cloud Platformなど、複数の主要なクラウド・プロバイダーに対応しており、プロビジョニング対象のリソースが豊富であることもTerraformの大きな特徴で、クラウドサービスの対応数は300以上に登ります。そのため、物理的なサーバーや DNSサーバー、複数のプロバイダーのリソースを同時に構築する自動化が可能です。さらに、様々な言語で書かれたアプリケーションを提供することができます。これにより、企業のクラウドベース、オンプレミスを問わず、すべてのインフラストラクチャの全側面のプロビジョニングを自動化し、クラウド環境やオンプレミス環境のインフラを効率的に管理します。また、クラウド環境で調達するサーバーの構成についても、「どのクラウドサービスで」「どのようなスペックを持つ仮想サーバーやリソースを使うか」といった指定をコードで記述することで、各クラウドのITリソースを調達し、需要に応じてリソースを割り当てるなど、効率的なシステムやサービスの運用を可能にします。 Terraformが選ばれる理由 Terraformが企業に選ばれる理由には、次のようなものが挙げられます。プラットフォームにとらわれない他のほとんどのIaCツールは、単一のクラウド・プロバイダーで動作するように設計されていますが、Terraformは、プラットフォームにとらわれず、任意のクラウド・サービス・プロバイダーで利用することが可能です。イミュータブル・インフラストラクチャ Terraformは、「イミュータブル・インフラストラクチャ」の思想に基づき設計されています。これは、一度構築したサーバーやコンテナなどのインフラに直接変更を加えず、変更が必要になった場合、新しいインフラを構築して入れ替える運用思想です。これにより、構成のずれ（環境差分）を防ぎ、システムの安定性を高め、セキュリティリスクを低減し、運用効率を向上させます。環境を変更するたびに、現在の構成は変更を考慮した新しい構成に置き換えられ、インフラストラクチャが再プロビジョニングされるため、以前の構成をバージョンとして保持したまま、意図しない設定変更や設定ミスによる構成の差異による構成ドリフトを防止し、必要あるいは要望に応じてロールバックを可能にします。マルチクラウドやハイブリッドクラウドの活用マルチクラウドやハイブリッドクラウドの活用 Terraformが提供するのは、複数クラウドを管理できる統一的なフレームワークです。そのため、マルチクラウド間でのリソース移行や追加が簡易なだけでなく、多種多様なクラウドへの対応を可能にして、クラウド・アプリケーションの開発・展開・拡張を迅速化します。クラウドネイティブアーキテクチャの採用とクラウドコストの最適化クラウドネイティブアーキテクチャを採用しているTerraformは、Kubernetesやサーバレスリソースのプロビジョニングに対応しています。そのため、柔軟なリソース展開とスケーリングを簡単に実現することが可能です。また、動的なリソースプロビジョニングと削除を自動化し、コスト分析ツールとのタグ統合でリソースコストを可視化することで、無駄なクラウドを精査してクラウドコストを最適化します。コンプライアンスとセキュリティ対応に基づくグローバルな運用・展開 Terraformは、変更履歴のトレーサビリティを確保し、ポリシー管理ツールでセキュリティ要件を自動化することで、一貫性のある構成変更と自動化のコンプライアンスとセキュリティ対応を可能にします。このコンプライアンスとセキュリティ対応を担保したままモジュール化されたコードで、グローバルに展開することも可能で、複数リージョンの管理を自動化し、迅速な障害復旧も実現して、より信頼性のあるITインフラストラクチャ管理が可能になります。 TerraformとAnsibleの連携で実現するエンドツーエンドのハイブリッド・クラウド・プラットフォーム IBMは、Terraformを開発した HashiCorp社を2025年2月に買収しました。この買収を通じてIBMは、ハイブリッドクラウドとマルチクラウド環境におけるエンドツーエンドの自動化機能の提供と、AI時代に対応するお客様の複雑なITシステムの管理を支援することを目指しています。その中でも特に、ハイブリッドクラウド環境におけるアプリケーションのプロビジョニングと構成の簡素化に大きく貢献するものとして期待されているのが、ITインフラのプロビジョニングとライフサイクル管理を自動化する「Terraform」と、オーケストレーションおよび構成管理を得意とする「Ansible」の組み合わせです。 IBMのHashiCorpの買収は、そのシナジー効果を見込んだものでもあります。 Ansibleは、IBM傘下のRedHatが開発するプロビジョニング、構成管理、およびアプリケーションのデプロイメントを自動化することを目的としたIaC ツールです。シンプルでエージェントレスなアーキテクチャを採用しており、IT運用の効率化やDevOpsの実践を支援することから、Docker コンテナや Kubernetes のデプロイメントのプロビジョニングを自動化するために多くの企業に選ばれています。ここで重要なのは、同じIaC ツールでありながら、TerraformとAnsibleでは得意な領域が違うことです。そして、両製品は競合させるのではなく、連携させることで効果が大きくなります。 Terraformが、特定のインフラベンダに依存せず、さまざまなクラウドインフラのプロビジョニング情報のIaC (による自動化を実現する)ツールであるに対して、Ansibleは、インフラ上のOSやミドルウェアの構成管理で業界標準の位置付けであり、豊富なミドルウェアの自動構成・設定機能で、ITインフラの構成管理やアプリケーションデプロイメントを自動化します。「インフラ層の構成管理」を得意とするTerraformと、「OS・ミドルウェア層の構成管理」を得意とするAnsibleは、それぞれ異なるプロビジョニングレイヤを担っており、対象となるリソースのライフサイクルも異なります。そのため、双方を効果的に使い分けることで、IaCの効果を最大化することができるのです。図版-1「インフラ層の構成管理」を得意とする Terraformと「OS・ミドルウェア層の構成管理」を得意とするAnsibleの最適な組み合わせまとめ NI+C Pは、IBM ソフトウェア(SW)とハードウェア(HW)の認定ディストリビューターとして、Terraform をはじめとするIBM のIaC製品において豊富な取扱い実績を有しています。 Terraform については、Ansibleとの連携だけでなく、「Cloudability 」や「Turbonomic」などのIBMの他製品との連携についても、お客様のニーズや要件に合わせて、IBM の SW と HW を組み合わせた最適な提案やカスタマイズの支援、 IBM 製品の特徴や利点をお客様にわかりやすく説明し、お客様・パートナー様のビジネスに最適な提案をサポートいたします。インフラ環境の複雑化とともに、さらなるニーズの高まりを見せているIaCの活用および Terraform の導入について、弊社の技術支援チームによるスキルイネーブルメント(座学勉強会や技術者認定試験の取得支援、ご提案サポート)、また、Terraform を絡めたIaC製品セールスのサポートへのご要望があれば、いつでもお気軽にお問い合わせ・ご相談ください。お問い合わせこの記事に関するお問い合せは以下のボタンよりお願いいたします。お問い合わせ .highlighter { background: linear-gradient(transparent 50%, #ffff52 90% 90%, transparent 90%); } .anchor{ display: block; margin-top:-20px; padding-top:40px; } .btn_A{ height:26px; } .btn_A a{ display:block; width:100%; height:100%; text-decoration: none; background:#eb6100; text-align:center; border:1px solid #FFFFFF; color:#FFFFFF; font-size:16px; border-radius:50px; -webkit-border-radius:50px; -moz-border-radius:50px; box-shadow:0px 0px 0px 4px #eb6100; transition: all 0.5s ease; } .btn_A a:hover{ background:#f56500; color:#999999; margin-left:0px; margin-top:0px; box-shadow:0px 0px 0px 4px #f56500; } .bigger { font-size: larger; }

コラム

2025年10月29日

水冷サーバーの違いとは？（レノボの水冷サーバー#2）

公開日：2025-10-29 こんにちは。ソリューション企画部柳澤です。前回レノボの水冷サーバーについてのブログを書かせていただき、いろいろなお客様にブログを読んでいただきました。前回の記事はこちら昨今、お客様ご自身の身の回りでもChatGPTの普及などでAIについて皆様も身近に感じてこられるようになってきたかと思います。今後はさらにAI、機械学習、HPCの台頭による計算能力の劇的な向上が見込まれます。それに伴う発熱量の増加で、従来の空冷システムの限界により水冷技術への注目度が高まっています。レノボの水冷と聞いて、レノボが今年初めて水冷サーバーを発表したのでは？と思うお客様もいらっしゃるかもしれません。しかし、レノボの水冷は2012年に発表された製品であり、その導入事例も世界に多数あります。弊社としましては、レノボの水冷サーバーについてラインナップの多さ、その歴史と導入事例の多さから、今後のAIやHPCの需要が高まる時代を取り巻く中で皆様にぜひご提案させていただきたく、今回もレノボの水冷サーバーにテーマを絞ってブログを掲載させていただきたいと思います。では早速ですが、前回お伝えできなかった部分もふくめて、下記にてさらにレノボの水冷サーバーについて、ご紹介させていただきます。目次レノボの水冷サーバーの歴史と導入事例 Lenovo Neptune®とはレノボの水冷サーバーと他メーカーの違いとはレノボの水冷サーバーの問題解決対策について関連情報お問い合わせレノボの水冷サーバーの歴史と導入事例前述のとおり、レノボの水冷サーバーは発表されてからすでに12年以上経っており、水冷サーバーについては業界をリードする存在です。導入事例も多数あり、下記の導入事例を含め、世界トップ10のパブリッククラウドプロバイダーで8社を支えるインフラとなっています。各国の研究機関や、企業でも導入が進んでおり、スーパーコンピューターから小規模な拠点まで採用されており、日本でも今後採用が進むことと思われますまた以前は空冷サーバーにくらべて10〜20％の追加コストが発生していましたが、これまでの空冷サーバーとの部品共通化でコストの違いはそこまで大きなものにならなくなってきています。 Lenovo Neptune®とは「Lenovo Neptune®」はLenovoが展開する水冷技術ブランドであり、以下の3つの技術カテゴリで構成されています。 Neptune® :システム全体の温水冷却により温水再利用を実現 Neptune® Core :コンポーネントレベル冷却（CPU、GPU、メモリ）により通気要件を削減 Neptune® Air :空冷ベースシステムでの液体補助冷却本稿で取り上げるのはこのうちの「Neptune®」の直接液体冷却構成となります。サーバー筐体からラック全体に至るまで、純水を用いた直接水冷（DWC）によって冷却を最適化。空冷ファンを排除し、最大40%の電力削減と100%の熱除去を実現します。AI・HPC用途に最適化された設計で、静音性・省スペース・環境対応の面でも優れています。導入事例から見るNeptune®の実力 DreamWorks AnimationNeptune®導入により、レンダリング性能20%向上、電力コスト削減を達成。MoonRayレンダラーやArrasクラウド計算システムの性能を最大限に引き出している。事例詳細韓国気象庁（KMA）8000台のNeptune®搭載サーバーで、気象予測の高速化と省エネを実現。SD650 V2およびSD530サーバーを活用し、精度の高い気象モデルを運用。事例詳細ハーバード大学同じスペースで従来の4倍の計算性能を実現。Neptune®による完全ファンレス運用で、研究成果の加速に貢献。事例詳細レノボの水冷サーバーと他メーカーの違いとは前回の記事でもふれましたが、水冷にはレノボや多くのIAサーバーメーカーが採用している直接液冷と、専用メーカーが採用している液浸冷却などいくつかの方式があります。直接液冷は発熱源に直接アプローチすることで効率的な冷却と省電力・静音性を実現します。液浸冷却はサーバー全体を冷却液に浸すことで非常に高い冷却能力と省エネ性能、高密度化を可能にしますが、設備投資が高額というデメリットもあります。では直接液冷のレノボのNeptuneと直接液体冷却方式を採用しているメーカーとの比較とレノボの優位性がある部分はどうなっているのでしょうか。主な違いは下図のようになっています。直接液体冷却方式のレノボと他メーカーとの違いレノボの水冷サーバーの問題解決対策について水冷サーバーというと液体を扱うサーバーゆえにこぼれたり、漏れたりするのではないか、とおっしゃるお客様もいらっしゃいます。そのための対策もレノボでは下の表のように対策されています。いやいや、でもAI×水冷サーバーといったってよくわからないし、というお客様にはレノボさんでAIディスカバリーワークショップもやっていただけます。ワークショップ→POC→アセスメント→本番環境導入という流れで実施となりますので、ご提案や、ご不明な点などございましたら、ぜひ弊社へお問い合わせいただければと思います。関連情報 Lenovo サーバー/ストレージ製品【参加レポート】Lenovo TechDay @ Interop Tokyo 2025 レノボのファンレス常温水冷サーバーって？第6世代のLenovo Neptune液体冷却が AI 時代を牽引（Lenovoサイト）【AI電力消費40％削減事例も】レノボの「直接水冷」Lenovo Neptune™（YouTube）お問い合わせエヌアイシー・パートナーズ株式会社E-mail：voice_partners@niandc.co.jp .bigger { font-size: larger; } .highlighter { background: linear-gradient(transparent 50%, #ffff52 90% 90%, transparent 90%); } .anchor{ display: block; margin-top:-20px; padding-top:40px; } .btn_A{ height:30px; } .btn_A a{ display:block; width:100%; height:100%; text-decoration: none; background:#eb6100; text-align:center; border:1px solid #FFFFFF; color:#FFFFFF; font-size:16px; border-radius:50px; -webkit-border-radius:50px; -moz-border-radius:50px; box-shadow:0px 0px 0px 4px #eb6100; transition: all 0.5s ease; } .btn_A a:hover{ background:#f56500; color:#999999; margin-left:0px; margin-top:0px; box-shadow:0px 0px 0px 4px #f56500; } .table { border-collapse: collapse; border-spacing: 0; width: 100%; } .td { padding: 10px; vertical-align: top; line-height: 1.5; } .tbody tr td:first-child { font-weight: bold; width: 20%; } .tbody tr td:last-child { width: 80%; } .ul { margin: 0 !important; padding: 0 0 0 20px !important; } .ol { margin: 0 !important; padding: 0 0 0 20px !important; } .tr { height: auto; } .table { margin: 0; } *, *:before, *:after { -webkit-box-sizing: inherit; box-sizing: inherit; } .html { -webkit-box-sizing: border-box; box-sizing: border-box; font-size: 62.5%; } .btn, a.btn, button.btn { font-size: 1.6rem; font-weight: 700; line-height: 1.5; position: relative; display: inline-block; padding: 1rem 4rem; cursor: pointer; -webkit-user-select: none; -moz-user-select: none; -ms-user-select: none; user-select: none; -webkit-transition: all 0.3s; transition: all 0.3s; text-align: center; vertical-align: middle; text-decoration: none; letter-spacing: 0.1em; color: #212529; border-radius: 0.5rem; } a.btn--orange { color: #fff; background-color: #eb6100; border-bottom: 5px solid #b84c00; } a.btn--orange:hover { margin-top: 3px; color: #fff; background: #f56500; border-bottom: 2px solid #b84c00; } a.btn--shadow { -webkit-box-shadow: 0 3px 5px rgba(0, 0, 0, .3); box-shadow: 0 3px 5px rgba(0, 0, 0, .3); }

ブログ

2025年10月22日

今こそ着手すべきセキュリティ対策：サイバーレジリエンス法（CRA）とSBOMの関係

公開日：2025-10-22 目次はじめに：CRAとSBOMがもたらす変革 CRAが企業に課す義務とタイムライン SBOMの必要性・重要性：CRA対応を超えて CRAとSBOMの具体的な関係 SBOM生成・活用ツールのご紹介まとめ：SBOMはCRA準拠と持続的な品質維持の鍵お問い合わせはじめに：CRAとSBOMがもたらす変革「サイバーレジリエンス法（CRA）」は、EU市場で流通する「デジタル要素を持つ製品」（ハードウェア、ソフトウェア、IoTデバイスなど）のセキュリティ水準向上を目指し、EUが策定した新たな規制です。この法規制への対応において、中核的な役割を果たすのが「SBOM（Software Bill of Materials：ソフトウェア部品表）」です。 SBOMは、CRA対応に不可欠な構成要素であると同時に、本来ソフトウェアの脆弱性管理やセキュリティ維持を実現するための根本的な情報基盤です。CRAの有無にかかわらず、自社製品の安全性と品質管理の観点から、その導入は急務と言えます。本記事では、CRA対応に求められるSBOMの具体的な要件と、それが企業のセキュリティにもたらす本質的な貢献についてご説明いたします。 CRAが企業に課す義務とタイムライン CRAは、製品開発の設計段階（Secure by Design）からのセキュリティ考慮を徹底し、製品提供後の脆弱性管理までを一連の義務として企業に課します。主な要件は以下のとおりです。 Secure by Designの文書化：設計段階でセキュリティを考慮した証拠を文書として整備し、補完すること。脆弱性の特定と報告：製品に含まれる脆弱性を特定・文書化し、迅速に公開する義務。 SBOMの整備：製品構成を「一般的な形式で機械可読」な形で作成し、技術文書の一部とすること。特に日本企業が留意すべき適用スケジュールは以下の通りです。日付義務内容内容 2026年9月11日脆弱性およびインシデントの報告義務の適用開始悪用された脆弱性やセキュリティインシデントについて、EU内の当局へ24時間以内に報告することが求められます。 2027年12月11日 CRA全面施行、CEマーク非取得製品の販売禁止この日以降、CRAの全要件を満たしCEマークを取得しない製品は、EU市場での販売が原則として禁止されます。 SBOMの必要性・重要性：CRA対応を超えて SBOMは、ソフトウェアに含まれるすべてのコンポーネントや依存関係を網羅的に記録し、脆弱性発生時の迅速な影響範囲の特定と市場対応を可能にするリストです。 2021年12月のLog4j問題*1が示したように、SBOMの有無は企業の対応速度を決定づけます。SBOMが整備されていれば、脆弱性の影響範囲を素早く特定し、迅速な対応が可能となります。逆にSBOMがなければ、企業は重大な潜在的脆弱性を抱えた製品を市場に出し続け、ユーザーのセキュリティリスクを増大させることになります。このように、CRAの法的要求以前に、SBOMは製品構造を把握し、リスクを継続的に管理するための不可欠なツールです。 *1.脆弱性の重大度を示すCVSSスコアが10点中10点であった、極めて重大な脆弱性。 CRAとSBOMの具体的な関係 CRAは、SBOMを技術文書の一部として位置づけ、「製品の最上位レベルの依存関係を網羅し、一般的に使用される機械可読な形式で作成すること」を義務付けています（附属書I、Part II (1)）。脆弱性への迅速な対応の根幹 SBOMがなければ、製品に含まれるオープンソースの脆弱性情報を把握できず、CRAが求める迅速な脆弱性公開と対応（ユーザーやWebサイトでの情報提供）は実現困難です。CRAが求める「脆弱性を速やかに提出せよ」という要求に応えるための基盤情報こそがSBOMです。技術文書としての準拠証明 CRAでは、市場監査当局から要請があった場合、製品が要求事項に準拠していることを証明するための情報・文書の提供が義務付けられています。SBOMは、「Secure by Design」の設計思想と継続的な脆弱性管理が実施されていることの客観的な証拠として、極めて重要な役割を果たします。 SBOMは、ソフトウェアの構造把握による脆弱性管理という主目的とともに、CRA準拠を達成するための重要な鍵となります。 SBOM生成・活用ツールのご紹介 CRA準拠のためには、製品の提供形態や開発プロセスに応じ、適切なツールを利用してSBOMを効率的かつ正確に生成・管理する必要があります。ソースコードを所持している場合：SCA（ソフトウェア・コンポジション解析）オープンソース活用が不可欠なソフトウェア開発では、使用しているライブラリと、それに内在する脆弱性を把握するために、「SCA（Software Composition Analysis／ソフトウェア・コンポジション解析）」が必要です。ソリューション：HCL AppScan on Cloud の SCA 機能 HCL AppScan on Cloud の SCA 機能は、ソースコード内の依存関係ファイルを解析し、ソフトウェア内のOSSコンポーネントを検出、脆弱性を持つものを特定します。 OSS情報の検出と脆弱性特定：ソースコードからOSS情報を検出し、脆弱性を持つコンポーネントを特定します。業界標準フォーマット対応：SBOM出力の業界標準の一つであるSPDX 2.3フォーマットに対応。これはCRAが要求する「一般的に使用され、機械可読な形式」でのSBOM作成に貢献します。バイナリデータからSBOMを生成する場合組み込みソフトウェアやファームウェア、あるいはサプライヤーから受け取ったソースコードがない（またはアクセスできない）バイナリデータのセキュリティを検証したい場合に有効なのが、バイナリ解析ツールです。ソリューション：SBOMスキャナサイエンスパーク社の「SBOMスキャナ」は、以下のユニークな特色を持ちます。バイナリデータからのSBOM生成： PCアプリケーションやWebサイトだけでなく、監視カメラ、ネットワーク機器、IoTデバイスなどの組み込みソフトウェアのバイナリデータからも、簡単にSBOMを生成します。脆弱性レポートの生成：生成したSBOM情報（OSSのベンダー、プロダクト、バージョン）とCVE（Common Vulnerabilities and Exposures：脆弱性に付与される識別番号）を突き合わせ、脆弱性レポートを迅速に生成します。オフライン対応：オフライン環境での利用が可能であり、機密性の高い環境でも安心して利用できます。まとめ：SBOMはCRA準拠と持続的な品質維持の鍵 CRAの適用期限が目前に迫る今、SBOMによる効率的な脆弱性管理が、CRA準拠を成功させる鍵です。 SBOMは単なる法対応のための手段ではなく、企業が持続的にソフトウェアの品質を維持し、安全な製品を市場に提供するための基本情報基盤です。法施行に向けたタイムラインを強く意識し、本記事で紹介したような適切なツールを活用して、迅速にSBOMの整備に着手することが、企業の競争力維持に不可欠です。ご紹介したソリューション【HCL AppScan on Cloud】 HCL AppScan（エヌアイシー・パートナーズ株式会社サイト (AppScan 全般）） HCL AppScan on Cloud（HCLSoftware サイト（開発元）） ※HCL AppScan on Cloud の SCA 機能は、HCL AppScan on Cloudのオプションです。【SBOMスキャナ】 SBOMスキャナ（エヌアイシー・パートナーズ株式会社サイト） SBOMスキャナ（株式会社サイエンスパークサイト（開発元））お問い合わせ上記製品についてのお問い合わせ、ご説明のご依頼、お見積り依頼など、エヌアイシー・パートナーズまでご相談ください。エヌアイシー・パートナーズ株式会社技術企画本部E-mail：voice_partners@niandc.co.jp .bigger { font-size: larger; } .highlighter { background: linear-gradient(transparent 50%, #ffff52 90% 90%, transparent 90%); } .anchor{ display: block; margin-top:-20px; padding-top:40px; } .btn_A{ height:30px; } .btn_A a{ display:block; width:100%; height:100%; text-decoration: none; background:#eb6100; text-align:center; border:1px solid #FFFFFF; color:#FFFFFF; font-size:16px; border-radius:50px; -webkit-border-radius:50px; -moz-border-radius:50px; box-shadow:0px 0px 0px 4px #eb6100; transition: all 0.5s ease; } .btn_A a:hover{ background:#f56500; color:#999999; margin-left:0px; margin-top:0px; box-shadow:0px 0px 0px 4px #f56500; } .table { border-collapse: collapse; border-spacing: 0; width: 100%; } .td { padding: 10px; vertical-align: top; line-height: 1.5; } .tbody tr td:first-child { font-weight: bold; width: 20%; } .tbody tr td:last-child { width: 80%; } .ul { margin: 0 !important; padding: 0 0 0 20px !important; } .ol { margin: 0 !important; padding: 0 0 0 20px !important; } .tr { height: auto; } .table { margin: 0; } *, *:before, *:after { -webkit-box-sizing: inherit; box-sizing: inherit; } .html { -webkit-box-sizing: border-box; box-sizing: border-box; font-size: 62.5%; } .btn, a.btn, button.btn { font-size: 1.6rem; font-weight: 700; line-height: 1.5; position: relative; display: inline-block; padding: 1rem 4rem; cursor: pointer; -webkit-user-select: none; -moz-user-select: none; -ms-user-select: none; user-select: none; -webkit-transition: all 0.3s; transition: all 0.3s; text-align: center; vertical-align: middle; text-decoration: none; letter-spacing: 0.1em; color: #212529; border-radius: 0.5rem; } a.btn--orange { color: #fff; background-color: #eb6100; border-bottom: 5px solid #b84c00; } a.btn--orange:hover { margin-top: 3px; color: #fff; background: #f56500; border-bottom: 2px solid #b84c00; } a.btn--shadow { -webkit-box-shadow: 0 3px 5px rgba(0, 0, 0, .3); box-shadow: 0 3px 5px rgba(0, 0, 0, .3); }

ブログ