技術ブログ

このポストは以下記事の翻訳・転載になります。

https://www.microsoft.com/en-us/insidetrack/microsoft-moves-it-infrastructure-management-to-the-cloud-with-azure

2021 年 10 月 15 日

マイクロソフトの IT インフラストラクチャは、従来型のデータセンターからハイブリッド クラウド インフラストラクチャへと進化しました。それに伴い、IT インフラストラクチャを管理するためのツールも進化しました。Azure を主要なインフラストラクチャ プラットフォームとして使用するようになったことから、監視、更新、バックアップ、セキュリティに関しても Azure の管理ツールを導入しています。マイクロソフトは、さらに分散化された IT と、ビジネス グループ向けのセルフサービス IT 管理サービスの構想を打ち出しています。これは、ビジネス グループが自らのビジネス環境を制御し、自らのニーズに合わせて IT サービスを適合させることができるようにするものです。

関連コンテンツを調べる 

Microsoft Digital では、デジタル変革とそれに伴う文化的な変革を受け入れています。IT インフラストラクチャの 90% 以上をクラウドに置いて、Microsoft Azure の監視機能、修正プログラムの適用、バックアップ、セキュリティの各ツールを導入し、モダンな DevOps エンジニアリングの原則に基づく顧客中心のセルフサービス管理環境を構築しています。今後も、拡張し続ける Azure 管理ツールの機能セットを利用して、IT 環境全体を可視化する、完全に自動化されたセルフサービス管理ソリューションを提供する予定です。その結果、マイクロソフトのビジネス グループは、個々のニーズに最も合うように IT サービスを調整できるようになります。

マイクロソフトのデジタル変革

マイクロソフトは自社のビジネス ニーズを満たすための努力を惜しまないグローバル IT 組織です。マイクロソフトの IT インフラストラクチャは、Azure が既定のプラットフォームであり、その 98% がクラウドでホスティングされています。以下にその詳細を示します。

• 従業員 17 万 5 千人
• 150 か国
• 587 拠点
• Azure サブスクリプション 1,400 件
• Azure ベースのアプリケーション 1,600 件
• Azure サービスとしてのインフラストラクチャ (IaaS) 仮想マシン 1 万 1 千台
• 管理されたデバイス 64 万 3 千台

多くの IT 組織と同じように、マイクロソフトが最初に使用したのはデータセンターでした。以前は、私たちが提供する従来型のホスティング サービスのほとんどは、サーバー、ストレージ、ネットワーク デバイスで構成される物理的なオンプレミス環境でした。デバイスの大部分は、特定のビジネス部門が所有し、管理していました。テクノロジは非常に多様であり、それらを設計、デプロイ、実行するために専門的なスキルを持つ人材が必要でした。また、ビジネスをサポートするインフラストラクチャの計画と導入に時間がかかるため、私たちができることには限りがありました。

テクノロジの進化に伴い、マイクロソフトは、データセンターからクラウドに移行し始めました。クラウドベースのインフラストラクチャによって、新たな機会が生み出され、管理する IT インフラストラクチャは一変しました。私たちは、常に変化する IT 環境の中で成長し、適応し続けています。

従来の IT テクノロジ、プロセス、チーム

マイクロソフトの従来のデータセンターは多数の IT 担当者が管理しており、それらの IT 担当者がインフラストラクチャを構成する多様なプラットフォームとシステムをサポートしていました。物理サーバーは (後に仮想サーバーも使用されるようになりましたが) 数万台にもなり、複数のデータセンターに分散し、維持管理を必要とする大量の金属とシリコンで構成されていました。プラットフォーム テクノロジは、Windows、SQL Server、BizTalk、SharePoint ファームから、SAP などのサードパーティ ソリューション、情報セキュリティ関連のツール セットまで、多岐にわたりました。サーバー仮想化は、Hyper-V から System Center Virtual Machine Manager、System Center Orchestrator へと進化しました。

安定したインフラストラクチャを提供するために、マイクロソフトは、ITIL/MOF (IT インフラストラクチャ ライブラリ/管理オブジェクト フォーマット) などの構造化されたフレームワークを使用していました。このフレームワークのポリシー、プロセス、手順は、セキュリティと可用性の適用と制御、および障害の防止に役立ちました。ホスティング サービスを利用していたマイクロソフト製品エンジニア グループは、ITIL/MOF に基づくアプリケーションとサービスのニーズに対応するために同様の導入プロセスを使用していました。

このモデルは、従来の IT インフラストラクチャでは有効に機能していましたが、クラウド コンピューティングと Azure が IT 環境に影響を及ぼすようになると、状況が変わり始めました。

ハイブリッド クラウドの進化

IT インフラストラクチャとサービスがクラウドに移行し始めると、クラウドの性質や扱い方も変わってきました。マイクロソフトは長期間にわたって Azure で IT サービスをホストしてきましたが、Azure の進化や発展とともに、Azure サービスの活用方法や Azure でホストする IT サービスの量も変化しています。

初期の Azure: IT 部門が所有、IaaS、リフトアンドシフト

初期の Azure は IT 専用でした。私たちは、クラウドの開発、導入、管理を一手に担っていました。Azure でソリューションを作成して管理することはできましたが、それはサイロ化されたサービスでした。インフラストラクチャは主に IaaS の仮想マシンで構成され、それらが、オンプレミスのデータセンターでワークロードをホストするのと同じように、クラウドでワークロードをホストしていました。これによる効率の向上はわずかなものでした。また、まだ同じツールを使用してインフラストラクチャを管理しており、それらのツールはクラウドでホストされるときもあれば、オンプレミスでホストされ、クラウドに接続されるときもありました。データセンターからクラウドへの移行はまさにリフトアンドシフトであり、管理プロセスはオンプレミス モデルをほとんど同じやり方で真似したものでした。データセンターは依然として中心的な存在でしたが、状況は変化しつつありました。

Azure の進化: PaaS、共有、クラウド ファースト

Azure が成熟し、マイクロソフトのインフラストラクチャとサービスの多くがクラウドに移行すると、私たちは IT 部門が所有するアプリケーションとサービスから離れ始めました。Azure のセルフサービスおよび管理機能の長所は、私たちが IT サービス プロバイダーとして提供していた業務の多くをビジネス グループが自分たちで処理できること、つまりビジネス グループがより俊敏でニーズに応じたソリューションを構築できることにあります。

Azure のサービスとしてのプラットフォーム (PaaS) 機能が成熟し、それまでの IaaS ベースのソリューションではなく PaaS ベースのソリューションが中心となっていきました。IT ソリューションは Azure を利用したものが中心となり、Azure に移行するソリューションや Azure 内で作成されるソリューションが増えたため、データセンターは閉鎖され始めました。System Center Operations Manager (SCOM) と System Center Configuration Manager (SCCM) のインスタンスをできるだけクラウドに移行するようにしたことで、監視と管理の対象もクラウドへと変わっていきました。Azure ネイティブの管理が成熟し始めたのです。

大規模な Azure: サービス ライン部門が所有、IT 部門が管理、PaaS ファースト

PaaS ベースのソリューションで達成できる俊敏性とスケーラビリティに気付いたビジネス グループ内の開発者たちの間で、PaaS がにわかに注目されるようになりました。私たちが IaaS や仮想マシンベースのソリューションから移行すると、そうした開発者たちはアプリケーションを PaaS に移行していきました。

Azure Resource Manager が出現して、ユーザーが Azure のサービスをより広範にわたり制御できるようになったことで、サービス ラインは自分たちのソリューションを持つようになり、ビジネス グループも自分たちの Azure リソースを管理するようになりました。データセンターは、Azure に移行できないアプリのための使い勝手の良くない必需品になりました。私たちは依然として監視と管理のための主要なツールとして SCOM と SCCM を使用していましたが、ほとんどすべてのインスタンスを Azure の IaaS 実装環境に移行していました。Azure ネイティブの管理機能は成熟した製品として提供されるようになり、私たちは、完全にクラウドベースの管理環境について検討および計画し始めました。

DevOps 文化における Azure: サービス ラインが管理、インターネットファースト、ビジネスファースト

私たちは、DevOps の文化を継続的に育んでいます。DevOps は、Azure ソリューションの開発および運用方法を変えました。マイクロソフトの Azure ソリューションは、ビジネス グループのためのエンドツーエンドのビューを提供します。Azure ソリューションは、アジャイルで動的であり、データ集約型です。継続的な統合と開発により、改善と機能のリリースが継続的に行われるようになります。

ビジネス グループが使用する Azure ソリューションは、そのグループのビジネス ニーズに対応するように設計されています。私たちは、IT 環境を制御し、洞察を得るための、Azure ネイティブのツールを積極的に探して使用します。最初は Azure で、そして必要であればデータセンターまで遡って。私たちは、「大量の金属」を管理していたときから長い道のりを歩んできました。マイクロソフトではモダン ワークプレースが実現し、それは今も日々変化しています。

デジタル変革の実現

モダン ワークプレースでは、ビジネス グループの開発者と IT 意思決定者が、ますます重要なビジネス上の役割を担います。ビジネス グループには、そのビジネス ニーズにできる限り最適な方法で応える IT の意思決定を行うための自律性が必要です。マイクロソフトの IT インフラストラクチャの 98% は Azure 内で構築されているので、私たちは Azure が備える俊敏性、スケール、管理性にますます注目しています。このスケールを利用して、私たちはビジネス ニーズを解決し、インフラストラクチャから開発、管理まで、IT 組織全体のためのフレームワークを提供します。

最先端のハイブリッド クラウドの管理

マイクロソフトの最先端のハイブリッド クラウドは 98% が Azure であり、Azure はインフラストラクチャと管理ツールの主要プラットフォームです。Azure は、IT ソリューションの既定のプラットフォームであるだけでなく、私たちの IT ソリューションでもあります。1990 年代後半に PC が無秩序に分散し、2000年代にはサーバーが無秩序に分散したように、クラウドの無秩序な分散は現実のものとなりつつあります。私たちの組織にとって、クラウド環境と現在も使用し続けているオンプレミス インフラストラクチャを管理するための新しいクラウド ソリューションを導入するのは非常に重要なことです。新しいクラウド ソリューションのスコープには、エンジニアが PaaS、Functions、Container といったモデルを活用してクラウド環境の管理を最適化するための柔軟性が含まれます。

分散化された IT の採用

分散化された IT サービスは、デジタル変革の重要な部分を占めています。私たちは、IT 環境を管理するために必要なものを私たちに、そしてビジネス グループに提供してくれる管理ソリューションを必要としています。私たちは、マイクロソフト全体のセキュリティとコンプライアンスに対するガバナンスを常に維持していたいと考えていますが、クラウドファーストの組織に最適なモデルは分散化された IT サービスであることも認識しています。Azure でサービスと所有権を分散することによって、以下のようなさまざまなメリットがビジネス グループにもたらされます。

• DevOps の柔軟性の向上
• ネイティブなクラウド エクスペリエンス: サブスクリプション所有者は、公開された機能をすぐに使用できる
• マーケットプレースのソリューションから自由に選択できる
• サブスクリプションの制限に関する問題は最小限
• グループとアクセス許可をきめ細かく制御できる
• Azure のプロビジョニングとサブスクリプションをきめ細かく制御できる
• ビジネス グループに課金と容量管理の権限がある

最先端のハイブリッド クラウドの管理における私たちの目標が、環境全体の監視、管理、バックアップ、セキュリティに関する IT タスクをセルフサービスのネイティブ クラウド ソリューションに変えるソリューションであることは変わりありません。このソリューションがあれば、ビジネス グループとサービス ラインは信頼性の高い標準化された管理ツールを使用できるようになり、私たちは組織全体のセキュリティとコンプライアンスに対する制御と可視性を維持できます。

私たちが監視し続ける領域を以下に示します。

• サブスクリプション所有者によって承認された、IT と運用に関する一般的なポリシーの実装。コンプライアンス、運用、インシデント管理などの各領域。
• 必要に応じて ExpressRoute 経由のネットワーク接続共有
• インフラストラクチャの非効率性の可視化およびセルフサービス ツールの開発

管理ソリューションは、管理するソリューションと同様にアジャイルである必要があります。私たちは、Azure 管理ソリューションのベスト プラクティス、標準、コンサルティングを提供して、ビジネス グループがプラットフォームを最大限に活用できるようにしています。

Azure 管理ツールによるデジタル変革のサポート

Azure でのハイブリッド クラウドの管理には、広範なサービスとアクティビティが含まれます。ビジネス グループを改善するには、そのグループのアプリとソリューションを監視して、問題と機会を認識する必要があります。また、システムを最新の状態に保ち、構成を管理して、共通のメンテナンス タスクを自動化する、修正プログラムの適用および管理ソリューションが必要です。

障害復旧プラットフォームでデータを保護し、ビジネス グループおよび会社全体のセキュリティとコンプライアンスを保証する必要があります。私たちは、ハイブリッド クラウドを管理できるようにするために、Azure で以下のツールを使用しています。

• Azure Monitor
• Application Insights
• Azure Automation
• Log Analytics
• Update Management
• Azure Backup
• Azure Policy
• Azure Security Center
• Azure Sentinel
• Azure Advisor
• Azure DevOps

ハイブリッド クラウドの監視

ビジネス グループとそのサービス ラインにとって、監視は不可欠なタスクです。アプリがどのように動作しているか (または動作していないか) を理解し、環境に対する洞察を得る必要があります。マイクロソフトでは 10 年余り SCOM を監視に使用していますが、1 つの製品をそれほど長く使用していると、一定のリズムが生まれます。

SCOM による監視から Azure による監視へと移行しやすくするために、私たちは Azure のネイティブ機能を使用して Azure Monitor で SCOM の特定の関数とビューを再現する、移行ソリューションを開発しました。この移行ソリューションは、主に PowerShell スクリプトとドキュメントで構成されています。これにより、Azure による監視に慣れるまで、ビジネス グループは馴染みのある環境で作業できるようになります。また、ビジネス グループは、セキュリティとコンプライアンスのテスト済みコンポーネントが組み込まれた、標準化された環境から始めることができます。これは、私たちが、分散化された監視を実現すると同時に、一元化された標準を維持するのに役立ちます。重要な組織的サービスについては私たちがメトリックを管理していますが、運用監視は各ビジネス グループに任せています。

Azure による監視は、以下を実現するように設計されています。

• 可視性の確保。すべてのビジネス ユニットが Azure コア サービスに関する一連の基本的なメトリック、アラート、通知にすばやくアクセスできます。また、Azure Monitoring は、運用環境と非運用環境および Azure DevOps 全体のネイティブな監視に対応しています。
• 洞察の提供。ビジネス グループとサービス ラインは、アプリケーションと、計算、ストレージ、ネットワーク リソースにわたる、異常検出やプロアクティブなアラートをはじめとした、豊富な分析および診断結果を確認できます。
• 最適化の実現。監視結果は、ビジネス グループとサービス ラインによる、ユーザーのアプリケーション使用状況の把握、障害の特定、コホートの開発、ソリューションがビジネスに与える影響の最適化に役立ちます。
• 拡張性の提供。カスタム イベントの取り込みおよびより広範な分析シナリオのサポートを可能にする拡張性を考慮して設計されています。

現在は SCOM 環境は廃止され、既定ではクラウドとオンプレミスの両方を引き続き Azure で監視することになっていますが、重点的に取り組んでいるのは以下のことです。

• Azure Runbook を使用した Microsoft Monitoring Agent のインストールと修復の自動化
• 包括的な正常性とパフォーマンスの一元的な可視化
• Azure での完全にセルフサービスの監視を実現する、あらゆる機能を備えた移行ソリューションの開発
• SCOM から Azure への完全な移行

修正プログラムの適用、更新、インベントリ管理

私たちは、監視の場合と同様に、移行ソリューションを使用して、ビジネス グループがこれまで使用していたオンプレミス ツールから Azure に移行しやすくしています。

Azure に移行する際、修正プログラムの適用作業では既存のソリューションに頼っていました。修正プログラムの適用、ソフトウェアの配布、管理プロセスの大部分が SCCM と関連エージェントによって提供されていましたが、Azure サブスクリプションを Azure に移行して管理できるようになったため、段階的に Azure に移行しました。

ビジネス グループ向けに、SCCM プラットフォームおよび他のレガシー ツールから Azure 更新管理修正プログラム適用サービスへの移行を支援する移行ソリューションを構築しました。これらの移行ソリューションは、オンプレミスの機能が Azure の機能に置き換わる際に、メンテナンスおよび修正されます。

修正プログラムの適用と管理の観点から、私たちは以下のことに重点的に取り組んでいます。

• IT 資産の検出、追跡、管理などのインベントリ管理を Configuration Manager から Azure に移行する。
• 更新プロセスをビジネス グループの Azure Update Management に移行する。
• セルフサービスによる修正プログラムの管理を実現する。私たちは、一元化されたコンプライアンス レポートをはじめとする、オペレーティング システムとアプリケーションの更新を Azure で調整してデプロイする機能を開発しています。
• Resource Manager テンプレート、PowerShell スクリプト、ドキュメント、Azure Desired State Configurationなど、上記の領域の移行をサポートするソリューションを作成および更新する。

修正プログラムの適用と管理の目的は、監視の場合と同様に、ビジネス グループが修正プログラムの適用と管理に必要な環境を制御でき、同時に私たちがコンプライアンスおよびセキュリティ上の目的で一元的な監視を行えるようにする、Azure ベースのセルフサービス ソリューションをビジネス グループに提供することです。

データの復旧可能性の保証

Azure をビジネス データの主要なリポジトリとして使用しているので、ビジネス グループとサービス ラインがデータを保護、保持、復旧できる Azure のバックアップ ソリューションを用意することは極めて重要です。私たちのデータ復旧ソリューションは、主に懸念される以下のケースに対応しています。

• 悪意のあるソフトウェアまたは悪意のあるアクティビティによる攻撃を受けたビジネス データの復旧
• 誤って削除されたり破損したりしたデータの復旧
• 重要なビジネス データの保護
• コンプライアンス標準の維持
• 法的な目的での履歴データ復旧要件の提示

私たちの Azure データのフットプリントは膨大です。現在、Azure で 1.5 ペタバイトの生データをホストしており、そのデータのバックアップ用に約 9 ペタバイトのストレージを使用しています。

Azure Backup は、セルフサービス ソリューションとして使用しています。ビジネス グループは、Azure Backup を使用して、バックアップの実行方法を細かく制御し、責任を持ってビジネス データをバックアップすることができています。なぜなら、自分たちのデータのことは自分たちが一番よくわかっているからです。

私たちは、仮想マシンレベルのバックアップに Azure Backup を使用し、一部のオンプレミスデータを Azure にバックアップするのには Azure Recovery Services のコンテナーを使用しています。Azure でのバックアップ管理向けにスクリプトとドキュメントで構成されるパッケージ ソリューションを作成し、ビジネス グループが Azure Backup に短期間で効率的に移行できるようにしました。

エンタープライズ管理の他の領域と同様に、私たちは Azure Backup の新機能を評価しており、ビジネス グループにより多くのバックアップ機能を提供する予定です。

セキュリティとコンプライアンスの組み込み

セキュリティとコンプライアンスに関して、最も注目されるのが分散化です。私たちは組織のセキュリティと法令遵守に関する責任を負っているので、実装しているすべてのクラウド管理ソリューションの中でも、セキュリティ制御が最も一元化されています。ただし、一元化が、ビジネス グループとそのサービス ラインの日々のソリューション管理に直接影響を与えるわけではありません。

私たちは、すべての Azure サブスクリプションで一般的に適用される、幅広いセキュリティとコンプライアンスのプラクティスとツールを活用しました。セキュリティとコンプライアンスの対策の一般的な適用を管理する上で欠かせないものは、以下のとおりです。

• Azure Policy。Azure Policy を使用して、サービス エンジニアが自動的にガバナンスの境界内に留まるようにするためのガードレールをサブスクリプションに設定します。ポリシーは、さまざまな設定を既定で制御するのに役立ちます。たとえば、ネットワーク構成が安全なパターンのものに限られるようにすることも、使用可能な Azure リソースのリージョンや種類を指定したり、暗号化が有効な状態でデータが保存されるようにしたりすることもできます。
• 自動化によって、絶えず変化するクラウド環境に対応できるようになります。DevOps ではエンドツーエンドの自動化が非常に重視されており、私たちは自動化されたセキュリティで DevOps の自動化を補完する必要があります。セキュリティが自動化されると、頻繁に更新されるアプリにかかる時間とコストが大幅に削減され、セキュリティを迅速に一貫して構成し、デプロイすることができます。
• エンジニアリング チームの能力強化。私たちは、常に変化する環境で、エンジニアリング チームの能力を強化して、中央のセキュリティ チームがアプリを承認するのを待たずに、有意義で一貫した変更を行えるようにしたいと考えています。エンジニアが必要としているのは、セキュリティを DevOps ワークフローに統合する機能です。セキュリティのために特別な対策を講じる必要も、中央のセキュリティ チームがアプリを承認するのを待つ必要もありません。
• 継続的な保証の維持。開発とデプロイが継続的に行われる場合、セキュリティ保証など、付随するすべてのものもそれに合わせる必要があります。現代のエンジニアリング環境では、承認またはコンプライアンス チェックに関する要件が古いままだと安心していられません。セキュリティの状態を定義し、その状態からの逸脱を追跡して、環境全体にわたり一貫したレベルのセキュリティ保証を維持する必要があります。それにより、配布時のビルドとデプロイの安全性が、あるリリースから次のリリースまで、さらにそれ以降のリリースまで保証されることになります。
• 運用検疫の設定。運用検疫を保証するために、DevOps 環境を明確に把握する必要があります。クラウドでの DevOps 運用検疫には、クラウドでの運用リスクを理解するだけでなく、別の視点が必要です。DevOps の全段階にわたってセキュリティの状態を確認し、重要な定期的アクティビティについてセキュリティ アラートおよびアラームを受け取る機能を構築する必要があります。

Secure DevOps Toolkit for Azure の使用

Secure DevOps Kit for Azure は、クラウドで作業する DevOps エンジニアリング チームに、セキュリティを重視した開発ワークフローを提供する一連のツールです。このキットを使用することで、一貫性のある、反復可能で、効率的な方法で、各段階にセキュリティが統合された Azureベースのソリューションを構築し、使用できるようになります。

私たちは、Secure DevOps Kit for Azure を使用して、以下の領域でクラウド開発のセキュリティにアプローチしています。

• サブスクリプションのセキュリティ。サブスクリプションが、Azure Policy や適切なログなど、必要なセキュリティ制御で構成およびプロビジョニングされていることを保証します。
• セキュアな開発。セキュアなコードを記述し、クラウド リソースのセキュアな構成をスポット チェックする機能を提供します。
• 継続的インテグレーションと継続的デプロイ (CI/CD) の拡張機能。セキュリティ テストを CI/CD ワークフローに統合します。
• 継続的な保証。セキュリティの状態がコンプライアンスを維持し、時間の経過とともに逸脱しないことを保証するのに役立ちます。
• アラート機能と監視機能。セキュリティ イベントをチェックし、サブスクリプションとアプリケーションのセキュリティの問題に対する効果的な修復方法を提供します。
• テレメトリ ダッシュボード。セキュリティのパターンと傾向を集約して表示し、協調して改善に取り組めるようにします。

今後の展望

Microsoft Digital が目指しているのは、ビジネス グループが Azure のツールと機能を使用して環境を簡単に制御できる、完全にクラウドベースのセルフサービス管理ソリューションです。私たちは、オンプレミスの System Center ベースの管理を脱却して、最新の Azure ベースのソリューションを提供し続けます。ビジネス グループを引き続きクラウドベースの監視に移行させながら、機能セットを拡張し、Azure ベースの管理をさらに向上させます。近い将来、管理システムが完全にクラウドベースの、分散化および自動化されたものとなり、私たちの組織が Azure でビジネスを構築し続ける姿が想像できます。