普段の製品・ソリューション紹介だけでは聞き出せない情報を「実際のところはどうなんだろう?」という素人視点で、専門家に聞いてみるシリーズです。
題して「実際どうでしょう」。。。どうぞ、ご覧ください。
今回は、C&SI(Tivoli)関連のスペシャリストである廣田様にインタビューをさせていただきました。当然IBM (Tivoli)Endpoint Managerにも詳しく、BYODを率先されており、インタビュー中にお使いになっていたPCはリンゴのマークだったのは新鮮でした。
<聞いてみて良かった(*´ω`*) メリひろ担当がエキスパートにインタビュー>
廣田 俊和 様
ソフトウェア事業 Cloud & Smarter Infrastructure事業部
シニア・セールス・スペシャリスト
IBMでは公共(通産省)担当から製造関連の担当へ、その後、1996年にIBMがTivoli社を買収してすぐ97年から製品担当に従事。
※ 2014年3月時点でのプロフィールです。
— 本日はよろしくお願いします。PCやスマートフォンなどのデバイスに関して、MDM、BYOD、セキュリティなどについてお聞かせください。
いきなりですが、IBMが買収したモバイル・セキュリティのFiberlink社の製品・サービスとIBM (旧Tivoli)Endpoint Managerの違いをざっくりと教えて頂けないでしょうか。(インタビューアー 重山)
廣田:はい。利用形態としては、FiberlinkはSaaS、IBM Endpoint Managerはオンプレミスであり、特徴としては、Fiberlinkはモバイル、IBM Endpoint ManagerはPCとお考えください。ただ、Fiberlinkのオンプレミス版も今後リリースされる見込みです。
— 素人から見ると違いがわかるような、わからないような・・・
廣田:そうですね、それではIBM Endpoint Managerの誕生秘話をお話しましょう。歴史や背景がわかれば方向性も理解しやすいでしょう。
— IBM Endpoint Manager、通称IEM(アイイーエム)として「MERITひろば」でも紹介している製品ですね。ストーリーがわかると理解が深まります。お願いします。
エンドポイントマネージャー誕生秘話
廣田:IBM(社内)は全世界で約90万台のクライアントが稼働しています。
昔は端末管理、つまりPCのセキュリティ管理は各地域に任されていました。
— きゅ、90万台ですか、具体的に想像しがたい数ですが、セキュリティパッチの配布管理などは国や地域別に実施されていたということですね。
廣田:そのとおりです。日本IBMではISSIと呼ばれる社内システムがセキュリティパッチの配布管理をしていました。この各地域での個別管理をやめてグローバルで均一の管理をするためにBigFix(ビッグフィックス)というベンダーの製品を採用しようと検討をしました。
— そのクライアントの数とグローバル拠点に対応した製品だったということですね。
廣田:はい。導入検討を進めていると、これは良い製品だという話になり・・・
— もしかして、ですが・・・
廣田:正解です。(笑)その製品を買収しようという運びになりました。IBM Endpoint ManagerはこのBigFixのクライアント管理製品をベースにしているのです。
さらにですね、FiberlinkはSaaSでPC端末管理機能があるのですが、この機能の元はBigFixをOEMとして使っていたので、IBM Endpoint Managerと共通な仕組みが多いのです。
— FiberlinkもBigFixの一部の機能を組み込んで、その後IBMがBigFix、続いてFiberlinkを買収したのですね。BigFixから見るとそれぞれ使われて、最期はIBMで合流したという感じですね。
廣田:そのとおりですね。
米政府機関のモバイル・セキュリティを管理
— 冒頭からFiberlinkの名前が登場しましたが、IBM FamilyになったFiberlinkについて特徴を教えて下さい。
廣田:Fiberlinkはモバイル・セキュリティ製品として多くの実績のある製品ですが、例えば最も厳しい運用基準のひとつであるアメリカ政府機関にも採用されています。
SaaSで提供される製品ですから、政府としても外部にデータを渡していることになり、通常より更に厳しい管理が求められます。3ヶ月に1回は米国の監査が入っていますが、いままで問題なく運用されています。
— 政府がSaaSを利用というのもすごいですが、モバイル・セキュリティはその方が良さそうですね。
廣田:SaaS形式で提供されるのですが、専用設備は不要なのです。同様のSaaSでよくあるのは、実はマシンを入れてくださいというケースもあるようです。しかし Fiberlinkは全く不要。すぐに利用できます。
— Fiberlinkのサイトを見ると「MaaS360」という名称になっていますが、MaaSというのはなんでしょうか。
廣田:Mobile as a Serviceの略です。
ちなみに、昨年末(2013年末)に日本IBMの社員のスマートフォンの管理はIBM Endpoint ManagerからFiberlinkに切り替えました。4日間で4万台の切り替えが完了しています。
— 4日は早い、スムーズな切り替えですね。それにしても4万台という話や冒頭のグローバルで90万台の管理を迅速に対応できるというのは製品の仕組みに特長があるのですよね?
端末CPU負担たったの2%でアップデート作業が進む
廣田:それでは IBM Endpoint Managerにフォーカスして、その強みについてご説明差し上げます。
廣田:まず、管理者画面ではパッチリストが表示され、全体から該当するマシンがピックアップされている状態なので、 「適応ボタン」を押すだけです。
全体としては中間サーバがなく、各クライアントがリレーしながらパッチ適応していきます。パッチファイルはメーカーからダウンロードしてキャッシュした状態で端末に配布します。
— パッチリストの適応中ってPCのCPU利用率があがって、業務に支障がでる場合がありますよね。
廣田:クライアントのCPU利用率の上限を設定することができるのですが、利用率は2%でも大丈夫です。
— え?たったの2%ですか?それでパッチ適応配布の運用が可能なのでしょうか。
廣田:はい、大丈夫です。重山さんがお使いのThinkPadでもリレー機になれる程度の負荷です。CPUだけでなく、ネットワーク帯域の利用設定もできるので、既存のインフラへの影響は少なく運用できます。
「中間サーバ不要」で採用決定
廣田:あるお客様のお話です。インフラとして各代理店にはサーバ環境はなくネットワークのルーターだけであり、この環境において以前使っていたセキュリティ管理では、本社のサーバにアクセスが集中して大変だったそうです。かといって中間サーバを導入するのも困難でした。IBM Endpoint Managerは中間サーバが不要ですので、コスト的にも良かったそうです。
— すごいですね。その他にも強みを教えて下さい。
廣田:この中間サーバが不要という仕組みは旧来の「サーバ集中型」ではなく「分散型」だからこそできるのですが、この仕組みによりユーザが社内ネットワークにつないだ時に最適なリレーポイントを介し、さらに即時に差分情報だけを取得して管理できるのです。
— インターネットの仕組みのようですね。それが結局早くて、強いということですね。
廣田:はい、他にもOSのセキュリティパッチだけでなく、アプリケーションのパッチまでも管理対象としているのも特長です。近年はOSそのものよりも、Java等のミドルウェアからAdobeなどのソフトウェアも管理しなければセキュリティは担保できません。
テーマパークの安全にはあの製品が
— C&SIブランドの製品としては、他にもサービス・マネジメントの「IBM SmarterCloud Control Desk(略称:ISCCD)」や企業資産管理の「Maximo」などもありますよね。本日は時間が足りないので、またの機会にお願いしたいのですが、ISCCDの紹介は「MERITひろば」をご参照いただくとして、Maximo について、事例やエピソードがありましたらお願いします。
廣田:たとえば、テーマパークで動いている乗り物の定期メンテナンスにはMaximoが使われていたりします。乗り物の安全は大事ですからね。
また、Maximoの話をすると「うちはプラントではないから関係ないよ」とおっしゃるお客様もいますが、動くものがあれば、必ず定期保守があると思います。Maximoなら機械のセンサーからの情報をもらって、バンドルされているCognos BIがレポートを出してくれます。機械の予防保全ができるのです。
— 先日のインタビュー(Vol.12 今更聞けない「進撃のHadoop」の基礎と豆知識)でもSPSSが品質保全管理に役だっているという話も出ました。
それにしても廣田さんの製品知識と守備範囲は広いですね。エンドポイント管理において個人スマートフォンの企業利用、つまりBYODについてお伺いするのを忘れていました。
最後にお願いします。先ほどからひとことお願いばかりですみません。(笑)
廣田:あと2時間くらいお話しましょうか?(笑)
モバイルデバイス管理(MDM)は近年対応している企業様も増えておりますが、例えばMDMの基本機能として、デバイスを紛失した時に遠隔操作でデータを消去する「リモートワイプ」がありますが、データを全て消してしまうソリューションもあるのです。
— つまり、会社のデータを消すには個人のスマホのデータも全て消去されるということですね。それは困りますね。まぁ、紛失する方が悪いとはわかっていますが。
廣田:ですが、IBM Endpoint Manager (for Mobile Devices)は大丈夫です。特定のデータだけ、特定のアプリだけを消去するなどの設定が可能なのです。他にも沢山の機能がありますが、組み合わせてお客様にあった仕組みをご利用いただけます。
— 本日は沢山の話をありがとうございました。今度、そのテーマパークに行った時は、Maximoが安全に一役買っているんだなぁと感謝しようと思います。
廣田:そういえば、導入の際にスタッフがスーツ姿で現地に行って、すごく目立ったと言っていました。(笑)重山さんはプライベートでは仕事から離れて、楽しんで下さい。
— ありがとうございます。そのようにさせていただきます。