クライム仮想化/クラウド・エンジニア・ブログ | 仮想化/クラウドについて知った事、確認した事、解決した事など技術ネタのブログです

クラウド上のワークロードには、最適なバックアップ・ソリューションを

投稿日: 2025年5月2日クライム
AWS クラウド・仮想インフラバックアップ

従来のオンプレミスITアーキテクチャを持つ企業にとって、今日のクラウド・ソリューションは多くの潜在的なメリットを提供します。管理されたクラウド・インフラを利用することで、企業は本来の業務に集中することができ、多くの場合TCOを削減することができる。現在、クラウド開発のどの段階にあるにせよ、最終的なクラウドファースト戦略を検討しているか、あるいはすでに検討している可能性は高くなります。

AWSは安全で耐久性のあるクラウド基盤を提供し、ユーザはそれを使ってデータの保存や処理を行うことができます。そこからクラウドデータを保護するサービスを選択し、オンプレミス環境と同じようにバックアップとリカバリを計画することができます。AWSワークロードのバックアップとリカバリー・ソリューションは、御社独自のビジネス・ニーズを満たすものを評価し、選択するよう注意する必要があります。

ここでは、AWSワークロードのバックアップとリカバリのソリューションを評価するためのベストプラクティス、質問すべきこと、選択したソリューションが組織のニーズを満たしていることを確認する以下の方法を詳細します。

効率とコントロール
セキュリティと可視性
回復時間の目標
復旧オーケストレーション
データ・ライフサイクル管理

バックアップソリューションの評価:効率とコントロール

AWSワークロードを持つ企業は、効率的で定期的なバックアップを作成し、組織のリカバリポイント目標（RPO）を柔軟に設定できるバックアップソリューションから利益を得ることができます。特定のバックアップスケジュール（1日1回のバックアップなど）に縛られることは、あるワークグループにとっては十分かもしれないが、他のワークグループははるかに短いリカバリポイントを必要とするかもしれません。バックアップソリューションの柔軟性と制御性を見極めることは、様々なソリューションプロバイダーを選択する際の鍵となります。

コストと効率は関連する考慮事項です。フルバックアップを作成し、反復するたびにすべてのデータを書き換えるソリューションは、AWSネイティブのスナップショットを利用して、最新のバックアップ以降に変更されたデータのみを複製するソリューションよりもはるかに効率が悪くなります。バックアップを作成するために使用されるメカニズムを理解することは、意図されたソリューションがセキュリティだけでなく経済的なニーズも満たすかどうかを判断する上で大いに役立ちます。

最後に、スクリプトの問題を考えてみましょう。自動化され、標準化されたバックアップを備えたパッケージ・ソリューションは、カスタム・スクリプトを必要とするものよりもはるかに迅速に拡張できます。運用の迅速な拡張を期待する組織にとっては、バックアップ運用にスクリプトを必要としないソリューションの方が有益でしょう。

バックアップソリューションの評価:セキュリティと可視性

クラウド・バックアップ・ソリューションは、いつでもデータにアクセスできる定期的なバックアップを提供するだけでなく、バックアップ・ソリューションがどのように動作しているかを監視するための “自動車のボンネットの下 “を見ることもできます。

バックアップとリカバリのプロセスをリアルタイムで監視するには、以下のものが必要です。

ダッシュボードは、アラート、日次サマリー、いつ、誰が、どのようにデータにアクセスできるかという情報など、すべてのバックアップメトリクスをレポートします。ダッシュボード、包括的なレポート、プッシュ通知は、バックアップソリューションがリアルタイムでどのように機能しているかを監視するために重要です。効果的なソリューションは、使いやすく、瞬時に環境のすべての主要なステータス情報を提供するように設計されたインターフェイスでなければなりません。

セキュリティ要件が満たされていることを確認するために、AWS環境内で完全に実行されるソリューションを検討が必要です。AWSアカウントからデータを移動する必要がないソリューションは、より監査しやすく、以下のことが容易になります。

コンプライアンスを実証することができる。このようなソリューションはまた、よりカスタマイズ可能で、セキュリティポリシーとの整合性がよりシンプルであり、既存のコンプライアンスや監査ツールやフレームワークとの統合がより容易である。
最後に、AWS 内で完全に実行されるソリューションは、監視と文書化のために外部のネットワーキングフローを必要としない。

バックアップソリューションの評価:回復時間の目標

今日の企業は、ダウンタイムやデータ損失が許されない、年中無休24時間体制のサービスを提供する企業になってきています。そのため、万が一災害に見舞われた場合、企業はより大きなリスクにさらされることになります。

バックアップとリカバリーのソリューションを評価する際には、「バックアップ」面と同様に「リカバリー」面についても多くの質問をすることが重要です。システム障害、サイバー攻撃、その他の災害が発生した後、組織が復旧し、再び完全に稼働するまでにどれくらいの時間がかかるのでしょうか？多くの拠点とクラウドに保存された大量のデータを抱える複雑な組織には、障害発生後すぐに完全復旧を可能にするバックアップとリカバリー・ソリューションの保証が必要です。

インスタンス全体をリストアすることなく、単一のファイルやフォルダをリカバリする必要がある可能性も考慮してください。バックアップとリカバリ・ソリューションは、以下のような通常の運用データ検索のニーズにも対応する必要があります。
大規模な緊急事態に備えたディザスタリカバリとして、また日常業務で単一の迅速に取り出すシンプルな方法として。

バックアップソリューションの評価: 復旧オーケストレーション

復旧のスピードとプロセスの自動化は、あらゆる種類のクラウドデータ保護戦略にとって極めて重要です。しかし、災害発生時にワークロード全体を復旧させるのがいかに簡単であるかも考慮する必要があります。

計画外のIT停止、EBSの障害、自然災害、人為的なミスなどに対するビジネスの備えを考えてみましょう。これらのシナリオはすべて稀ではありますが、実際に発生するものであり、クラウドワークロードを数秒で迅速に本番稼動に戻せるようにしておくことが賢明です。

一括リカバリーを実行し、多数のリソースに対してリカバリーシナリオを構成し、順序を定義できるソリューションを探しましょう。また、「ドライラン（試験）」という形で定期的にテストを実施できるソリューションであれば、ディザスタリカバリプランの堅牢性に自信を持つことができます。

ポリシーレベルのリカバリ・オーケストレーションを含むソリューションを使用することで、AWSワークロードをより安全に保護し、潜在的な構成の問題について常に情報を得ることができます。
自動化が進めば、手作業が減り、エラーの余地が減り、組織のリスクが軽減されます。

バックアップソリューションの評価: データ・ライフサイクル管理

データ管理は、特にクラウドに移行・保存される大量のデータによって、以上に重要になっている。組織はますます、コンプライアンスを証明し、データを長期間保存する必要に迫られています。デフォルトでは、ほとんどのバックアップ＆リカバリ・ソリューションでは、保存期間を定義することができますが最も費用対効果の高いストレージ階層にデータを保存しない場合があります。これはストレージコストの上昇やデータ管理の悪化につながります。

データ・アーカイブがデータ・ライフサイクル管理戦略の重要な一部である場合、バックアップを最適なストレージ階層に移動できるソリューションを検討する必要があります。データ・ライフサイクル管理が組み込まれたソリューションは、Amazon S3とAmazon Glacierストレージ・クラスを活用することで、企業があらゆる保存期間を満たすのに役立ちます。

新しいバックアップ・ソリューションとリカバリ・ソリューションを評価する際には、組織のデータ・コンプライアンスと保持ポリシーを見直すことです。データを数年間保存する必要がありますか？もしそうであれば、よりコールド（安価）なストレージへのライフサイクルを促進するソリューションが適しています。

APN テクノロジーパートナーのクライムが提供するAWS対応　移行・データ保護特集

タグ: Glacier, RPO, S3, ディザスタリカバリ, データ保護, バックアップ, バックアップとリカバリ, ワークロード

Nutanix と VMware の詳細な比較

投稿日: 2025年4月19日クライム
VMware

ハイパーコンバージドインフラストラクチャ（HCI）は、コンピューティング、ストレージ、ネットワークを単一のシステムに統合します。これにより、ハードウェアの拡張を削減し、管理を簡素化し、リソースのスケールアウトを効率的に実現します。NutanixとVMwareは、この分野の主要なプレイヤーです。両社は堅牢なHCIソリューションを提供していますが、アプローチは異なります。

Nutanixは純粋なソフトウェア駆動型HCIベンダーとしてスタートしました。一方、VMwareはvSANと緊密に統合されたエコシステムを通じて、既存の仮想化プラットフォームをHCIに拡張しました。

両者の違いを詳しく解説し、どちらを選ぶべきか検討するポイントを見ていきましょう。

なぜVMwareの代替案が注目されているのか？

2023年末にBroadcomがVMwareを610億ドルで買収したことは、業界に大きな衝撃を与えました。その後、VMwareは永久ライセンスを廃止し、バンドルされたサブスクリプション（VMware Cloud FoundationやvSphere Foundationなど）に移行しました。SKUの削減、ロックインの強化、そして一部のVMware顧客は更新見積もりが3倍から10倍に跳ね上がったと報告しています。

BroadcomはVMwareの従業員の大部分を解雇し、長期的なサポートや製品開発への懸念が高まっています。このような不確実性の中、多くの企業が代替オプションを検討するのは当然です。

Nutanixとは何ですか？

2009年に設立されたNutanixは、ストレージ、コンピューティング、仮想化を単一のソフトウェア層に統合したHCIプラットフォームを提供することで知られる企業です。シンプルさと柔軟性を追求し、プライベート、ハイブリッド、マルチクラウド環境をサポートしています。

Nutanixの製品と機能

Acropolis （AOS）： ネイティブストレージと仮想化（AHV経由）を備えたソフトウェア定義プラットフォーム。
Prism： クラスター、パフォーマンス、容量を管理するためのウェブベースのダッシュボード。
Flow and Calm： マイクロセグメンテーション、アプリケーションオーケストレーション、マルチクラウド管理のためのツール。

Nutanixは自社開発のハイパーバイザー（AHV）を使用していますが、VMware ESXiとMicrosoft Hyper-Vもサポートしています。この柔軟性は、ベンダーロックインを軽減したい組織にとって魅力的です。

VMwareとは何ですか？

VMwareは1998年から仮想化分野のリーダーとして知られています。そのHCIソリューションはvSANを中核とし、vSphereとvCenterと緊密に統合された仮想化ストレージ層を提供します。

VMwareの製品と機能

vSAN： VMwareのスタック内でネイティブに動作するソフトウェア定義型ストレージ。
NSX： セキュリティとセグメンテーションのためのソフトウェア定義型ネットワークプラットフォーム。
Tanzu： オンプレミスまたはクラウドでコンテナを実行するためのKubernetesプラットフォーム。

VMwareの強みはエコシステムにあります。VMwareのツールに既に深く依存している場合、vSANは次の自然なステップのように思えるかもしれません — ただし、新しいライセンスモデルが再考を促す可能性があります。

Nutanix vs VMware：主要な違い

アーキテクチャ

Nutanix：ソフトウェア定義プラットフォームとして最初から設計されています。AHVハイパーバイザーはスタックに統合されていますが、オプションです。システムは分散型で動作し、すべてのノードがストレージとコンピューティングの両方に貢献するため、スケーリングに役立ちます。
VMware：仮想化技術の遺産を基盤に構築されています。vSANは単独で動作せず、vSphereとvCenterが必要です。この緊密な統合は、既にVMwareに投資しているユーザーには適していますが、柔軟性が低下します。

パフォーマンス

Nutanix：データロケーションを優先し、計算とストレージを同じノードに近づけることで遅延を削減します。インライン圧縮、重複排除、エラー訂正符号化などの機能でストレージの最適化とスループット向上を実現します。
VMware：性能は堅牢ですが、大規模展開ではチューニングが必要になる場合があります。vSANはデフォルトでデータをノード間で分散して格納するため、適切に構成しないとイースト-ウエストトラフィックが増加する可能性があります。

セキュリティ

Nutanix：追加のアドオンが最小限で組み込みのセキュリティを提供します。マイクロセグメンテーション（Flow経由）、データアットレスト時の暗号化、ゼロトラストフレームワークがネイティブ機能です。
VMware： NSXは強力ですが別売です。VM暗号化、セキュアブート、TPMサポート、ロールベースのアクセス制御は含まれますが、高度なセキュリティ機能は追加コンポーネントやバンドルが必要になる場合があります。

統合

Nutanix：環境を横断して動作するように設計されており、AWS、Azure、GCPとの統合がスムーズで、Kubernetesをサポートし、DevOpsワークフロー用のREST APIを提供します。ただし、外部SAN/NASシステムはサポートしていません。
VMware：強力なレガシー統合機能を備えています。バックアップツール、モニタリングプラットフォーム、サードパーティのストレージアレイを使用している場合、VMwareには既にプラグインが用意されている可能性があります。高度に統合されたIT環境にはより適しています。

管理

Nutanix： Prismはクリーンで統合されたビューを提供します。予測分析、自動容量計画、基本的なスクリプト機能を含むため、小規模チームにとってオーバーヘッドが少なくなります。
VMware： vCenterは強力ですが、複雑さが伴います。Aria Suite（旧vRealize）などのアドオンで高度な自動化を実現できますが、学習曲線とコストが高くなります。

価格

Nutanix：ライセンスは通常、ノード単位またはコア単位です。展開規模や機能に応じて価格が予測しやすく、交渉しやすい傾向にあります。
VMware： Broadcomの傘下に入り、ライセンスはバンドル化され柔軟性が低下しました。vSphere Essentialsのようなオプションは廃止され、多くの顧客は小規模なニーズでもフルスタック（例：VCF）を購入する必要があります。

NutanixとVMwareの代替案はありますか？

NutanixとVMwareがHCIの主流を占めていますが、選択肢はそれだけではありません — 特にコスト削減、ロックイン回避、またはスタックの制御を重視する場合：

Proxmox VE： KVM、LXCコンテナ、Cephストレージ、組み込みのウェブUIを組み合わせたオープンソースの仮想化プラットフォーム。予算に敏感な環境や、完全な制御と透明性を求める経験豊富な管理者向け。ProxmoxはCephと組み合わせることでDIY HCIスタックを構築できますが、商用プラットフォームのような完成度やエンタープライズサポートは欠如しています。
XCP-ng： Citrix XenServerのフォークから発展したコミュニティ主導の仮想化プラットフォーム。オープンソースでドキュメントが充実しており、バックアップ、監視、自動化機能を備えた現代的な管理スイート「Xen Orchestra」と統合可能です。XCP-ngは、共有または分散ストレージ（例：iSCSIやZFS経由）を使用したHCIのような構成の一部として使用でき、VMwareの代替としてクリーンなライセンスモデルとベンダー依存のない環境を求める組織に特に魅力的です。
StarWind： ソフトウェア定義型ストレージソリューションを提供し、HCI環境の構築に利用可能です。シンプルさとコスト効率で知られ、Microsoft Hyper-V、VMware ESXi、KVM（Proxmox VEを含む）などのハイパーバイザーとの組み合わせが必要です。シンプルさ、パフォーマンス、コストが最も重要なSMBやエッジ環境に適しています。

どれを選ぶべきか？

VMwareのエコシステムに深く依存している場合、継続する選択肢も考えられますが、コストが高くなり柔軟性が低下する点に注意が必要です。

Nutanixは、管理が容易でハイブリッド/マルチクラウドとの相性が良く、Broadcomの制約がないソリューションを希望する場合に最適です。

軽量でコスト効率を重視する場合、StarWindとProxmox VEの組み合わせは検討に値する選択肢です。

タグ: AHV, HCI, Nutanix, Proxmox, StarWind, VMware, 移行, ｖSAN

コピーオンライト（CoW）の理解：その仕組みと用途

投稿日: 2025年4月18日クライム
機能

Copy-on-Write（CoW）は、不要な複製を排除することでゲームチェンジをもたらします。VMのクローンを作成する必要はありますか？データベースのスナップショットを撮りたいですか？CoWはすべてを効率的に処理します。このブログで、このシンプルな概念が時間、ストレージ、パフォーマンスの面で大きな節約につながる仕組みを紹介します。

複数のプロセスや仮想マシンを扱う際に、システムがリソースを効率的に管理する仕組みに疑問を持ったことはありませんか？その答えの一つがCopy-on-Write（CoW）です。この記事では、CoWの基礎から応用までを解説します：CoWとは何か、どのように機能するか、そのメリット、課題、そして活用シーン。読み終える頃には、CoWがリソース管理を最適化し、システムパフォーマンスを向上させる仕組みを深く理解できるようになります。

コピーオンライト（CoW）とは何ですか？

基本から始めましょう。コピーオンライト（CoW）は、主にオペレーティングシステムやストレージシステムで用いられるリソース管理技術です。CoWの主なアイデアは、データコピーを必要最小限に遅延または完全に回避することです。データを即座に複製する代わりに、CoWは複数のプロセスが同じデータページを共有できるようにします。あるプロセスがデータを変更する必要が生じた場合、その時点で該当するデータページのコピーが作成されます。このアプローチはリソース消費を大幅に削減し、効率を向上させます。

Copy-on-Writeの仕組み

次に、Copy-on-Writeが実際にどのように機能するかを詳しく見ていきましょう。このプロセスは、データコピーとページ共有を中心に、いくつかの主要なステップから構成されています。これらのステップを理解することで、CoWがなぜ効果的なのかがより明確になります。

データコピーの仕組み

CoWのデータコピーメカニズムは、可能な限り効率的に設計されています。プロセスが他のプロセスと共有されているメモリページに書き込みを試みると、システムはこの書き込み操作をインターセプトします。共有ページを直接変更する代わりに、システムはまずそのページの新しいコピーを作成します。書き込みプロセスは新しいコピーを修正し、元のページは変更されず、他のプロセスからアクセス可能のままです。これにより、データ整合性が保たれ、意図しない変更が防止されます。コピーされたページは、書き込みプロセスのアドレス空間にマッピングされ、他のプロセスに影響を与えることなく操作を継続できます。

ページ共有プロセス

ページ共有はCoWの根本的な要素です。複数のプロセスが開始されると、各プロセスはデータの一意のコピーを取得する代わりに、最初は同じ物理メモリページを指します。これらのページは読み取り専用としてマークされます。プロセスがページを改変しようとすると、「ページフォルト」が発生します。このフォルトはCoWメカニズムをトリガーし、書き込みを実行したいプロセス用にページのプライベートコピーを作成します。他のすべてのプロセスは元の共有ページを継続して使用します。このアプローチはメモリ利用率を最大化し、必要な物理メモリの量を削減します。

例として、同じライブラリを使用するプロセスAとBを考えます。最初はどちらも同じ物理メモリを指しています。プロセスAがライブラリの一部を変更したい場合、次のように動作します：

プロセスAが共有メモリページへの書き込みを試みます。
ページフォルトが発生し、読み取り専用ページへの書き込み試行が検出されます。
CoWメカニズムがフォルトをインターセプトします。
ページの新しいコピーが作成されます。
プロセスAのページテーブルは、書き込み可能な新しいコピーを指すように更新されます。
プロセスAは新しいコピーに対して書き込み操作を継続し、プロセスBは元のページを使用し続けます。

CoWの動作例

実践的な例を見てみましょう。仮想マシン（VM）を使用していると仮定します。CoWを使用してVMをクローンすると、新しいVMは元のVMのデータを即座に複製しません。代わりに、元のVMと同じ基盤となるディスクイメージを共有します。新しいVMが変更を加え始めた時点で、CoWは変更されたデータ用の新しいブロックを作成します。これにより、クローン作成プロセスが大幅に高速化し、ディスクスペースを節約できます。

もう1つの一般的な使用例はデータベース管理システムです。データベースのスナップショットを作成する際、CoWはデータベース全体を複製しません。代わりに、スナップショットは元のデータベースと同じデータブロックを共有します。元のデータベースまたはスナップショットに変更が加えられると、変更されたブロックのみがコピーされます。これにより、スナップショットの作成と復元が大幅に高速化され、効率化されます。

Copy-on-Writeのメリット

メモリとストレージの効率的な使用：データコピーを必要に応じて遅延させることで、CoWはメモリとストレージの必要量を削減します。特に、多数のプロセスや仮想マシンが存在する環境で有益です。
スナップショットの迅速な作成： CoWはファイルシステムやストレージソリューションでのスナップショットの迅速な作成を可能にします。データが即座に複製されないため、スナップショットを素早く作成でき、ストレージスペースを節約できます。
マルチテナント環境での有効性：コンテナ化された環境では、CoWにより複数のコンテナが同じベースイメージを共有できます。1つのコンテナでの変更は他のコンテナに影響を与えず、変更は別々に保存されます。

コピーオンライトの課題

書き込みパフォーマンスのオーバーヘッド：共有データへの最初の書き込みには、新しいメモリの割り当てやメタデータの更新など、追加の操作が発生し、遅延を引き起こす可能性があります。
データ断片化：変更が新しい位置に書き込まれるため、データが断片化される可能性があります。これにより、読み書きパフォーマンスに影響を与える可能性があります。

コピーオンライトの応用例

コピーオンライトは、コンピューティングのさまざまな分野で多くのアプリケーションに採用されています。オペレーティングシステム、仮想化、その他の注目すべきアプリケーションでの使用例を見てみましょう。

オペレーティングシステム

現代のオペレーティングシステムは、さまざまな目的でCoWを広く活用しています。一般的な応用例の一つは、Unix系システムにおけるfork（）システムコールを使用したプロセス作成です。プロセスがfork（）を実行すると、オペレーティングシステムはCoWを利用して親プロセスと子プロセス間でメモリページを共有します。これにより、fork（）プロセスの速度が大幅に向上し、メモリ消費量が削減されます。もう一つの応用例はメモリマッピングで、CoWにより複数のプロセスが同じファイルをメモリ内で共有でき、データの重複を回避できます。これは共有ライブラリや読み取り専用データにおいて特に有用です。CoWを活用することで、オペレーティングシステムはより高いパフォーマンスとリソース利用効率を実現できます。

仮想化

仮想化において、CoWは効率的な仮想マシンクローンやスナップショットの作成に不可欠な技術です。CoWを使用してVMをクローンする際、新しいVMは当初、元のVMと同じ基盤となるディスクイメージを共有します。新しいVMが変更を加え始めた時点で、CoWは変更されたデータ用の新しいブロックを作成します。これにより、クローン作成に必要な時間とストレージ容量が大幅に削減されます。同様に、CoWはVMのスナップショット作成にも使用され、ディスクイメージ全体を複製せずに以前の状態に迅速に復元できます。これにより、CoWは現代の仮想化プラットフォームの不可欠なコンポーネントとなり、プロビジョニングの高速化とリソース管理の向上を実現します。

CoWとファイルシステム

ZFS：この高度なファイルシステムは、すべての書き込み（データとメタデータ）にCoWを使用します。上書きする代わりに、ZFSは変更を新しいブロックに書き込み、元のデータを保持することで、高いデータ整合性、効率的なスナップショット、データチェック、簡単なロールバックを実現します。
ReFS： MicrosoftのReFSは、メタデータの更新にCoWを主に使用し、変更部分に新しいストレージを割り当てることでファイルシステムの一貫性を確保します。ファイルデータに対するCoWは、整合性ストリーム経由でオプションであり、データチェックと潜在的な自己修復を可能にします。ReFSはまた、ブロッククローンニングによる効率的なファイル複製にもCoWを使用しています。
Btrfs：このLinuxファイルシステムは、すべての書き込み（データとメタデータ）にCoWを採用しています。変更を新しいブロックに書き込むことで、効率的なスナップショット、透明な圧縮、迅速なロールバックを実現し、CoWはデータ整合性とストレージ管理の核心的な機能となっています。

CoW技術の将来の動向とイノベーション

Copy-on-Write技術の将来は有望で、性能と適用範囲のさらなる最適化を目的とした研究開発が進行中です。一つのトレンドは、CoWをNVMeや永続メモリなどの新興ストレージ技術と統合し、遅延を削減しスループットを向上させることです。もう一つの革新の領域は、異なるワークロードや環境に適応できるより高度なCoWアルゴリズムの開発です。さらに、分散システムやクラウドコンピューティングにおけるCoWの活用により、効率的なデータ共有と複製を実現する関心が高まっています。技術が進化し続ける中、CoWはリソース管理とパフォーマンス最適化のための重要な技術として引き続き重要な役割を果たすでしょう。

結論

要約すると、Copy-on-Write（CoW）は、不要なデータコピーを遅延または回避することでメモリとストレージの使用を最適化する強力なリソース管理技術です。本稿では、その定義、動作原理、メリット、課題、およびオペレーティングシステム、仮想化、その他の分野における多様な応用例について解説しました。CoWを理解することで、システム性能とリソース効率の向上におけるその重要性を理解できます。

CoWが技術に与える影響は深刻です。より高速なクローン作成、効率的なスナップショット、全体的なリソース利用の最適化を可能にします。システムがより複雑化し、データ量が増加するにつれ、CoWの役割はさらに拡大していくでしょう。冗長なデータコピーを最小限に抑え、リソース管理を最適化する能力は、現代のコンピューティングにおいて不可欠なツールとなっています。

タグ: Copy-on-Write, CoW, ReFS, スナップショット, 仮想化

DynamoDBのバックアップと復元のための8つのベストプラクティス

投稿日: 2025年4月3日クライム
AWS

以下のベストプラクティスを導入することで、企業はDynamoDBに対して最も効果的なバックアップと復元戦略を確保することができます。

1. スケジュールされたバックアップの自動化

定期的なバックアップのスケジュールは、一貫したデータ保護を確保し、潜在的な損失を最小限に抑えるために不可欠です。N2Wを使用すると、任意の頻度でバックアップスケジュールを自動化でき、重要なデータが常に保護されていることを保証できます。

バックアップの頻度を定義するバックアップポリシーを確立し、組織の目標復旧時点（RPO）に一致させます。自動スケジューリングにより、組織は一貫したバックアップルーチンを開発できます。

N2Wを使用して、業務カレンダーに合わせた自動スケジュールを作成し、重要なデータが常に保護されるようにします。適切な保持期間を設定することで、組織はストレージを管理しながら、大量の低価値データを定期的に削除することができます。

2. 集中監視とアラートを活用する

バックアップと復元のアクティビティを監視することは、問題が深刻な障害に発展する前に特定するために極めて重要です。N2Wは、アカウントや地域全体にわたるすべてのバックアップジョブを監視するための集中管理ダッシュボードを提供します。自動アラートは、バックアップの成功、失敗、異常を管理者に通知し、迅速な対応を可能にします。

ログと実行レポートを定期的に確認することで、バックアッププロセスにおける傾向や問題を把握でき、予防的なメンテナンス、トラブルシューティング、および規制要件への準拠が可能になります。N2Wを使用することで、企業は障害やパフォーマンスの問題に迅速に対応でき、復元の信頼性を向上させ、バックアップ運用の効率性を維持することができます。

3. 暗号化によるセキュアなバックアップ

AWS Key Management Service (KMS) を使用して、すべてのバックアップを転送中および保存時に暗号化します。N2W は KMS を完全にサポートし、セキュリティ強化のため、お客様管理のキーとシームレスに統合します。

N2W を使用すると、転送中および保存時のすべてのバックアップにサーバーサイドの暗号化を適用できます。暗号化されたバックアップは、不正アクセスを防止し、機密データを機密のまま保持し、GDPR や HIPAA などのデータ保護基準に準拠します。

DynamoDB自体やS3のような関連バックアップストレージロケーションを含む、すべてのストレージ層に暗号化を実装します。この包括的な暗号化戦略は、潜在的なデータ漏洩を防止します。定期的なキーのローテーションと厳格なアクセス制御により、セキュリティフレームワークがさらに強化され、進化するセキュリティの脅威にも耐えうるデータが確保されます。

4. 復元手順の定期的なテスト

定期的に復元手順をテストすることで、データの整合性と業務の準備態勢を確保できます。N2Wでは、ワンクリック復元機能によりこのプロセスを簡素化し、ライブシステムに影響を与えることなく、完全な環境復元（リソースの優先順位付け付き）のシミュレーションを実行できます。

スケジュールされた復元演習を実施し、すべてのデータ、構成、およびアクセス権限が正しく復元されていることを検証します。これにより、重要な復旧シナリオにおける手順上の失敗に関連するリスクを低減し、現実の災害に対するチームの準備態勢を確保できます。

これらのテストでは、システム障害、データ破損、論理エラーなど、さまざまな復元シナリオをカバーする必要があります。パフォーマンス指標と完了時間を収集し、復元プロセスを継続的に改善し最適化します。災害復旧テストが成功したことを通知します。監査や迅速な規制順守のために、ドリルレポートを使用します。定期的なテストにより、バックアップの完全性が保証され、復元ワークフローのギャップを特定し、タイムリーな是正措置を講じることができます。

5. バックアップストレージコストの最適化

N2Wの詳細なコストレポートを活用して、バックアップ費用を削減する機会を特定します。

バックアップ費用を最適化するには、セキュリティや可用性を損なうことなく、データ保護戦略の費用を管理する必要があります。バックアップストレージの使用状況を定期的に確認し、安全に削除またはより費用対効果の高いストレージオプションに移行できる冗長なバックアップを特定します。AWSは、コスト分析ツールを提供しており、ユーザーはコストパターンを把握することができます。

ライフサイクルポリシーを導入し、時間をかけてデータをより安価なストレージクラスに移行するプロセスを自動化します。

6. 災害復旧のためのクロスリージョンバックアップを有効にする

DynamoDBテーブルの自動クロスリージョンレプリケーションを設定し、リージョン障害発生時にもデータの可用性を確保します。N2WSは、自動化されたポリシーによりクロスリージョンレプリケーションを容易にします。リージョン障害が発生した場合、手動操作や複雑なスクリプト作成を必要とせずに、セカンダリーリージョンからデータを迅速に復旧することができます。

この戦略により、影響を受けていないリージョンからデータを迅速に復旧することができ、ダウンタイムとサービスの中断を最小限に抑えることができます。また、地域をまたいだバックアップは、規制への準拠をサポートし、組織の災害復旧目標を達成します。

7. 災害復旧のためのアカウント間バックアップを有効にする

N2Wは、AWSアカウントが侵害された場合、ユーザーがリソースを完全に別のアカウントに分離し、悪意のある攻撃が発生した場合に迅速に復旧できるようにすることで、データ損失を最小限に抑えます。

8. バックアップと復元時のパフォーマンスを考慮する

DynamoDBの大きなテーブルや、グローバルセカンダリインデックス（GSI）を複数持つテーブルでは、バックアップ中にパフォーマンスのボトルネックが発生することがあります。

DynamoDBのバックアップおよびリストアの速度は、テーブルのサイズ、データスループットの制限、インデックスなどの要因によって異なります。大きなテーブルでは、処理されるデータの量が多いので、バックアップやリストアに時間がかかります。また、グローバルセカンダリインデックス（GSI）を複数持つテーブルでは、インデックスをテーブルデータとともに再構築する必要があるため、リストアに時間がかかることがあります。

また、バックアップ時には読み取り容量単位（RCU）が消費され、リストア時には書き込み容量単位（WCU）が消費されるため、データスループットの制限も重要な役割を果たします。プロビジョニングされたスループットが不十分であったり、スロットリングが発生したりすると、プロセスが大幅に遅くなる可能性があります。パフォーマンスを最適化するために、N2WSはインクリメンタルスナップショットを活用してリソースへの影響を最小限に抑え、バックアップが本番のワークロードに支障をきたさないようにしています。

結論として

AWSネイティブのツールはDynamoDBのバックアップの基本的な基盤を提供しますが、スケーラビリティ、コスト効率、およびクロスリージョンの災害復旧に関しては、しばしば不十分です。N2Wはこれらのギャップを埋め、DynamoDBのバックアップと復元を管理するための堅牢な自動化ソリューションを提供します。

N2WSを活用することで、企業は以下を実現できます。

きめ細かい増分バックアップの実現
クロスリージョンレプリケーションの自動化
ライフサイクル管理によるコストの最適化
モニタリングとレポートを一元化

DynamoDBテーブルを安心して保護しましょう。今すぐN2WSをお試しください！

タグ: AWS, DynamoDB, N2WS, データ保護, バックアップ

NVMe over TCP：実用展開とその限界、昨今のデータセンターにおける役割の再考

投稿日: 2025年3月21日クライム
クラウド・仮想インフラ機能

はじめに

NVMe over TCP（NVMe/TCP）は、標準のTCP/IPを使用してイーサネットネットワーク上でNon-Volatile Memory Express（NVMe）を拡張します。当初はNVMe over RDMA（NVMe/RDMA）の低コストな代替手段として注目されましたが、企業環境におけるその役割については、より幅広い視点で捉える必要があります。RDMA対応ハードウェアの採用が拡大するにつれ、NVMe/TCPは依然として価値があり、特に中小企業（SMB）や既存のハードウェアを戦略的に再利用するシナリオではその価値は高いものがあります。

NVMe over TCP（NVMe/TCP）とは？

NVMe/TCPは、NVMe over Fabrics（NVMe-oF）のトランスポートで、NVMeコマンドをTCP/IPネットワーク上で伝送する。超低レイテンシを実現するためにRDMA対応ハードウェアを活用するNVMe/RDMAとは異なり、NVMe/TCPは特別なネットワークハードウェアを必要とせず、標準のイーサネット上で動作します。Linuxカーネル（バージョン5.0以降）とSPDK（バージョン19.01以降）はNVMe/TCPをサポートしており、オープンソースエコシステムの互換性が確保されています。（注：SPDK は、最新世代の CPU、NVMe* SSD、NIC 向けのストレージ・ソフトウェアを最適化し、ストレージ・アプリケーションのパフォーマンスと効率を向上させることに焦点を当てたオープンソース・プロジェクト）

現代の企業におけるNVMe/TCPのニーズの評価

1. RDMAハードウェアの採用は増加しているが、普遍的ではない

多くの企業がNVIDIA（Mellanox）、Intel、BroadcomなどのベンダーからRDMA対応ハードウェアを導入している一方で、特に小規模な組織では、その採用率は大幅に異なる。中小企業はハードウェアのライフサイクルが長いことが多く、NVMe/TCPはインフラの全面的な見直しを急がずにストレージを近代化する魅力的なソリューションとなる。

2. レガシーハードウェアと階層型ストレージの利用

レガシーハードウェアを完全に廃棄するのではなく、企業は古いながらも信頼性の高いハードウェアをプライマリ（ティア1）ストレージからセカンダリ（ティア2）またはバックアップティアに再利用することがよくあります。NVMe/TCPは既存のイーサネットハードウェアの寿命を効果的に延ばし、iSCSIなどのレガシープロトコルよりもパフォーマンスと効率性を向上させながら、コスト効率の高いアップグレードを実現します。

3. iSCSIをNVMe/TCPに置き換えてパフォーマンスを向上

NVMe/TCPのもう一つの利用例は、iSCSIベースのストレージに依然として依存している組織のアップグレードパスとしての利用です。iSCSIは、SCSIカプセル化とCPU集約型の処理に依存しているため、パフォーマンスのボトルネックが生じます。NVMe/TCPは、既存のイーサネットインフラストラクチャを活用しながら、これらの非効率性を排除する、直接的な高性能の代替手段を提供します。これにより、NVMe/TCPはRDMAを採用せずにストレージ接続を近代化したい企業にとって現実的な選択肢となります。iSCSIからNVMe/TCPへの移行はオーバーヘッドを削減し、より優れたパフォーマンスを実現します。そのため、ネットワークハードウェアを全面的にアップグレードすることなく、段階的なアップグレードを求める企業にとって魅力的な選択肢となります。

NVMe/TCPとその他のトランスポートプロトコルの比較

1. NVMe/TCPとNVMe/RDMAの比較

NVMe over RoCE（RDMA over Converged Ethernet）は、NVMe/TCPと比較して、より低いレイテンシと高いパフォーマンスを実現します。 RoCEv2は、レイテンシに敏感なワークロードに対して優れたパフォーマンスを発揮しますが、特殊なハードウェアとより複雑なネットワーク構成を必要とします。一方、NVMe/TCPは標準のイーサネットインフラを活用するため、よりコスト効率に優れ、さまざまな環境への実装が容易です。

2. NVMe/TCPとNVMe/FCの比較

NVMe over Fibre Channel（NVMe/FC）は、互換性の面ではNVMe/TCPと類似したメリットを提供しますが、ファイバーチャネルネットワークの決定論的なパフォーマンスのメリットがあります。企業がすでにFCを使用している場合、NVMe/TCPに切り替えるよりもNVMe/FCへの移行が論理的です。

3. NVMe/TCP vs. iSCSI

NVMe/TCPは、ネイティブのNVMeコマンドのサポート、処理オーバーヘッドの削減、より効率的なデータ処理により、iSCSIと比較して大幅なパフォーマンスの向上を実現します。インフラストラクチャに大幅な変更を加えることなくパフォーマンスの向上を目指す企業にとっては、iSCSIで段階的な機能強化を続けるよりも、NVMe/TCPが最適なアップグレードパスとなる可能性があります。

パフォーマンスに関する考慮事項と制限事項

NVMe over TCP（NVMe/TCP）は、パフォーマンスと導入の容易さのバランスに優れたソリューションですが、実用化にあたっては、メリットと同時に課題も伴います。ストレージインフラにNVMe/TCPの導入を検討する企業にとって、これらの要因を理解することは極めて重要です。

ネットワークインフラ：ネットワークインフラを大幅に変更することなくストレージの近代化を検討している企業にとって、NVMe/TCPは魅力的な選択肢です。しかし、NVMe/TCPのパフォーマンス上の利点を最大限に活用するには、高速ネットワーク（25GbE以上）が必要です。
CPUオーバーヘッド：NVMe/TCPはハードウェアアクセラレーション機能がないため、NVMe/RDMAと比較してCPUリソースを多く使用します。このオーバーヘッドは顕著ですが、多くの中小規模のワークロードにとっては許容範囲内です。
レイテンシ：NVMe/TCPは、RDMAの代替手段と比較すると、本質的にわずかに高いレイテンシが発生します。しかし、超低レイテンシを必要としないワークロードでは、NVMe/TCPは依然として実用的で効果的です。
パフォーマンスの変動性：NVMe/TCPのパフォーマンスは、NVMe over Fibre Channelのような専用プロトコルと比較すると、ネットワークの混雑や変動するワークロードの影響を受けやすくなります。
TCPスタックの最適化：レイテンシやパフォーマンスの問題を軽減するには、TCPパラメータの慎重なチューニングが必要になる場合が多い。これには、TCPウィンドウサイズ、バッファ割り当て、輻輳制御設定の最適化が含まれる。

NVMe/TCPが有効なのはどのような場合か？

RDMA対応ハードウェアが広く利用可能であることを踏まえると、NVMe/TCPは現代の企業では限定的な実用性しか持ちません。しかし、NVMe/TCPは、特に以下の企業シナリオでは依然として関連性があり実用的です。

iSCSI の代替：標準のイーサネットを活用しながら、より効率的な NVMe ベースのストレージプロトコルに iSCSI を段階的に廃止することを検討している企業。絶対的なパフォーマンスでは RDMA ベースのソリューションには及ばないものの、NVMe/TCP は従来の iSCSI に比べて大幅な改善をもたらし、平均で 35% 高い IOPS と 25% 低いレイテンシを実現します。
既存の環境への導入：ファイバーチャネルやRDMAアダプターのような特殊なハードウェアを必要とせず、企業は現在のネットワーク投資を活用することができます。
エッジコンピューティングおよびROBO（リモートオフィス/支店オフィス）：インフラが最小限のサイトで、RDMAへの投資は正当化されません。
テストおよび開発環境：RDMAハードウェアを必要とせず、NVMe/TCPはステージングやテストに低コストの代替手段を提供することができます。

StarWind Virtual SAN, NVMe/RDMA

High-scopeクラスタ相互接続図、StarWind VSAN NVMe over RDMA

上図で示されているように、StarWind VSAN NVMe/RDMA セットアップは、SR-IOV (Single Root I/O Virtualization) を使用して Remote Direct Memory Access (RDMA) 用に構成された Mellanox NIC によって駆動され、NIC 仮想機能が StarWind コントローラ仮想マシン (CVM) に直接渡されるようになります。

各ハイパーバイザノードには、5つのNVMeドライブが装備されています。これらのドライブは、各ノード上のStarWind CVMに直接渡され、そこでRAID5アレイに組み立てられます。

RAID5アレイの上に、2つのStarWind HAデバイスが作成されます。これらの高可用性デバイスは、両方のノードにデータを複製するように設計されており、ノード障害が発生した場合でも、システムはダウンタイムゼロで稼働し続けます。

StarWind Virtual SAN, NVMe/TCP

High-scopeクラスタ相互接続図、StarWind VSAN NVMe over TCP

このシナリオでは、StarWind VSANは、トランスポートプロトコルとしてNVMe/TCPを使用して展開されます。ここで、主な違いはネットワーク構成にあります。コアアーキテクチャは同じのままです。StarWind CVMがNVMeデバイスを処理し、StarWind HAによってデータの冗長性を確保します。しかし、このケースでは、SR-IOVはMellanox NICには使用されません。[注：StarWind Virtual SAN（VSAN） CVM は、VMware vSphere にインストールされる Linux 仮想マシン（VM）です。]

NICの仮想機能をRDMA通信専用にするのではなく、StarWind CVMはハイパーバイザーが提供する標準の仮想ネットワークアダプターを使用します。これにより、セットアップが簡素化され、Mellanox NIC上でSR-IOVを構成する必要がなくなります。これは、NVMeストレージのパフォーマンスの優位性を維持する、おなじみのシンプルな設計です。

結論

NVMe/TCPは、RDMAの採用が拡大しているにもかかわらず、特にハードウェアのライフサイクルを戦略的に管理している中小企業や企業にとって、依然として大きな実用価値を持っています。iSCSIなどのレガシープロトコルからの論理的かつ経済的なアップグレードが可能であり、既存のインフラストラクチャの有効な再利用を保証し、レイテンシにそれほど敏感でないユースケースにも適合します。NVMe/RDMAが高性能コンピューティングのワークロードを支配する可能性がある一方で、NVMe/TCPは多くのエンタープライズストレージ環境に対して、柔軟でアクセスしやすいソリューションを提供し続けます。

StarWind VSAN NVMe/RDMAは、Linuxベースのコントローラ仮想マシン内で実行されるため、リモートパートナーからの読み取りと同じ方法で、ローカルトラフィックをネットワーク経由でルーティングするように設計されたローカル読み取りデータパスを備えています。このようなアプローチは、展開の簡素化と重要なコンポーネントの分離に最適化されています。

StarWind VSAN NVMe/RDMAは、ランダムおよびシーケンシャルなワークロードの両方で優れたパフォーマンスを発揮し、バランスを取ります。驚くほど低いレイテンシと最小限のCPU消費で、VMの数が増加してもRDMAのアーキテクチャは安定性を維持し、データベース、リアルタイム分析、VDIなど、リソースに大きな負担をかけずに低レイテンシのパフォーマンスを必要とする環境に最適です。

一方、StarWind VSAN NVMe/TCPは、さまざまなシナリオにおいて、信頼性の高いスループットと適度なCPU使用率を維持し、安定したバランスの取れたプロファイルを維持します。すべてのシナリオにおいてStarWind VSAN RDMAのピークパフォーマンスに達するわけではなく、高スループットの読み取りで「MysteriousなVSAN」に匹敵するわけではありませんが、そのバランスの取れた出力と適度なリソース使用率により、RDMAが利用できない場合の強力で汎用性の高い代替案となります。

参考： StarWind vSAN for vShpere 技術ブログ

タグ: iSCSI, NVMe over Fabrics, NVME-OF, NVMe/FC, NVMe/TCP, RDMA, StarWind, VSAN

AWS S3へのバックアップについて

投稿日: 2025年3月20日クライム
AWS クラウド・仮想インフラ

Amazon Simple Storage Service（S3）は最も広く利用されているクラウドストレージサービスの一つですが、データを保存するだけでは十分ではありません。確固としたバックアップ戦略がなければ、誤ってデータを削除したり、サイバー攻撃を受けたり、予期せぬデータ破損が発生したりするリスクにさらされます。

では、S3データをバックアップする最善の方法はどのようなものでしょうか。このガイドでは、S3のバックアップ方法やストレージクラスから、ベストプラクティス、料金、制限事項まで、知っておくべきことをすべて網羅しています。AWS Backup for S3 の利用を検討している場合でも、より優れた代替策をお探しの場合でも、データを効率的に保護するために必要なすべての情報がここにあります。

AWS S3 バックアップとは何ですか？また、どのように機能しますか？

AWS S3 バックアップとは、自動または手動のバックアップ方法によって Amazon S3 データを保護するプロセスを指します。AWS Backup は完全に管理されたサービスであり、Amazon S3 データを、保持期間とバックアップ頻度を定義するポリシーに従ってバックアップすることができます。

AWS Backup for S3を有効にすると、継続的なバックアップが取得され、過去35日間の任意の時点に復元することが可能になります。また、長期間にわたって保存できる定期的なバックアップ（スナップショット）を作成することもできます。これらのバックアップは、コンプライアンス要件への対応、データ損失からの復旧、および事業継続性の確保に役立ちます。

Amazon S3バックアップの一般的な使用例

Amazon S3バックアップは、以下のようなさまざまなビジネスニーズに対応します。

ハイブリッドクラウドのバックアップ：AWS Storage Gateway を使用してオンプレミスのバックアップをAmazon S3 に保存することで、ハードウェアへの依存を軽減し、シームレスなクラウド統合を実現します。
テープの代替：物理テープライブラリからクラウドベースの仮想テープストレージに移行することで、耐久性とコスト効率を向上させます。
データライフサイクル管理：S3 ライフサイクルポリシーを使用して、データを自動的に Glacier のような低コストのストレージ階層に移行します。
データの回復力：AWSバックアップのクロスリージョンおよびクロスアカウントのバックアップ機能を活用して、高可用性を確保し、ダウンタイムのリスクを最小限に抑えます。
規制への準拠：S3オブジェクトロックで変更不可のアーカイブを保存し、法規制や業界の保存要件を満たします。

AWS S3バックアップの主な機能

AWS S3には、信頼性の高いバックアップを確保するための以下の機能が組み込まれています。

オブジェクトのバージョン管理：オブジェクトの複数のバージョンを保持することで、誤って削除や上書きすることを防ぎます。これにより、データが破損したり、意図しない変更が行われた場合でも、以前のバージョンを復元することができます。
マルチゾーンストレージの耐久性：データは、リージョン内の複数のアベイラビリティゾーン（AZ）に分散され、停電やハードウェアの故障に対する冗長性を高めます。AZに問題が発生した場合でも、別のAZからデータにアクセスできるため、サービスを中断することなく継続できます。
最適化されたデータ転送：AWS S3は、S3 Transfer Accelerationなどのグローバルネットワーク最適化を活用し、データアップロードを高速化し、拠点間の効率的なデータ移動を保証します。これは、ダウンタイムを最小限に抑える必要がある大規模なバックアップに特に役立ちます。
変更不可のストレージオプション：S3 Object Lockを使用すると、企業はWrite Once Read Many（WORM）ポリシーを適用して、バックアップデータの変更や削除を防止することができます。これにより、業界規制への準拠が保証され、ランサムウェア攻撃から保護されます。
強固なデータ暗号化：AWS S3は、AES-256によるサーバー側暗号化（SSE）とAWSキー管理サービス（KMS）との統合により、バックアップデータを保護します。これにより、厳格なセキュリティ要件を満たしながら、保管中および転送中のバックアップが保護されます。

Amazon S3のバックアップ方法

Amazon S3のデータをバックアップするには、主に2つの方法があります。

継続的バックアップ：S3オブジェクトへのすべての変更を追跡し、過去35日以内の任意の時点への復元を可能にします。この方法では、データは常に最新の状態に保たれ、企業はそれぞれの特定の復旧要件に基づいて、きめ細かい復元を行うことができます。
定期的なスナップショット：最大99年間保持できるスケジュールされたバックアップを取得します。これらのスナップショットは、特定時点での復旧ソリューションを提供し、ストレージコストを最小限に抑えながら、コンプライアンスやアーカイブの目的に役立ちます。

ベテランのヒント：両方の方法を組み合わせましょう。最近のデータ復元には継続的なバックアップを、長期アーカイブには定期的なスナップショットを使用します。これにより、迅速な復元とストレージコストの削減を実現できます。

AWS S3 バックアップ用ストレージクラス

AWS バックアップは複数の Amazon S3 ストレージクラスをサポートしており、企業はアクセス頻度やコストを考慮してバックアップ戦略をカスタマイズすることができます。利用可能なオプションは以下の通りです。

S3スタンダード：頻繁にアクセスされるバックアップ用に設計されており、高い耐久性と高速な取得を実現します。このクラスは、データを遅延なく迅速に復元する必要があるアクティブな作業負荷に最適です。
S3 Standard-IA：アクセスは時々だが、素早い取得が必要なバックアップに最適なコスト効率の高いオプションです。災害復旧や、頻繁には必要とされないがオンデマンドで利用可能な状態にしておく必要がある長期保存に最適です。 S3 Standard-IAは、S3 Standardと同等の耐久性を備えつつ、より低いストレージコストを実現します。
S3 One Zone-IA：単一の可用性ゾーンに保存される、アクセス頻度の低いバックアップ向けの低価格オプション。コストは削減できますが、マルチゾーンストレージと比較すると、データ損失のリスクが高くなります。
S3 Intelligent-Tiering：使用パターンに基づいて、アクセス頻度の高い層と低い層の間でデータを自動的に移動します。このクラスは、手動での介入なしに、最も経済的な層にバックアップが保存されるようにすることで、コストを最適化します。
S3 Glacier インスタントリカバリ：ミリ秒単位の検索時間を実現しながら、長期的なアーカイブストレージ用に設計されています。アクセス頻度は低いものの、必要な時に即座に利用できることが求められるバックアップのストレージコストを最も低く抑えることができます。

AWS Backupは、GlacierやGlacier Deep ArchiveなどのS3アーカイブ層へのアーカイブスナップショットをサポートしていないことに注意する必要があります。

S3バックアップのベストプラクティス

信頼性が高く効率的なS3バックアップ戦略を確立するには、以下のベストプラクティスを考慮してください。

メタデータを効率的に整理：構造化メタデータタグを実装して検索性を高め、データ分類を合理化します。
チェックサムでデータの整合性を検証：アップロードおよび復元時にチェックサム検証を使用して、データの破損や不整合を検出します。
オブジェクトキーの命名に関するベストプラクティスに従う：オブジェクト名は一貫性を保ち、特殊文字を含まないようにして、サービス間の互換性の問題を回避します。
ライフサイクルポリシーでストレージコストを最適化：バックアップへのアクセスが頻繁でなくなった場合、Glacier やその他の低コストのストレージクラスへのデータ移行を自動化します。
バージョン管理：定期的に監査を行い、不要なオブジェクトバージョンを削除することで、ストレージコストを抑制します。
アクティビティの監視：AWS のログとイベント通知を使用して変更を追跡し、セキュリティポリシーへの準拠を確保します。

AWS S3 バックアップの価格

AWS S3 バックアップの料金は、ストレージの使用状況、リクエスト操作、データ検索など、いくつかの要因によって異なります。通常、以下の費用が含まれます。

ストレージ費用：1か月あたりの平均ストレージ使用量に基づいて課金され、S3 Standard では GB-月あたり 0.023 ドルから、アーカイブ層ではより低い料金が適用されます。
リクエスト料金：バックアップおよび復元プロセス中の GET/LIST および PUT リクエストなどの操作には、追加料金が発生します。
リストア費用：データ取得はGB単位で課金され、Glacierでは0.01ドルからで、アクセス速度に応じて異なります。
データ転送費用：AWSのリージョン間またはオンプレミスのインフラストラクチャへのデータ移動には、アウトバウンド転送費用が発生します。

最新の料金については、AWS S3 Pricing Pageを参照してください。

AWS Backup for S3の制限事項

AWS Backup for Amazon S3は、一元化された自動バックアップソリューションを提供しますが、ユーザーが認識しておくべきいくつかの制限があります。

限定的なメタデータと構成のバックアップ：AWS Backupは、S3オブジェクトのすべてのメタデータのバックアップをサポートしていません。オリジナル作成日、バージョンID、ストレージクラス、e-タグなどの特定のプロパティは除外されます。また、バケットポリシー、設定、名前、アクセスポイントなどのバケットレベルの構成はバックアップに含まれません。
SSE-C暗号化には対応していません：AWS BackupはSSE-C（顧客提供キーによるサーバーサイド暗号化）で暗号化されたオブジェクトのバックアップには対応していません。つまり、セキュリティ強化のためにSSE-Cを利用している組織は、AWS Backupを使用してデータを保護することができません。さらに、AWS BackupはAWS Outpostsに保存されたS3データのバックアップには対応していないため、ハイブリッドクラウド環境での利用には制限があります。
コールドストレージへの移行はできません： AWS Backupでは、S3 GlacierやS3 Glacier Deep ArchiveなどのコールドストレージへのS3バックアップの移行はできません。この制限により、特に長期アーカイブ目的でバックアップを保持しようとしている組織では、ストレージコストが増加する可能性があります。
オブジェクトキー名の制限：AWS Backupは、特定のUnicode文字を含むオブジェクトキー名のみをサポートしています。サポートされていない文字を含むキー名を持つオブジェクトは、バックアップから除外される可能性があり、データ損失や不完全なバックアップにつながる可能性があります。

StarWindが提供するものとは？

AWS Backup for S3は管理されたバックアップソリューションを提供しますが、特にコールドストレージの移行と長期アーカイブのコスト最適化において制限があります。AWS Backupでは、S3スナップショットをGlacierまたはGlacier Deep Archiveにアーカイブできないため、企業はバックアップをより高コストのストレージ層に保存せざるを得ません。

StarWind Virtual Tape Library (VTL) for AWSとVeeamは、コスト効率の高いコールドストレージ層をバックアップインフラにシームレスに統合することで、これらの課題に対処します。企業は、ディスクからディスクへクラウドへ（D2D2C）の戦略を導入し、バックアップをまず高速なローカルストレージに保存し、その後自動的にAmazon S3とGlacierに階層化することができます。これにより、アクセス頻度の高いデータはパフォーマンス最適化ストレージに保存され、古いバックアップは低コストのアーカイブ層にオフロードされるため、ストレージ費用を大幅に削減できます。

StarWind VTL を活用することで、AWS バックアップのみの場合と比較して、よりコスト効率が高く安全なバックアップ戦略を実現し、3-2-1-1 バックアップルールへの準拠を確保できます。

結論

Amazon S3は、継続的なバックアップと定期的なスナップショットにより、多彩なバックアップ機能を提供し、さまざまな復元オプションを可能にします。しかし、メタデータの不完全なバックアップや、Glacierのようなコールドストレージ階層へのスナップショットの直接アーカイブができないなどの制限があることを認識しておくことが重要です。ストレージクラスを慎重に検討し、ベストプラクティスを導入し、Amazon S3の価格体系を理解することで、企業はデータ保護にS3を効果的に活用し、強固なバックアップ戦略を実現することができます。

タグ: 3-2-1, Deep Archive, Glacier, S3 Glacier, StarWind, Veeam, VTL, バックアップ

KVM(Kernel-based Virtual Machine) と StarWind VSAN

投稿日: 2025年2月28日クライム
クラウド・仮想インフラ

KVMは？

急速に変化し、進化する仮想化インフラの世界において、ベンダーは常に、より堅牢で信頼性が高く、運用しやすいもの、簡単に言えば、全体的な効率性を高めることを追求しています。 Kernel-based Virtual Machine (KVM) は、Linux をベアメタルハイパーバイザーに変換するオープンソースの仮想化技術であり、必要なコンポーネント（メモリマネージャー、プロセススケジューラ、入出力（I/O）スタックなど）をすべて Linux カーネルの一部として備えています。業界をリードする多くの製品と比較すると、KVMハイパーバイザーはユーザーに非常に高い柔軟性を提供し、改善の余地を多く残しているため、KVMベースの仮想インフラストラクチャへの移行は実際、非常に合理的なアイデアであるように思われます。

当初、カーネルベースの仮想マシンは、2006年にQumranetという企業によって開発・発表されました。KVMハイパーバイザーは2007年にLinuxに吸収され、2008年にはRed HatがQumranetを買収しました。Red Hat KVMは、Red Hatの他の技術と同様にオープンソースであるため、LinuxはIntel、HP、IBM、Suseを含むOpen Virtualization Allianceを立ち上げました。KVMソフトウェアは、QEMUと関連付けられることが多くあります。後者はハードウェアをエミュレートするが、KVMハイパーバイザーはホストシステムから必要なITリソースを割り当てます。したがって、Linux KVMは広範なLinuxファミリーの1つであるため、LinuxがKVMに提供できるものはすべて提供できると言える。しかし、カーネルベースの仮想マシンについて詳しく見ていきます。

KVMのコンポーネント

KVMハイパーバイザーは、2.6.20（かなり前のバージョン）以降のLinuxカーネル（オペレーティングシステム自体のコア）に組み込まれた完全な機能を持つ仮想化機能です。Linux KVMは、AMD 64およびIntel 64ハードウェア上で動作します。KVMのインストールは非常に簡単です。Windows Hyper-Vと同様に、カーネルから起動する必要があります。ただし、Windows上でKVMを実行することはできませんが、KVM上でWindowsを実行することは可能です。

KVMの主要コンポーネントには以下が含まれます。

ゲストシステムと連携して動作するハイパーバイザー用に開発された専用ドライバーであるVirtIOドライバーは、準仮想化の実行を可能にします。
KVMツールは、QEMUの代替となるよりスリムなソフトウェアであり、環境の生産要件に応じて選択されます。
QEMUは、ハードウェアコンポーネントをエミュレートし、仮想マシンを管理する独立したソフトウェアです。Red Hat KVMは、ハードウェアのエミュレートにこれを利用し、準仮想化により速度を向上させています。Linux KVMとQEMUは、単一のパッケージで一緒に提供されることが多く、密接に連携しています。
Kernel Extension は、ハードウェアと Linux KVM によって生成された仮想化されたハードウェアとの間の実際の変換レイヤーです。これには、kernel.co 拡張、kvm-amd および kvm-intel モジュールが含まれ、これらは既存のプロセッサブランドに基づいて使用されます。
Libvirt は、仮想マシン（VM）を操作するための Linux KVM アプリケーションプログラミングインターフェース（API）です。他の同様のソフトウェアと同様に、仮想化リソースの監視と管理を可能にします。また、LibvirtにはVM Managerのグラフィカルユーザーインターフェース（GUI）も含まれています。

ほとんどのRed Hatディストリビューションと同様に、Linux KVMは非常にシンプルで無駄がなく、それが大規模なオープンソースコミュニティに指示れている理由です。次にKVMで何ができるのかを簡単に見てみましょう。

KVM の機能

まず、他のハイパーバイザーと同様に、KVM ハイパーバイザーは仮想化プロセスを可能にし、管理するために存在します。KVM ハイパーバイザーサーバーがホストする仮想リソースを使用して、ハードウェアを抽象化し、アプリケーションの実行を可能にします。Red Hat KVM は、ソフトウェアによるエミュレーション、またはハイパーバイザー制御の実行と実際のハードウェアリソースへの割り当てのいずれかにより、ゲストシステム用のハードウェアを提供します。

一般的な参考情報として、KVM 仮想化にはいくつかの種類があります。

完全仮想化：ハードウェアがソフトウェアによって完全にエミュレートされ、実際の物理ハードウェアとのやり取りなしに仮想環境内で独立して動作する。この場合、対応するドライバは不要となる。ただし、パフォーマンスは犠牲になる。
準仮想化：ゲストシステムがホストシステム（ハイパーバイザーサーバー）とある程度やり取りを行うことを意味する。つまり、特定のドライバが必要になる。
ハードウェア支援準仮想化：プロセスがハードウェアサポートをすでに統合している。その後、すべてがすでに揃っており、プロセッサと直接、仲介なしで動作するため、パフォーマンスが向上します。通常、このケースが望ましい動作です。

Linux KVM はハイパーバイザーに期待されるすべての基本的な標準機能を備えていますが、Red Hat ディストリビューションであるという独自性もあります。カーネルベースの仮想マシンを使用することで、Linux オープンソースコミュニティから評価されている独自の利点と好みが得られます。

特に、Linux KVM には以下の機能があります。

自動 NUMA バランシング：その名の通り、NUMA ベースのホスト上で実行されるアプリケーションのパフォーマンスを向上させる機能です。
ディスク I/O スロットリング：指定の VM からホストに送信される I/O リクエストの数を制限して定義することができ、パフォーマンスの向上に役立ちます。
オーバーコミット：必要に応じて、ホストシステム上の利用可能なリソースよりも多くの仮想 CPU またはメモリリソースを KVM に割り当てることができます。
シンプロビジョニングにより、Red Hat KVMは柔軟なストレージの割り当てが可能になり、各VMに対して利用可能なストレージスペースを大幅に最適化できます。
仮想CPUのホットアドは、ダウンタイムを発生させることなく、特定のVMに必要な処理リソースを増やすことができる優れた機能です。

Linux KVMは確かに優れたハイパーバイザーですが、既存のアルゴリズムと利用可能なリソースを管理することしかできません。フォールトトレランス、便利な高速なディザスタリカバリ、非常に高いアプリケーションの常時稼働率、または必要に応じて高可用性（HA）を実現する場合には、KVMでは対応できません。しかし、StarWind Virtual SANと組み合わせることで、KVMベースのハイパーコンバージドインフラストラクチャは、予算内で真の力を発揮し、企業向けROBO（Remote Office/Branch Office）、SMB、エッジに真の価値をもたらします。

Linux KVM (Red Hat)と StarWind VSAN

StarWind VSAN はネイティブハイパーバイザーコンポーネントとして動作するため、あらゆる環境に役立つ追加機能となります。特に、カーネルベースの仮想マシンと KVM ハイパーバイザーを組み合わせた場合、その相乗効果は素晴らしいパフォーマンス結果につながります。

Linux KVM は従来の Linux パフォーマンスを備えているため、最も要求の厳しいアプリケーションのロードを仮想化できます。StarWind は、Linux KVM を使用して HA クラスターを構築するために、高可用性ブロックストレージを提供できます。
KVMハイパーバイザによってサポートされるライブマイグレーションは、VMを再配置しても安定した動作を保証し、StarWind iSCSIはブロックストレージ転送に最大の帯域幅を提供し、VMのマイグレーションを容易にします。
Linux KVMテクノロジーは柔軟性が高く、Linuxでサポートされているストレージを基本的にすべて利用でき、マルチパスI/Oを使用して必要な冗長性を提供します。同時に、StarWind VSANはVMの負荷に合わせてストレージを管理するため、ストレージのパフォーマンスは最高の状態に保たれ、高価なストレージを必要とせず、ランダムI/Oを回避できます。

Linux KVMハイパーバイザーはそれ自体でも強力な機能を備えていますが、StarWind VSANを使用すると、その主な機能が最大限に発揮されます。

タグ: KVM, Nutanix AHV, Oracle Linux, Proxmox VE, RedHat Openshift, StarWind

IOPS（Input/Output Operations Per Second）：ストレージのパフォーマンス指標

投稿日: クライム
バックアップ機能

ストレージのパフォーマンスを理解する上で、IOPS（Input/Output Operations Per Second）がしばしば脚光を浴びます。ホームラボの最適化、高性能データベースの実行、あるいはエンタープライズレベルのストレージソリューションの設計など、IOPSは繰り返し遭遇する測定基準です。しかし、IOPSが実際に何を意味し、なぜ重要であり、どのように最大限に活用できるのでしょうか？それでは、詳しく見ていきましょう。

IOPSの意味

IOPS（Input/Output Operations Per Second）とは、ストレージシステムが1秒間に実行できる読み取りおよび書き込み操作の回数を表す測定値です。これは、ストレージのパフォーマンスを評価する際に最も一般的に使用されるベンチマークの1つです。

コンピューティングにおいて、入力とはシステムに送信されるあらゆる情報であり、データの取得を伴う読み取り操作などがこれに該当します。出力とは、入力の処理結果であり、データの保存を伴う書き込み操作などがこれに該当します。これらの入出力が効率的に処理されるほど、システムのIOPSは高くなります。

IOPSの数値は、ストレージの種類（HDD、SSD、NVMe、RAM）やワークロードによって大きく異なります。例えば、SSDは数千のIOPSを処理できるのに対し、従来のHDDは通常数百のIOPSを処理するのが一般的です。しかし、生のIOPS数値は全体像の一部に過ぎず、データ転送のサイズやレイテンシも全体的なパフォーマンスに重要な役割を果たします。

IOPSが重要な理由とは？

IOPSは単なる数値ではなく、ストレージシステムがデータ要求を処理する能力の指標です。シーケンシャルとランダムという異なるデータ書き込み・読み取り方法が含まれます。 シーケンシャル操作は、順序付けされたデータアクセスを伴い、大量のブロックでデータが書き込まれたり読み取られたりするメディアストリーミングのようなタスクに最適です。一方、ランダム操作は、断片化されたデータ検索を伴い、データベースや仮想化に不可欠です。

高い IOPS レートは、以下のことを保証します。

高速なアプリケーションのレスポンス：アプリケーションは、効率的に動作するために素早いデータアクセスを必要とします。高い IOPS レートは、データ転送が迅速に行われることを保証し、待ち時間を短縮し、ユーザー体験を向上させます。
拡張性の向上：データの増加に伴い、ストレージシステムへの要求も増加します。高い IOPS レートは、複数のアプリケーションが遅延なく同時にデータにアクセスすることを可能にし、パフォーマンスの低下を招くことなくビジネスの成長をサポートします。
仮想化の効率性：複数の仮想マシンが同じストレージを共有する仮想環境では、高い持続的な IOPS が非常に重要となります。 IOPS が高ければ、VM が互いに干渉することなくスムーズに作業負荷を実行できることを意味します。

IOPS の計算方法

IOPSのベンチマークの概念は、技術の進歩とともに進化してきました。FIO、DiskSpd、ベンダー固有のユーティリティなどのツールにより、シーケンシャルIOPSとランダムIOPS、レイテンシ、スループットに関する詳細な洞察が提供されています。IOPSの計算は、入出力操作の総数を実行に要した時間で割ることで行います。

IOPS = 入出力操作の総数 ÷ 時間（秒）

例えば、ストレージデバイスが2秒間で500回の読み取り/書き込み処理を実行した場合、IOPSは250となります。

IOPS vs スループット vs レイテンシ

IOPS、スループット、レイテンシは相互に関連する指標であり、これらを総合的に考慮することでストレージのパフォーマンスを定義することができます。

IOPS：1秒あたりの読み取り/書き込み処理の回数を測定します。頻繁に少量のデータ転送を伴う作業負荷に不可欠です。
スループット：処理されるデータ量に焦点を当て、MB/秒またはGB/秒で測定されます。動画ストリーミングなどのデータ集約型アプリケーションにとって重要です。
レイテンシ：単一のI/Oリクエストを完了するのにかかる時間を示し、ミリ秒単位で測定されます。ユーザーエクスペリエンスに直接影響します。

IOPSは多数の小規模なランダム操作を伴うシステムの評価に最適ですが、スループットは大規模なシーケンシャルデータ処理に適しています。レイテンシは個々の操作の速度に影響を与えることで、両者を結びつける役割を果たします。

IOPS HDD vs. SSD vs. NVMe

ストレージデバイスの種類（HDD、SSD、NVMe）、RAID構成、ワークロードの特性などの要因は、結果に大きな影響を与えます。例えば、RAID 0などのRAIDレベルはパフォーマンスを向上させますが、RAID 6ではパリティ計算によるオーバーヘッドが発生します。

HDD、SSD、NVMeドライブは、その基盤技術とインターフェースにより、IOPSの処理方法が大きく異なります。

HDD：回転するプラッターと機械式アームを使用しているため、速度に本質的な制限があります。通常、100～200 IOPSを処理でき、アーカイブストレージやシーケンシャルI/Oワークロードに適しています。機械部品があるため、アクセスレイテンシが高くなります。
SSD：フラッシュメモリ技術を使用しており、可動部品がありません。レイテンシが低く耐久性も高いため、数万～数十万 IOPSを処理できます。SATAまたはSASインターフェースを使用しますが、一部のアプリケーションでは依然としてボトルネックとなる可能性があります。
NVMe SSD：従来のボトルネックを回避し、高速データ転送を実現するPCIeインターフェースを利用します。超低レイテンシで数十万のIOPSを実現します。NVMeは、要求の厳しい企業環境における仮想化、データベース、分析に最適です。

プロトコルも重要な役割を果たします。リモートブロックストレージでは、NVMe-oF（NVMe over Fabrics）のようなプロトコルが最小限のレイテンシで高速データアクセスを可能にし、分散型セットアップに大きな利点をもたらします。

IOPS（Input/Output Operations Per Second）の指標を改善する方法について

IOPSの指標を改善することは、それほど複雑なことではありません。ストレージシステムをより高速かつ効率的にするための実用的なステップをいくつかご紹介します。

より高速なストレージにアップグレードする：まだHDDを使用している場合は、SSDまたはNVMeドライブへの切り替えを検討してください。中程度の読み取り専用のSSDでも、回転ディスクよりも劇的に高いIOPSと低いレイテンシを実現します。
ドライブをアレイに結合する：同様のモデルのドライブを追加し、RAIDで構成します。例えば、パフォーマンスと冗長性の両方を向上させるには、RAID 10が最適なオプションです。RAID 5とRAID 6もSSDストレージと相性が良いです。
ワークロードを最適化する：データを整理し、不要な I/O 操作を削減します。例えば、パーティションの調整やドライブのデフラグメントなどの微調整は、HDD ベースのアレイに大きな違いをもたらします。
キャッシュを有効にする： RAM または SSD ベースのキャッシュを使用すると、頻繁にアクセスされるデータの取得時間を短縮することで、読み取りおよび書き込み操作を高速化できます。
スケールアウト：システムにドライブやノードを追加すると、ワークロードを分散し、全体的な IOPS 容量を増やすことができます。

ストレージのパフォーマンスを定期的に監視することを忘れないでください。Iometer、FIO、またはベンダー固有のユーティリティなどのツールを使用すると、ボトルネックを特定し、最適化の取り組みを導くことができます。セットアップを微調整することで、最新のアプリケーションの要求を満たす、一貫した高速パフォーマンスをシステムが提供できるようになります。

結論

IOPSは、ストレージのパフォーマンスを理解し最適化するための重要な指標です。HDDとSSDの比較、NVMeの評価、容量の計画など、IOPSを把握することで、インフラストラクチャの効率的な運用、需要への対応、効果的な拡張が可能になります。適切なテクノロジーと構成に重点的に取り組むことで、最新のアプリケーションに必要な高速パフォーマンスを実現できます。

タグ: RAID, SAS, SSD, ストレージ, データベース, パフォーマンス, 仮想, 仮想化

データ漏洩により閉鎖を余儀なくされた悲劇の5社

投稿日: 2025年2月27日クライム
クラウド・仮想インフラセキュリティバックアップ

TravelExのランサムウェア攻撃（2020年）

2020年初頭、新型コロナウイルス（COVID-19）が世界中に広がり、ほとんどの国が「以前」の最後の数週間を楽しんでいた頃、外貨両替会社のTravelExはランサムウェア攻撃を受け、30か国での業務が停止しました。攻撃者は、同社のデータを復元するために600万ドル（一部の情報源では300万ドル）の身代金を要求しました。

同社は攻撃者と交渉したようで、攻撃者は230万ドルの支払いで合意したようです。しかし、データの完全復旧をせずに身代金を支払った92パーセントの企業と同様に、TravelExはハッカーとの和解後も通常業務に戻ることができなかった。むしろ、同社は最終的に再編成を余儀なくされ、事実上、廃業しました。

また、TravelExは攻撃を受ける前にサイバー保険に加入していたようである。しかし、業務中断による深刻な損失をカバーするには十分ではありませんでした。

この事件の影響で、TravelExの経営陣は、新型コロナウイルス（COVID-19）のパンデミックが発生していなければ、同社は攻撃を乗り切ることができたかもしれないと述べています。これは、ランサムウェア事件による損失とは別に、世界的な旅行の大幅な減少（したがって、外貨両替のニーズの減少）により、大幅な収益減につながったためです。これはもっともな意見です。

同様に、TravelExが攻撃を受ける前にデータをバックアップし、有効な災害復旧計画を策定していたならば、身代金を支払わずにシステムを復旧できた可能性が高い。そして、おそらく同社は、その後のコロナ危機を乗り切るためのより良い立場にあっただかもしれません。

MediSecureのデータ漏洩（2024年）

2024年7月、オーストラリアで電子処方せんを提供しているMediSecureは、同国の人口のほぼ半数にあたる1,290万人分の記録が危険にさらされたセキュリティ侵害が発生したことを発表しました。

セキュリティ侵害の発生状況に関する限られた公開情報によると、脅威行為者が脆弱性を悪用してMediSecureのITインフラにランサムウェアを仕掛けたようです。その後、脅威行為者は患者の機密データを暗号化し、その解除と引き換えに身代金を要求しました。

MediSecureが実際に身代金を支払ったかどうかは不明ですが、おそらくはあまり重要ではないでしょう。なぜなら、攻撃者は盗んだデータを使用して、個人情報を侵害した個人に対して他の攻撃を仕掛けたからです。

この事件の後、MediSecureはオーストラリア政府に財政支援を要請しました。おそらく、個人情報の流出について同社に責任を問う被害者からの訴訟の可能性を考慮して、自社を守るために要請したのでしょう。政府は同社の要請を却下し、その後まもなく、MediSecureは「管理下」という状態に入りました。これは実質的に、同社が再編成され、情報漏洩による影響への対応が完了次第、業務を停止することを意味します。

教訓：機密データ（バックアップに保存された機密情報も含む）を暗号化する。また、攻撃者がデータを改ざんできないよう、バックアップも変更できないようにする必要があります。暗号化されたバックアップがMediSecureのデータ流出を防げたかどうかは定かではありませんが、少なくとも被害を拡大させることはなかったでしょう。少なくとも、攻撃者が機密情報にアクセスする手段としてバックアップを標的にしたとしても、暗号化キーなしにはアクセスできないようにすることは可能だったでしょう。

Discord.ioのハッキング（2023年）

身代金要求の対象となるデータさえも保有することなく、事業が停止に追い込まれた事例として、Discord.ioは2023年8月に事業停止を発表しました。この発表は、脅威行為者が同社の主要顧客データベースにアクセスし、それを販売しようとした大規模なハッキング事件に続いて行われました。

約76万人のDiscord.ioメンバーの個人情報を含むデータベースが実際に販売されたかどうかは不明です。しかし、Discordメッセージングプラットフォームのカスタム招待状を提供し、Discordとは独立して運営されていた同社は、おそらく機密データの不適切な管理に関する訴訟を避けるために、事業停止を選択したようです。つまり、Discord.ioは、訴訟による倒産を待つよりも、すぐに事業を停止してしまった方が良いと考えたようです。

このハッキングは、バックアップではなく本番データベースの侵害に起因しているため、データバックアップとリカバリへの投資を強化すれば、この企業が救われたかどうかは不明です。それでも、データ保護と、今回のような大規模なハッキングを乗り切る（あるいは回避する）能力は、密接に関連している傾向があります。データを適切にバックアップするための措置を講じれば、全体的なセキュリティ体制が強化され、ビジネス回復力も高まる可能性が高いでしょう。

National Public Data (2024年)

2024年8月、身元調査のための情報を収集・処理するNational Public Dataは、最大1億7000万人の個人情報を含む29億件の記録が流出したことを発表しました。ハッカーが同社のウェブサイト上でZIPファイルを見つけ、データベースへのアクセスを可能にしたために攻撃が実行されたようです。数ヶ月後、この企業は、この情報漏洩による財務的影響により、破産を申請し、閉鎖されました。

最近の他のデータ漏洩事件と同様に、バックアップのみでNational Public Dataの閉鎖を防げたかどうかは明らかではありません。しかし、バックアップは、アクセス認証情報をZIPアーカイブに保存するといった危険な行為を防ぐ可能性のある、より広範なサイバー衛生戦略における重要なステップのひとつであったでしょう。

Code Spaces（2014年）

Code Spacesの事件については、 10年以上も前の出来事ですが、再検討する価値があります。なぜなら、この情報漏洩の結果は防げたはずであり、現在でも同様に壊滅的なものだからです。ソースコードホスティングサービスのチームは、ある朝、ハッカーがAmazon Web Servicesのコントロールパネルに侵入したことに気づきました。その後、ハッカーは自社システムの制御権を返す代わりに多額の身代金を要求しました。これは、彼らのデジタル上の存在がすべて消え始めているのを目の当たりにするという、恐ろしい12時間となりました。Code Spacesは、ハッカーがDDoS攻撃を実施し、Amazon EC2のコントロールパネルに侵入したことを発見しました。ハッカーは、主要なデータだけでなく、セーフティネットとなるはずのクロスリージョンバックアップを含むバックアップシステムまで破壊しました。

あなたのデータ、そしてビジネスを守るために

確かに、企業が完全に解散または再編成に至るような情報漏洩は比較的まれです。ほとんどの企業は、たとえデータを恒久的に失うことになっても、サイバー攻撃を何とか生き延びています。

しかし、上記の例は、情報漏洩による閉鎖が起こり得ることを証明しており、実際に起こっているのです。そして、効果的なデータ保護が、罰金や企業に関する悪いニュースを避けるためだけでなく、ハッキング後の業務維持を確実にするためにも非常に重要であることを思い出させてくれます。

企業が深刻なデータ侵害の被害に遭わないようにするためには、以下のような高度なデータ保護対策に投資することが必要です。

体系的なデータバックアップ：企業のRPO（目標復旧時点）およびRTO（目標復旧時間）のニーズを反映したスケジュールに基づいて、データを定期的にバックアップします。これにより、重要な情報を損失することなく業務を復旧させるのに十分なほど最近のデータバックアップを確保することができます。
変更不可のバックアップ：変更不可のバックアップを作成することで、攻撃者が本番システムに加えてバックアップデータにもアクセスした場合でも、バックアップの削除や改ざんを防止し、正常な復旧を可能にします。
クロスリージョンバックアップ：クロスリージョンバックアップは、プライマリーリージョンが停電や攻撃の影響を受けた場合に、別のクラウドリージョンを使用して迅速に業務を復旧させることで、クラウドベースのワークロードとデータを保護するためのさらなる安心感を提供します。
クロスアカウントバックアップ：クロスアカウントバックアップも、アカウントをまたいでデータを復元できるため、データ保護を強化します。これにより、1つのアカウントが侵害された場合でも、別のアカウントを使用して迅速に業務を復旧させることができます。
ネットワークのクローニング：インシデント発生後に業務を迅速に復旧させるには、データの復旧だけでは不十分な場合がよくあります。ネットワーク設定の復旧も必要となります。そのため、ワークロードのバックアップと同時にネットワーク構成をクローン化する必要があります。
災害復旧計画：ランサムウェアの攻撃やその他の脅威が発生した場合の対応について、事前に計画を立てておきましょう。考えられるあらゆる攻撃と復旧のシナリオを計画しておくことで、組織の存続を危うくすることなく、ビジネスオペレーションを迅速かつ包括的に復旧させる能力が高まります。
クロスクラウド災害復旧：マルチクラウドソリューションを導入している組織にとって、クロスクラウドのエアギャップを活用することは不可欠です。マルチクラウドの未来とは、1つのベンダーに依存することなく、同時にコスト効率も高いことを意味します。

ランサムウェア攻撃やその他のデータ侵害の厄介な点は、いつ、どのように発生するかを予測できないことです。つまり、セキュリティを強化しても、攻撃を受けないという保証はないということです。

しかし、できることはあります。そして、上述の多くの企業が実際に行うべきだったのは、データリソースの保護です。データベースやその他の生産データ資産へのアクセスを制限し、安全で変更不可能なバックアップを作成することで、データ侵害の被害を受けても事業を継続できる、最善の体制を整えることができます。

クライム・ランサムウェア・ソリューション特集サイト

タグ: ransomware, セキュリティ, データベース, データ保護, バックアップ, ランサムウェア, リカバリ, 災害復旧

ダウンタイムからの真の損失

投稿日: 2025年2月1日クライム
ディザスタ・リカバリトラブルバックアップ

収益の損失、プロジェクトの遅延、顧客の不満、評判の低下など、システム停止がもたらす直接的な影響は深刻です。しかし、技術的な障害がもたらす人的な影響も、ビジネス成果に同様に壊滅的な打撃を与える可能性があります。世界中のITチームが、先ごろのCrowdStrikeの障害のようなシステム停止の事態に24時間体制で対応している中、ダウンタイムの隠れた代償と、ITリーダーがその最も有害な影響を軽減するためにできることについて詳しく考えてみます。

根本原因の一覧

現代のITエコシステムのように複雑で相互依存的で不透明な環境では、クラッシュは非常に多様な問題から生じます。その中には、現在の需要を満たせない旧式のハードウェア、アプリケーションを破壊するソフトウェアの不具合、システムを攻撃にさらすサイバーセキュリティの脆弱性、安定性を脅かすサーバOSのバグ、不適切なリソースの分配、再試行の急増、不適切な依存関係、ネットワークの混雑、不十分なテスト、コードの退行などがあります。これらすべてに人的エラーによる混乱が加わり、IT 業務を円滑に遂行しようとする IT 担当者は多くの問題に対処しなければなりません。

業務停止

システムがダウンする理由は数え切れないほどありますが、少なくとも1つの結果は常に保証されています。それは業務の中断です。デジタル時代において、組織の成功はツールへのアクセスに依存しています。遠隔でのコミュニケーションと情報の取得は、現代の業務における2つの基本的な前提条件です。そのため、企業が大規模な業務を行っている場合、たとえ一時的なダウンタイムであっても、その影響は甚大なものとなります。製造業では、生産ラインが停止すると、多額の収益損失につながる可能性があります。医療分野では、システムの不安定さが患者のケアを危険にさらします。Eコマースのウェブサイトはサイトがダウンすると売り上げの減少に苦しみ、金融業界では銀行サービスが利用できなくなり、通信会社は顧客の信頼を失うリスクに直面します。業界に関わらず、ダウンタイムが発生すると、それを救うのはある特定の人々です。

危機を救う：ITレスキュー活動

システムがダウンすると、IT部門の負担は劇的に増加します。システム管理者、ネットワークエンジニア、データベース管理者、テクニカルサポートの専門家など、ダウンタイムが1分発生するごとに、企業はこれも多額の損失を被る可能性があることを、彼らは痛感しています。クラッシュの原因を特定し、解決しようと努力するITプロフェッショナルは、組織全体から自分たちの部署に注がれる視線を感じています。営業は中断され、計画は保留となり、顧客は苛立ちをぶつけるために電話をかけてきます。一方、リーダーたちは、刻々と過ぎていく時間とともに目標が達成不可能に見えてくるのを、固唾を飲んで見守っています。ストレスが溜まる瞬間です。

システム障害がもたらす人的被害

こうしたプレッシャーを考えると、ダウンタイムが継続的に発生した場合に士気に与える壊滅的な影響を想像するのは難しくありません。重大な責任を担う組織では、重大なシステム障害が発生した場合は即座に、かつ長期的な対応が求められます。システム障害が発生すると、IT専門家のワークライフバランスもすぐに崩れてしまいます。

サーバクラッシュへの即時対応が必要となり、IT管理者は家庭のことを置き去りせざる得なくなります。十分なリソースが与えられていないITチームは常に緊張状態にあります。クラッシュがいつ起こるか分からないからです。睡眠不足になり、危機管理によって学習の機会が奪われ、継続的な作業のサイクルが趣味や社会生活、休息を圧迫します。

ダウンタイムと人材獲得競争

定期的なダウンタイムがもたらす結果は、現在の人的資本の状況を考える上で、最も顕著に浮き彫りになります。悩めるITプロフェッショナルが誰の責任かを周囲に問いかけても、最終的にはリーダーシップに責任があるのです。サポートされていない理由（予算不足や他の優先事項など）に関わらず、ITプロフェッショナルが下すべき選択は明白です。現在では、求職者は給与と同様に、企業の文化や従業員の待遇を入念に調査します。ITスタッフに無理を強いる企業は、優秀な人材にとって魅力が大きく損なわれる可能性があります。ITプロフェッショナルがビジネス戦略の推進においてますます重要な役割を果たすことを考えると、これは企業の競争力を著しく損なうことにつながります。

ダウンタイム対策ツール

ITプロフェッショナルに、必要なツールを与えずに、現代のITインフラのような複雑な環境の維持を任せることは、失敗やフラストレーション、そして最終的には人材の流出を招くことにつながります。「ダウンタイム」は、さまざまな波及効果をもたらすため、単にシステムがダウンするだけでなく、収益の急落、IT部門の落胆、そして企業の評判の失墜につながる可能性もあります。ありがたいことに、解決策はすでに存在しています。人工知能によるIT運用（AIOps）は、ITプロフェッショナルがエコシステムを管理する方法に革命をもたらしています。フルスタックの可視性は、IT資産全体を1つのウィンドウで表示し、問題を特定し、場合によっては問題が発生する前に防止します。このような複雑性を解消するように設計されたツールは、幸せで生産的なITチームを維持するために不可欠です。

投資をつづけ、ビジネス上の利益を蓄積することが重要です。

タグ: AI, サイバーセキュリティ, セキュリティ, データベース, ネットワーク

分散ファイルシステム（DFS）とは？その概要！

投稿日: 2025年1月27日クライム
バックアップ機能

複数のサーバにまたがるデータの管理は、簡単に複雑になります。すべてが整理され、アクセス可能で、バックアップされている状態を維持することは、決して容易な作業ではありません。それが、分散ファイルシステムが存在する理由です。分散ファイルシステムは、すべてのデータを1つの屋根の下に集め、異なるストレージサイロを管理する煩わしさ無くに、複数のサーバや場所にまたがるファイルの保存と管理を可能にします。

ここでは、DFS の基本的な考え方や利点から、現実的な課題や実装戦略まで、知っておくべきことをすべてご紹介します。

分散ファイルシステムとは何か、なぜ重要なのか？

分散ファイルシステム（DFS）は、複数のサーバーに分散して保存されたデータを、あたかも単一のデバイス上にあるかのようにアクセスおよび管理することを可能にします。データの物理的な場所を抽象化することで、DFS はシームレスなグローバルアクセスを実現します。

企業にとっては、DFSはグローバルなコラボレーションを可能にし、ハイブリッドなクラウド環境をサポートし、データの可用性を保証します。チームはリアルタイムの更新を簡単に共有でき、生産性と業務効率を最適化できます。ハイブリッドなクラウドモデルとの互換性により、組織はコストを削減し、インフラストラクチャを効果的に拡張することができます。

DFSの主な機能

分散ファイルシステムには、現代のITインフラストラクチャの増大する要求に対応する数多くの機能が備わっています。主な機能とそれらがもたらす利点は以下の通りです。

DFSの各機能：説明とメリット

グローバルなアクセス性 ：ユーザーは物理的なストレージに関係なく、あらゆる場所からデータにアクセスし、管理することができます。重複することなく、世界中に分散したチームのシームレスなコラボレーションを促進します。

データの冗長性 ：データを複数のサーバに自動的に複製します。ハードウェア障害の際にもデータの損失を防ぎ、ビジネスの継続性を確保します。

ハイブリッドクラウドのサポート ：オンプレミスのインフラストラクチャとクラウドストレージソリューションを統合します。コストの最適化、ストレージニーズの拡張、ハイブリッドクラウドモデルの採用など、柔軟性を提供します。

拡張性 ：必要に応じてストレージを動的に拡張。初期費用を大幅に抑えながら、増大するビジネスニーズに対応。

一貫性 ：レプリカ全体でデータの統一性を維持。最新のファイルバージョンへのアクセスを保証し、エラーを低減し、コラボレーションを改善。

ネットワーク効率 ：頻繁にアクセスされるデータをユーザの近くにキャッシュ。待ち時間を短縮し、ネットワーク負荷を最小限に抑え、重要なファイルへの高速アクセスを保証。

負荷分散： データ要求をサーバ全体に均等に分散。システムの信頼性を向上し、ボトルネックを防止し、ユーザー体験を向上。

分散ファイルシステムはどのように機能するか？

DFSはファイルを複数のサーバに分散して処理します。信頼性の高いアクセスとパフォーマンスを確保する方法は以下の通りです。

データパーティショニング： 大きなファイルを複数の小さなファイルに分割して効率的に保存。
レプリケーション： データの複数のコピーを保持して可用性を確保。
一貫性モデル：ユーザーが常に最新ファイルにアクセスできるようにします。
負荷分散：データ要求を分散して過負荷を回避し、パフォーマンスを最適化します。

クライアントは、共通の構造でファイルとフォルダを論理的に整理する名前空間を通じて、DFSとやりとりします。ユーザーがファイルを要求すると、DFSは最も近いサーバーまたは負荷が最も少ないサーバーからファイルを取得し、効率的なアクセスを確保します。

分散ファイルシステムの例

さまざまなニーズに対応する複数のDFS実装：

実装手法：使用例と、利点

Windows DFS ：Windows環境、アクティブディレクトリとの緊密な統合、使いやすさ

HDFS ：ビッグデータ処理、高い拡張性

GlusterFS ：汎用DFS 、容易な展開

Ceph ：オブジェクト/ブロックストレージ、柔軟性とパフォーマンス

Lustre ：ハイパフォーマンスコンピューティング、大規模なセットアップに最適化

分散ファイルシステムの利点

分散ファイルシステムを使用する企業には、次のような重要な利点があります。

シームレスなコラボレーション：従業員は、場所を問わず、手間なくファイルにアクセスできます。
データ保護：自動複製により、ビジネスの継続性が確保されます。
効率性の向上：ローカルキャッシュにより、アクセス時間が短縮されます。
費用対効果の高い拡張：リソースは実際のニーズに応じて拡張されます。
リアルタイムの更新：ユーザは常に最新のファイルバージョンで作業できます。

DFSの潜在的な課題

他のテクノロジーと同様に、分散ファイルシステムにもいくつかの課題があります。

複雑なセットアップ：適切な展開とチューニングには専門知識が必要です。
ネットワークへの依存：パフォーマンスは安定したネットワーク接続に依存します。
レイテンシの懸念：ネットワーク・レイテンシ（遅延時間）が高いと、アクセス速度が低下します。

これらの制限を理解することで、組織はより効果的にDFSを計画し、実装することができます。

StarWindは？

ブロックレベルで展開されるStarWind Virtual SANは、アクティブ-アクティブの同期レプリケーション機能を提供することで、分散ファイルシステムを補完することができます。StarWindのVirtual SAN (VSAN)は、DFSを置き換えるのではなく、DFSが単独では効率的に管理できないデータレプリケーションタスクを効果的に処理することで、DFSを強化します。この設定では、DFSは主に単一のネームスペースを提供する方法として機能し、StarWindは場所に関係なく一貫してデータが利用可能であることを保証します。

結論

分散ファイルシステム（DFS）は、高級品から必需品へと変化しました。ハイブリッドクラウドやグローバルなオペレーションを管理しているかどうかに関わらず、データを整理し、利用可能にし、拡張性を維持します。

DFSの機能と限界を理解することで、企業は、今日だけでなく、将来の変化にも対応できるストレージ環境を構築できます。

タグ: Ceph, DFS, HDFS, Lustre, StarWind, バックアップ, 分散ファイルシステム

エアーキャップ・バックアップ対イミュータブル（変更不可）・バックアップ

投稿日: 2025年1月19日クライム
セキュリティディザスタ・リカバリバックアップ

ランサムウェアの容赦ない増加により、1つのことが明らかになりました。バックアップはもはや単なる復旧ツールではなく、重要な防御ラインなのです。サービス・プロバイダにとって、ユーザのデータの保護は、単にバックアップを取っておくというだけでは不十分です。ランサムウェア攻撃と併せてバックアップを侵害しようとする脅威行為者が関わる高度なサイバー攻撃に直面しても、バックアップが絶対に侵害されないようにする必要があります。

無許可の変更からデータを保護する能力において際立っているのが、エアギャップ・バックアップと変更不可(イミュータブル）バックアップという2つのアプローチです。両者ともバックアップをランサムウェアから保護することを目的としていますが、その手法は大きく異なります。ここでは、これらのアプローチを検証し、サービスプロバイダがデータ保護戦略を選択する際に役立つよう、それぞれの長所と短所を明確に説明します。

エアギャップ・バックアップ：隔離は可能だが完全ではない

エアギャップ・バックアップは、バックアップ・データを物理的または論理的に隔離することで、攻撃者のアクセスを遮断します。

仕組み

エアギャップ・バックアップは、バックアップ・データとプライマリ・ネットワークまたはストレージ環境の間に分離領域を設けることで機能します。この隔離は主に2つの方法で実現できます。

物理的エアギャップは、テープや外付けドライブなどのバックアップメディアをネットワークやシステムから切断します。これらのバックアップは、攻撃者によるアクセスを確実に防止するために、多くの場合、オフサイトで保管されます。
一方、論理的エアギャップは、アクセスに特定の認証情報や許可を必要とする制限された環境でデータを保管することで、仮想的な分離を実現します。論理的エアギャップは、この方法に現代的な工夫を加えたものですが、分離を維持するには依然としてアクセス制御に依存しています。

長所

エアギャップ・バックアップの主な利点のひとつは、真の分離を実現できることです。特に物理的なエアギャップの場合に顕著です。データをネットワークから完全に切り離すことで、最も高度なサイバー攻撃でもバックアップに直接到達することができなくなります。さらに、物理的なエアギャップは、ネットワークベースのセキュリティ対策から独立したレイヤーを提供するため、広範囲にわたるネットワーク侵害や攻撃の影響を受けにくくなります。

課題

エアギャップ・バックアップには、利点がある一方で、大きな課題もあります。

物理的なエアギャップには、バックアップメディアの移送や保管などの手動プロセスが伴うことが多いため、運用上の複雑さが大きな問題となります。これにより、ヒューマンエラーが発生する可能性が生じ、多大な時間と労力を要することになります。
また、データ量が増加するにつれ、物理的なストレージの管理と維持がますます煩雑になるため、拡張性も制限されます。
また、物理的にデータを取得して復元する作業は、事業継続の取り組みを遅らせる可能性があるため、復旧時間も著しく遅くなります。
さらに、認証情報の侵害や設定ミスにより不正アクセスが可能になるため、論理的なエアギャップは内部脅威の影響を受けないわけではありません。

変更不可(イミュータブル）のバックアップ

変更不可のバックアップは、異なるアプローチを取ります。データを隔離するのではなく、変更できないようにします。いったん書き込まれたデータは、指定された保存期間中は、変更、上書き、削除ができません。

仕組み

変更不可のバックアップは、いったん書き込まれたデータは、指定された保存期間中は、変更、上書き、削除ができないことを保証します。これは、オブジェクトロックなどのストレージレベルのテクノロジーによって実現されます。このテクノロジーは、多くのS3互換のクラウドストレージプラットフォームで利用可能です。これらのソリューションは、不変性ポリシーを自動的に適用し、偶発的または悪意のある変更からデータを保護します。エアギャップバックアップとは異なり、不変性は物理的な分離に依存せず、代わりに高度なストレージ構成を活用してデータを保護します。

変更不可バックアップの強み

変更不可バックアップの最大の強みは、ランサムウェア対策設計により、究極のランサムウェア保護機能が実現されている点です。たとえ攻撃者が環境への管理者アクセス権を入手したとしても、不変データを変更または削除することはできません。
変更不可バックアップは、クラウドとオンプレミス環境の両方にシームレスに統合され、最新のハイブリッドアーキテクチャのニーズに対応できるため、拡張性と柔軟性も追加の利点となります。
さらに、運用がシンプルであることも大きな特徴です。保持ポリシーの自動化により手動プロセスが不要となり、人的エラーのリスクを低減します。
また、アクティブな環境に保存された変更不可のバックアップにより、より迅速なデータ復元が可能となり、ダウンタイムや中断を最小限に抑えることができるため、効率的なリカバリも大きな利点です。

変更不可バックアップの課題

非常に効果的な変更不可バックアップですが、いくつかの課題もあります。

その有効性を確保するには、不変性の設定を正確に構成する必要があり、不適切な設定ではデータが脆弱な状態になる可能性があります。
また、不変性によってデータが一定期間ロックされるため、保持計画は極めて重要です。これにより、不要なストレージコストや時代遅れのデータの長期保持を避けるための慎重な管理が必要になります。

しかし、これらの考慮事項があるにもかかわらず、不変性の利点は多くの場合、その課題を上回ります。特に、強固なランサムウェア対策と迅速な復旧機能が必要な環境では、その傾向が顕著です。

変更不可バックアップの利点

多様なクライアント環境を管理するサービス・プロバイダにとって、変更不可バックアップは、エアギャップ方式の代替手段よりも明確な利点があります。

自動化されたセキュリティ：エアギャップ方式のバックアップとは異なり、変更不可は自動的に適用されるため、運用上のオーバーヘッドと人的エラーのリスクを低減します。
ハイブリッドの柔軟性：変更不可バックアップは、クラウドとオンプレミスの環境にまたがって展開することができ、最新のデータストレージのニーズに対応する多用途のソリューションを提供します。
先を見越したランサムウェア対策：ストレージレベルでデータをロックすることで、攻撃者が不正アクセスを試みても、変更不可機能によりバックアップは決して変更されないよう保護されます。
合理化されたコンプライアンス：組み込みの保持ポリシーにより、規制要件への準拠が容易になります。
迅速な復旧：アクティブでアクセス可能な環境に保存された変更不可バックアップにより、サービス・プロバイダは重要なデータを迅速に復旧でき、ダウンタイムを最小限に抑え、ビジネスの継続性を確保できます。

エアギャップ・バックアップは従来の保護レイヤーを提供しますが、手動プロセスへの依存、遅いリカバリ速度、およびスケーラビリティの制限により、現代のIT環境のダイナミックなニーズにはあまり実用的ではありません。

なぜ変更不可バックアップが将来なのか

エアギャップ・バックアップと変更不可バックアップの選択は、しばしば運用上の優先事項に帰着します。データ量の増加に合わせて拡張でき、既存のインフラにシームレスに統合でき、迅速な復旧と強固なランサムウェア対策の両方を実現できるソリューションを求めるサービス・プロバイダにとって、変更不可バックアップは明らかに最善の選択肢です。

変更不可バックアップ戦略を採用することで、サービス・プロバイダは現在の課題に対応できるだけでなく、将来にわたってデータ保護の実践を保証することができます。これらのバックアップは、クライアントデータの保護に最新の自動化アプローチを提供し、進化し続ける脅威の時代において、セキュリティと安心の両方を確保します。

注：Immutable=イミュータブル=変更不可=不変

タグ: Immutable, イミュータブル, セキュリティ, データ保護, バックアップ, ランサムウェア, 不変, 事業継続

ディザスタリカバリーの考慮事項：ネットワーク編

投稿日: 2025年1月18日クライム
ディザスタ・リカバリ

今日の高度にデジタル化された環境では、ダウンタイムは単に不便なだけにとどまらず、ビジネスの存続を脅かすものとなります。収益の損失から評判の低下まで、業務中断によるコストは莫大なものとなります。このような課題に対処するためには、企業は包括的なディザスタリカバリー（災害復旧：DR）戦略を採用する必要があります。

あらゆる成功したDR計画の中心には、強固なネットワークインフラが存在します。ネットワークは、重要なシステムやデータの迅速な復旧を保証し、RPO（Recovery Point Objective：目標復旧時点）やRTO（Recovery Time Objective：目標復旧時間）などの主要な評価基準に直接影響を与えます。自然災害、サイバー攻撃、システム障害のいずれに直面した場合でも、回復力のあるネットワークは、シームレスな復旧と長期にわたる混乱のどちらになるかを左右します。

ディザスタリカバリーにおけるネットワークの重要な役割

ネットワークは効果的なDR戦略の基幹です。ネットワークは、次の2つの重要な指標をサポートすることで、データ損失とダウンタイムの両方を最小限に抑える上で重要な役割を果たします。

リカバリポイント目標（RPO）：災害時のデータ損失許容限度を決定します。データ損失がわずかでも深刻な結果につながる可能性がある金融、医療、eコマースなどの業界では、RPOの低さが不可欠です。
リカバリ時間目標（RTO）： 障害発生後のアプリケーション、サービス、システムの復旧に要する時間を測定します。RTOが短いほど、組織は生産性、顧客からの信頼、および規制要件への準拠を維持できます。

DR戦略を耐障害性の高いネットワーク基盤と整合させることで、迅速かつシームレスな復旧に必要な安全で信頼性の高いインフラストラクチャを提供できます。

ディザスタリカバリーのためのネットワーク要件

強固なDRフレームワークを構築するには、以下の重要なネットワーク要件に重点的に取り組む必要があります。

冗長ネットワークインフラ
- なぜ重要なのか：単一障害点があると、復旧作業が妨げられる可能性があります。冗長性により、停電時にも接続性を維持することで回復力を確保します。
- どのように実現するか：途切れることのない通信とデータフローを可能にするために、デュアルWAN接続、マルチパスルーティングプロトコル（BGP、OSPFなど）、自動フェイルオーバーメカニズムを導入します。
- プロのヒント： ソフトウェア定義型ネットワーキング（SDN）を使用して、トラフィックを動的に再ルーティングし、リカバリパスをリアルタイムで最適化します。
詳細なネットワーク文書
- なぜ重要なのか： 復旧チームは複雑なインフラストラクチャを解読する時間を無駄に費やす余裕はありません。わかりやすくアクセスしやすい文書は、復旧作業を加速します。
- どのように実現するか： ネットワークトポロジー、デバイス構成、VLAN、ルーティングプロトコルの最新図を維持します。自動化されたネットワーク依存関係マッピングツールは、このプロセスを簡素化するのに役立ちます。
データ保護およびリカバリアーキテクチャ
- なぜ重要なのか：災害によるデータ損失は業務を中断させ、評判を傷つけ、規制による罰則につながる可能性もあります。
- どのように実現するか：
  - ミッションクリティカルなデータやサービスに対して数秒単位の目標復旧時点（RPO）を実現する堅牢なレプリケーションテクノロジーを活用します。
  - リカバリデータを地理的に分散した安全な場所に保管します。
- プロのヒント：ネットワークベースのレプリケーションと実稼働環境向けストレージソリューションを組み合わせることで、高速かつ拡張可能なリカバリが可能になります。
高度なネットワークセキュリティ
- なぜ重要なのか：サイバー攻撃は災害とセットであることが多い。セキュリティが侵害されると被害が拡大する
- どのように実現するか：
  - ファイアウォール、侵入防止システム、ゼロトラストアーキテクチャ、暗号化など、多層セキュリティを導入する
  - 次世代の脅威検出ツールを使用して異常を監視する
帯域幅の最適化と容量計画
- なぜ重要なのか：復旧作業は大量のネットワークトラフィックを発生させる。帯域幅が不十分だとボトルネックが生じる
- どのように実現するか：
  - ピーク時のトラフィックシナリオを分析し、DRタスク用に追加の帯域幅を割り当てる。
  - WAN最適化テクノロジーとQoSポリシーを導入し、リカバリ関連のトラフィックを優先する
厳格なテストと継続的な最適化
- なぜ重要なのか：厳格なテストを行わなければ、紙の上では良く見えても、実際には失敗することが多い
- どのように実現するか：
  - 定期的にDRシミュレーションを実施し、ネットワークパフォーマンスとリカバリ能力を評価する
  - その結果を基に構成を改善し、ボトルネックに対処する
DRチームとツール
- なぜ重要なのか： 熟練した人材と適切なツールがなければ、どんなに優れた計画も失敗に終わります
- どのように実現するか：
  - ネットワークエンジニア、IT管理者、事業継続の専門家など、さまざまな分野の専門家からなるチームを編成します
  - チームには、高度な監視ツール、自動フェイルオーバーシステム、クラウドベースのコラボレーションプラットフォームを装備します

ディザスタリカバリーの準備状況チェックリスト

この簡易チェックリストを使用して、貴社のディザスタリカバリーの準備状況を評価してください。

完全な冗長性を持つネットワークインフラを構築していますか？
すべてのネットワーク構成は文書化され、最新の状態に保たれていますか？
データ保護戦略をRPOおよびRTOと整合させていますか？
ゼロトラストアーキテクチャのような高度なセキュリティ対策を導入していますか？
ピーク時のDRシナリオに十分な帯域幅を割り当てていますか？
定期的にDRテストを実施していますか？
DRチームは迅速な対応ができるよう訓練され、装備されていますか？

企業は不測の事態に備えられていますか？

DRは強固な基盤から始まります。これらの技術的な検討事項に対処し、計画を積極的にテストすることで、組織は混乱に対する真の回復力を獲得することができます。

タグ: RPO, RTO, サイバー攻撃, ディザスタリカバリ, ネットワーク, 事業継続, 災害復旧, 目標復旧時点, 目標復旧時間

Veeamアーキテクチャ構築の最良を目指して

投稿日: 2025年1月12日クライム
クラウド・仮想インフラバックアップ

Veeamアーキテクチャのバックアップ環境がVeeamのベストプラクティスに準拠しているか不安ではありませんか？また、必要な時に機能するか不安ではありませんか？

最新のVeeam最適化プラクティスを活用して、災害に備えるにはどうすればよいかお悩みではありませんか？

災害後の復旧のためのロードマップをお持ちですか？

熟練したVeeam認定エンジニア

ネットワークアーキテクチャの設計は、ITインフラおよびビジネス要件に関する広範な知識を必要とする複雑で時間のかかるプロセスです。クライムには、エンタープライズ向けデータセンターの設計に10年以上の経験を持つ専任エンジニアチームがあります。10年以上のVeeam認定パートナーとしてクライムは、数多くのVeeamユーザをサポートし続け、ユーザに最高のVeeamアーキテクチャコンサルティングを提供できる専門知識を備えています。また最も効率的な災害復旧と事業継続を実現するVeeam環境の設計と実装経験を持っています。

包括的なアーキテクチャコンサルティング

Veeamアーキテクチャは複雑になる可能性がありますが、クライムの体系的なアプローチにより、現在および将来のITインフラストラクチャ管理の設計、構築、および維持をサポートします。当社は、ユーザが安全なインフラストラクチャを構築できるよう、最適化サービスを提供しています。クライムは、ユーザが以下を行うことを支援します。

・ユーザに合わせたデータセンターアーキテクチャの設計
・潜在的なリスクを特定するためのユーザの現在環境の評価
・最適化の可能性を特定
・変更を実装するための計画の策定

クライムが提供するオプション・サービス：

●エンタープライズ・アーキテクチャ設計：クライムは、組織の現在のITインフラストラクチャから、将来の進歩に応じた計画を支援します。ユーザの成功のための最適なアーキテクチャを設計することで、ビジネス目標に最適な対応方法を導きます。

●実装サービス：クライムは、Veeamソフトウェアパッケージの構成ガイダンス、インストール、クライムが提供するVeeamサードパーティ製品との統合を提供します。

●サポートサービス：クライムのテクニカルサポートチームは、経験豊富な技術エキスパートによるサポート体制を整えています。当社の専任エンジニアチームはVeeamに関する深い専門知識と経験を備えており、あらゆる技術的な問題に対応いたします。また、トレーニングコース、オンラインサポートリソース、技術実装サービスも提供しています。

●コンプライアンスの維持：ユーザの業界におけるバックアップのコンプライアンスを確保するために、バックアップポリシーの定義と実施によるバックアップの暗号化、手動による削除からの保護、バックアップライフサイクル設定の変更防止、集中管理コンソールからのバックアップアクティビティの監査とレポートなどの提供も可能です。

●効率性の向上：データ保護戦略を設計・実施し、既存のリソースの使用を最適化することで、現在のビジネスニーズを満たし、ITの効率性を向上させます。また、以下の効果も期待できます。

・コスト削減
・可用性の向上
・管理性の向上
・セキュアなインフラ

Veeam初期構築・導入支援詳細・問合せサイトへ

タグ: Veeam, データ保護, バックアップ, 導入, 支援, 構築, 災害復旧

NIST サイバーセキュリティ・フレームワークについて

投稿日: クライム
セキュリティ

IT 管理者にとって、サイバーセキュリティのコンプライアンスは最も重要な課題です。組織がすべての必要条件を満たしていることを保証するためには、米国国立標準技術研究所（NIST）の要件を理解することが不可欠です。 NIST は、ベストプラクティスから標準やインフラ開発に至るまで、サイバーセキュリティ対策のさまざまな側面について広範なガイダンスを提供しています。最初は難しく感じられるかもしれませんが、そうすれば、組織内で安全対策を実施し始めることができます。

NISTとは

NIST（米国国立標準技術研究所）は、ITシステムやデータの管理と保護に関する基準やガイドラインを提供する、規制を行わない連邦政府機関です。NISTサイバーセキュリティフレームワークは、あらゆるセクターや業界におけるITセキュリティリスク管理の改善を目的として策定された、広く採用されているガイドラインと原則のセットです。IT 管理者であれば、NIST サイバーセキュリティフレームワークの基本を理解することは、サイバー攻撃から組織のデータを確実に保護するために不可欠です。本ブログ記事では、NIST フレームワークの基本を説明ます。

NISTはどのような業界が採用しなければならないか？

NISTは、幅広い業界や業種に適用できるガイドライン、基準、ベストプラクティスを提供しています。NISTの取り組みは、テクノロジー、サイバーセキュリティ、測定など、さまざまな分野に影響を与える領域に重点的に取り組んでいます。NISTのガイドラインを一般的に適用している業界や業種をいくつかご紹介します。

サイバーセキュリティおよびIT：NISTのサイバーセキュリティフレームワーク（NIST CSF）は、サイバーセキュリティ対策の評価と改善を目的として、多くの組織で広く利用されています。このフレームワークは、情報技術を利用し、デジタル資産の保護を望むあらゆるビジネスに適用できます。
政府機関：NISTのガイドラインは、安全かつ効率的な業務を確保するために、政府機関で頻繁に採用されています。連邦情報セキュリティ管理法（FISMA）では、連邦機関が情報セキュリティのNIST基準に従うことを義務付けています。
金融サービス：金融業界の企業は、顧客データ、オンライン取引、その他の金融業務のセキュリティを確保するために、NISTの推奨事項に従うことがよくあります。
医療：NISTのガイドラインは、医療機関が患者の情報を保護し、医療保険の相互運用性と説明責任に関する法律（HIPAA）などの規制に準拠し、医療機器やシステムを安全に保つのに役立ちます。
製造および産業制御システム（ICS）：NISTの基準は、製造および重要なインフラストラクチャ部門で物理的プロセスを制御および監視するために使用される産業制御システムのセキュリティ確保に適用されます。
エネルギー：NISTのガイドラインは、特にスマートグリッドやエネルギー管理システムに関連して、エネルギー部門のインフラストラクチャとデータのセキュリティ確保に役立ちます。
電気通信：電気通信会社は、通信ネットワークとデータのセキュリティ確保に関して、NISTのガイダンスから恩恵を受けることができます。
小売および E コマース：オンラインで顧客の支払いデータを扱う企業は、支払いシステムのセキュリティ強化とデータ漏洩防止に関する NIST の推奨事項から恩恵を受けることができます。
航空宇宙および防衛：機密データやシステムのセキュリティと完全性を確保するために、航空宇宙および防衛分野では NIST 標準が頻繁に採用されています。
研究および学術機関：テクノロジー、サイバーセキュリティ、エンジニアリングに関連する分野の研究や教育プログラムを実施する機関は、カリキュラムや研究プロジェクトに NIST のガイドラインを組み込むことができます。

NISTガイドラインは広く認知され採用されているとはいえ、各業界やビジネスの具体的な状況や要件によって、その適用可能性は異なる可能性があることがあります。自身の業務やニーズに最も関連性の高いNISTガイドラインを評価することが重要です。

NISTの5つのレベルとは

NISTは、組織がサイバーセキュリティ対策を評価し、改善を行うために利用できる、セキュリティ成熟度の5つの異なるレベルを特定しています。これらのレベルは以下の通りです。

初期段階：この段階では、組織はサイバーセキュリティリスク管理に臨機応変なアプローチを取っており、セキュリティ対策はまだ実施されていません。

反復可能段階：この段階では、組織はサイバーセキュリティリスク管理の標準化プロセスを確立し始めていますが、まだ改善の余地がかなりあります。

定義済み段階：この段階では、組織は機密データとITシステムを保護するためのサイバーセキュリティポリシーと手順を正式に策定し、承認済みです。

管理：このレベルの組織は、ITインフラの定期的なテストと監視、脅威の分析、詳細なインシデント対応計画を含む包括的なリスク管理プログラムを導入しています。

最適化：この成熟度の最高レベルでは、組織は継続的な改善の文化を確立しており、サイバーセキュリティ対策の定期的な評価、ベストプラクティスの導入、サイバーセキュリティリスクとベストプラクティスに関する一貫した従業員研修を実施しています。

NIST 2とは？

NIST 2は、2018年に発表されたNISTサイバーセキュリティフレームワークの第2版です。NIST 2には、サプライチェーンセキュリティやデータプライバシー管理のための新しいサブカテゴリーなど、オリジナルのフレームワークに対する多数の更新と改善が含まれています。さらに、NISTは、クラウド、モバイル、IoT（モノのインターネット）デバイスなど、さまざまなタイプのシステムやアプリケーションのセキュリティ確保のための各種ガイドラインやベストプラクティスを公開しています。

NISTプロトコルに追従するには、どのような方法が最適か？

NISTプロトコルに追従するには、NISTのサイバーセキュリティウェブサイトを定期的にチェックするのが簡単な方法です。このウェブサイトでは、NISTフレームワーク、出版物、コンプライアンス、ベストプラクティスに関する最新ニュースやアップデートを提供しています。さらに、業界団体に参加したり、サイバーセキュリティに関するニュースレターや出版物の購読をしたりすることも、ITマネージャーが新たなサイバーセキュリティリスクやベストプラクティスを把握するのに役立ちます。

NIST CSFへの準拠により、組織や企業は今日の高度に接続された複雑なデジタル環境におけるサイバーセキュリティリスクを管理することができます。5段階の成熟度を理解することで、IT管理者やディレクターは組織のサイバーセキュリティ対策におけるギャップを特定し、改善策を実施することができます。NISTのフレームワークやガイドラインは数多く存在するため、最新情報やベストプラクティスを把握しておくことが、組織の貴重なデータやシステムを確実に保護するために不可欠です。

タグ: NIST, サイバーセキュリティ, サイバー攻撃