トムソン・ロイター・マーケッツ株式会社

東日本大震災を契機に、よりセキュアなリモートアクセス実現に向けて
CC−SG運用を決断

　金融関連サービス、また「ロイター・ニュース」を擁する、トムソン・ロイター・マーケッツ株式会社（旧トムソン・コーポレーションとロイター・グループが統合）は、お台場地区のデータセンタに設置した映像／情報配信システムの管理のために、5年前にDominion KXを導入。現在は、赤坂のオフィス内のマシンルームでDominion KX II、Dominion SXが稼働している。同社では、2011年3月11日の東日本大震災を契機に、自宅や外部からリモートアクセスする体制構築の必要性が高まり、よりセキュアで高信頼なアクセス実現に向けて、現在CommandCenter Secure Gateway（CC−SG）の本格運用に向けた準備作業を進めている。また、CC−SG運用に際して、ビル火災等の緊急時にアジア地域からのアクセスニーズも出ており、リモートアクセスの運用ルールづくりが課題となってきている。

ユーザービリティの高さで日常的に使われていることが大きな成果

　 赤坂のオフィスでは、 Dominion KX Ⅱ、Dominion SXが稼働し、為替情報、証券情報のリアルタイム系のデータサービスのサポートをしているエンジニアが使用している。 Dominionシリーズの導入により、エンジニアの部屋とマシンルームの間の行き来はなくなり、お客様と電話をしながら自席からサーバルームのサーバの画面を見て障害対応できるようになった。

　Dominion KX Ⅱは、仮想メディア機能が自由に使え、ソフトウェアのアップグレード、障害があった場合のシステムからのログのダウンロードなども違和感なく行われている。エンジニアからのクレームもなく日常的に使われていることが大きな成果につながっているという。
　「UnixサーバではTelnetで確認することもありましたが、最近のLinuxなどGUIベースのものは、Dominion KX IIでいくつものGUIターミナルを開いてアクセスできるので障害に対するお客様への対応がスムーズにできています」とプロフェッショナルサービスグループ　コンサルタント、エンタープライズサポートの落合 栄氏は話す。
　「為替はリアルタイムに１分で何億円も損得する世界で、障害時に顧客先対応している協力会社のエンジニアとのやりとりも電話をしながら速やかに対応できるのは大きい。それを日常的に特にクレームもなく使われているということが導入の一つの成果になっています」。

最低限のセキュリティ環境でリモートアクセスを実現して対応

　同社では、3月11日の東日本大震災が発生したその日は、お客様からの障害コールはほとんどなく、自分たちも帰ることすらままならない状況でほとんど何もできずに終わった。土日を挟んで月曜日は電車の運行等の影響もあり社内的にも無理に出社しなくてもよい体制だったので、社員の半分以上は自宅待機。出社した社員はPCを取りに来た人が大半だったという。
　サポートスタッフはメール、携帯番号は協力会社にオープンにしていたので持ち帰ったPCで自宅から対応していたが、実機を見ることができないため「自宅からサーバにアクセスできるようにならないか」という要望が落合氏の元に入ったという。落合氏は外部からのアクセスを検討する中で、当初セキュリティ性を考え未使用だったCC−SGを立ち上げようと試みたが、セキュリティポリシーが確立しておらず断念。その代わり、Dominion KX Ⅱ単体で外にアクセスできないかとテスト用インターネット回線のグローバルIPを使い、ポート変換で外部からのアクセスを可能にしようとしたものの、インターネット側のセキュリティポリシーの設定が中途半端でうまく動作しなかった。そのため今度は、Dominion KXⅡ4台とDominion SX 1台にスタティックNATをふって、最低限のセキュリティ環境のもとで設定。余震が続く中、試行錯誤を繰り返し、水曜日の明け方には設定を完了した。最後に、アクセス方法のマニュアルを作成し、リモートアクセスのセットアップを終えた。　これにより、妊娠している女性社員も無理して出社しなくてもよくなり、一定期間落ち着くまではお客様に迷惑をかけずに無事サポートができた。

CC−SGの本格的運用に向けてセットアップ作業をスタート

　「今回の震災では、社内ネットワークで動かしていたDominion KX IIをお客様のサポートのために、緊急避難的に外部からのリモートアクセスとして利用しました。以前からテレビのシステムの関係でお台場のデータセンタのDominion KXへはアクセスしていましたので、インターネット用ルータやDominion KXのログを見てもセキュリティポリシーをある程度緩めてもアタックされる影響は少ないと考え、構築しました」と落合氏は震災時の厳しい状況を振り返る。
　６月まではこの緊急リモートアクセスを利用していたが、現在はDominion KX IIの外部アクセスを閉じて、CC-SGの本格運用へ向けた作業を進めている。「CC-SGであれば、IPアドレス1個で済むので、少しずつ勉強しながらセットアップを進めています」。以前は、Active Directoryを使ってアクセス権限を個人単位で管理しようとしていたが、個人のボランティアでは管理仕切れないので、今はグループ単位にポリシーを適用する予定だ。

緊急時のシステム運用とサポート体制づくりが急務

　今回の震災を受けて、緊急時の対応について社内的な議論がいくつかスタートしているという。その中の一つが災害時のサポート体制だ。特にサポート側のエンジニアにとって業務をどう継続していくかが大きなテーマとなっている。「今後直下型の地震が来れば、しっかりした建屋でシステム自体は大丈夫でも運用する側の人間が動けなくなるケースもある。その場合にバックアップセンタの人手で運用できるかなど、課題は多い」と落合氏。
　同社では大阪のオフィスは数年前にクローズしているため、都内にバックアップセンタを設置している。お客様からは、「これを機に大阪に移転するから一緒に来てほしい」とのニーズもあるという。
　「台湾地震の際には、海底ケーブルが切れて、東証、大証のデータが、シンガポールから日本のお客様に配信できずトラブルとなりました。お客様にはあまり知られていませんが、今回の震災でもアメリカとのケーブルがかなり損傷したと聞いています。迂回ルートですぐ対処できたので大きな問題とならなかったようですが、今後の直下型地震の場合も大阪のデータセンタから送信途中にケーブルが切れてしまえば意味がありません。災害があってもシステムが生きていれば、自宅からでもお客様をサポートできる体制が重要になります。100％満足できる体制ではないが、お客様にはある程度は満足してもらえるのではないでしょうか」。

シンガポール、香港などアジア地域からのアクセス開放も検討中

　災害時のサポート体制については、他のアジア地域のオフィスからもアクセスできないかと打診されているという。シンガポール、香港ではビル火災がリスクで、万が一発生した場合、自宅から東京にアクセスしてシステムの状況、設定の仕方などのサポートをしていく体制がとれないどうかの照会が来ている。実際に、昨年のタイの政変では、バンコックのオフィスが数日間閉鎖になった。
　「ただし、手元に端末があれば、変更や設定に加え、仮想メディアを使用すれば、アプリケーションのアップグレードもできてしまうので、使い方を間違えないようにしないといけない」。運用ルールづくりが大きな課題となっていると落合氏は話す。「誰にどの作業をしてもらうかのルール付けに、CC-SGは有効であると考えています」。
　CC−SGの本格運用が9月から開始する見込みだが、今後BCPという観点で、スマートフォンなどの拡張性を高めることと、セキュリティの強化が課題となっているという。落合氏は、「個人情報を漏洩させないために、CC−SGやDominion KX IIでセキュリティをかけても、その手前の段階でもう１段階セキュリティを強化していく必要がある」と更なる強化を強調する。BCPのサポート体制確立とセキュリティの確保が同社の当面の課題となっている。