ProVISION

デジタル・トランスフォーメーションにおけるIBM Zの役割(第一回) ― IBM Zテクノロジーの現在と今後 ― (vol97-0005-mainframe)

By IBM ProVISION posted Wed April 21, 2021 02:11 AM

  

IBM Z[1]は1964年に発表されたSystem 360の流れを汲む汎用コンピューター、所謂メインフレームです。現在も世界中のお客様の基幹業務を支える基盤として利用され続けています。一方、分散サーバーの進化、クラウド利用の普及、そしてお客様のデジタル・トランスフォーメーション(Digital Transformation、以下DX)の流れなどがあり、IBM Zも大きな変化が求められています。そこで、次の4回のシリーズでIBM Zの今後とDX対応について特集します。

  1. IBM Zテクノロジーの現在と今後 (今号)
  2. Hybrid CloudにおけるIBM Zの位置付け (6月頃発行予定)
  3. IBM Zのモダナイゼーション (9月頃発行予定)
  4. IBM Zのデータセキュリティ戦略 (11月頃発行予定)

 本稿は第1回「IBM Zテクノロジーの現在と今後」として、IBM ZDXを実現するための、AI、セキュリティ、クラウドに関連した最新テクノロジーについてご紹介します。

IBM ZにおけるAIの活用

AI(人工知能)を活用したデータ分析は現在多くの企業で注目されていますが、データの発生場所でIBM Zの高速CPUを利用した、AIによる知見や判断を基幹業務のトランザクション処理に活かすことで業務効率を向上させることが期待されています。

例えば、保険業での接客時の最適な商品分析によるcross sell/up sellや、金融業におけるインターネットバンキングへの不正ログイン/不正な金融取引に対する損失額の最小化/排除という対応が挙げられます。

どのような分析も、以下の4つのステップを踏みます。

  1. 分析:正しいデータを整備し、分析する
  2. 組み込み:得た知見を業務プロセスの中に組み込む
  3. アクション:知見をベースに次の取引の最適なアクションを起こす
  4. 蓄積:上記によるデータを再び蓄積する

IBM ZAIを適用することで、このステップを全てIBM Z上で完結させるリアルタイム分析が可能になります。z/OS上で生成したデータをそのままz/OS上で分析し、その知見や判断を即座に基幹業務で活用することは迅速な判断につながります。お客様の基幹業務が稼働し日々大容量データを生成しているIBM Z上で、このサイクルを回すことができるというのは大きな価値になります。

リアルタイム分析を支えるテクノロジー:機械学習プラットフォーム

機械学習でよく用いられるPythonSparkといった技術は現在z/OSでも利用可能です。IBMではこれらの標準技術を使ったz/OS上での機械学習ソリューションとして、IBM Watson Machine Learning for z/OS(以下、WML[2] という製品を提供しています。この製品は、データ加工の仕組みや、モデルを訓練するためのJupyter Notebookのインターフェース、モデルを作った後のスコアリングなど、一連の機械学習で必要な機能を提供します。また、このWMLに関わる処理は特定処理専用プロセッサー“zIIP” にオフロードできるため、ソフトウェア費用への影響を最小限に抑えた形で利用することが可能です。

 

リアルタイム分析を支えるテクノロジー:高速アクセラレーター

IBM Zでは一般的に非常に負荷がかかると言われるデータ分析を高速に行うソリューションとしてIBM Db2 Analytics Accelerator (以下、IDAA[3] を提供しています。分析用途のクエリー処理を専用の高速化装置に処理させることで、分析業務の高速化を実現します。IDAAはアプライアンスとして提供しており、IBM Z筐体とは別の専用筐体として提供するものと、IBM Z内の専用区画で稼働するソフトウェア・アプライアンスとして提供するものの、2種類の提供形態があります。分析処理に掛かるCPUコストはこのアプライアンスにオフロードされ、IBM ZCPUコストはほぼ変わらない形で分析業務を回すことができます。

このように、最新のIBM Zでは外部のクラウドや分析基盤にデータを転送することなく、基幹業務が動くIBM Z上でそのまま分析業務を行い、即座に得られた分析モデルを基幹業務に組み込むことができるようになっており、基幹業務で効果的にAIを活用することが可能です。

 

IBM Zの高度なセキュリティ機能

DXの推進に必要不可欠とされるデータの活用ですが、これには情報漏洩をはじめとしたセキュリティリスクを伴います。近年個人情報流出に関する様々な事件が報じられており、外部調査によると世界で毎日平均700万件のデータが流出している[4]とも言われています。このため、外部侵入の防御、データ・アクセスの制御、データ・アクセス履歴の取得、そして暗号化といったデータ漏洩対策は不可欠です。

 

全方位型暗号化

データ暗号化は外部からの攻撃のみならず、特に不正バックアップなどの内部犯行によるデータ漏洩に対しても有効な手段です。一般的に、データの暗号化は非常に重い負荷が掛かるため、必要最小限のデータのみをアプリケーションで対応して暗号化していました。例えば、住所や電話番号といった特定の個人情報や機密データのみを暗号化するというものです。これに対し、IBM Zでは"全方位型暗号化"[5]という、IBM Z筐体から出るすべてのデータを暗号化するという考え方を提唱しています。特にディスク上のデータに対する暗号化ソリューションとしてすべてのアプリケーションデータの暗号化を可能とする「z/OSデータセット暗号化」の機能が提供されています。従来型の暗号化と比較し、暗号化漏れを防ぐ、アプリケーション側での対応が不要、といったメリットを享受できます。

ハードウェアによる暗号化

IBM Zは各CPUコアごとに専用のハードウェア機構があり、専用のハードウェア命令で高速に、かつCPUコアには負荷を掛けずに暗号化/復号することが可能です。また、IBM Zは暗号化処理に用いる暗号鍵を守るための専用のハードウェア・セキュリティ・モジュール(以下、HSM)も搭載しています。このHSMFIPS(Federal Information Processing Standard:米国連邦情報処理規格)140-2Level-4に認定された最高レベルの耐タンパー性を備えており、暗号鍵を強固に守ることが可能です。

ハードウェアによる暗号化と全方位型暗号化により、全ての業務データを暗号化しても業務処理の性能劣化をほとんど気にすることなく、わずかなCPU負荷で、安全にデータを守ることができます。

データそのものに防御の仕組みを

ハイブリッド・クラウド、マルチ・クラウドの環境下においては、クラウド間のデータコピーが横行し、管理・保護されていない機密データのコピーが点在するリスクも生じます。最新のIBM Zではお客様の大事なデータを預かる中核として、企業内の機密データをすべて暗号化し集中的にコントロールするソリューションData Privacy Passports (以下、DPP)[6] を提供しています。従来、データを外部のサーバーに送る場合、データは送った先のシステムで守るしかなく、個々のシステムごとに情報漏洩対策が必要でした。DPPは、外部にデータを送る際に、機密情報に該当する部分を暗号化します。暗号鍵はIBM Zで保有し、外部には出しません。暗号化されたデータにはメタデータが付与され、このメタデータには暗号化された状態でSQL処理する為の列名や長さ、復号する為の鍵の情報が書かれています。

外部に送ったデータは暗号化されていないデータ項目を通常処理できますが、機密データ部分は暗号化されているので見ることができません。機密データ項目を参照する場合は、DPPに復号要求を行います。誰に機密データを見せるかはLDAPなどを利用してアクセス制御情報を連携し、すべてIBM Z上で稼働するDPPでポリシー管理をしており、許可されたユーザーにだけ機密情報を開示するというアクセス制御と機密データ開示の記録が可能になります。機密データのアクセス制御ポリシーをコピー先の環境に任せる従来の方法ではなく、企業全体の機密データをIBM Zで集中管理する新しいデータ保護の仕組みを利用することができます。

 

図1.IBM Z 最新セキュリティ・ソリューション 「Data Privacy Passports

 

IBM Zのクラウド・ネイティブ対応

IBMのハイブリッド・クラウド戦略は、クラウド・ネイティブ技術をお客様企業内のシステムに適用し、ユーザーのニーズに迅速に対応できる柔軟なシステム環境の実現を目指します。パブリッククラウドの世界のみならず、IBM ZをはじめとするIBMのすべてのハードウェア・プラットフォームにおいてクラウド・ネイティブ対応を推進することで、アプリケーションのポータビリティを高め、変化に強くビジネスに貢献できるシステムを提供します。

図2.IBMのハイブリッド・クラウド戦略 

IBMでは最新のIBM z15の発表に合わせ、Red Hat OpenShiftIBM Z対応を発表しました。これにより、IBM Z上のLinuxOpenShiftによるコンテナ稼働環境を構築することができるようになります。更に、コンテナ化されたIBMミドルウェアと管理用共通ソフトウェア・サービスを含んだ IBM Cloud Paksも同じくIBM Z上で稼働させることができるため、より手軽にお客様環境のコンテナ化に貢献します。

z/OSを中心に作られた基幹システムのDX推進が求められるなかすべてを作り直すのは現実的ではないため、既存資産を活かしつつ、クラウド環境と連携していくハイブリッド・クラウドの世界へ移行していくことがポイントとなります。

 

新サービスと基幹業務をつなぐ仕組み

z/OS上のアプリケーションやデータは長年お客様の基幹業務を支えてきた重要な資産です。新しく作る付加価値サービスを基幹業務とうまく繋げることで効率よくDXを進めていくことができます。サービス同士を連携する手法としてREST APIがありますが、z/OS上の様々なアプリケーション資産をREST APIでアクセス可能とするソリューションとしてz/OS Connect Enterprise Edition (以下、z/OS Connect EE[7] という製品を提供しています。この製品を用いることで、Db2CICSMQといったz/OS上で稼働する様々なミドルウェア上のデータやアプリケーションを容易にREST API化することができるようになり、外部サービスから直接z/OS上のアプリケーションを呼び出せるようになります。標準技術であるREST APIのため、ホスト知識を必要とせず、オープン系アプリケーション開発者でも容易にアプリケーションの開発が可能です。

z/OS上でのコンテナ・ソリューション

Linux on IBM Zで作成したDockerコンテナをz/OS上で稼働させるソリューションとして z/OS Container Extensions(以下 zCX[8] が提供されており、z/OS上のアドレス空間としてDockerコンテナを稼働させることができます。このzCXに関わる処理はzIIP にオフロードされるため、ソフトウェア費用への影響を最小限に抑えて、コンテナ・アプリケーションをz/OS上で稼働させることが可能です。z/OS特有のワークロード管理や稼働情報の取得機能をそのまま利用するほか、災害対策ソリューションであるGDPSを適用し、z/OS災害対策にコンテナ基盤も含めることが可能になるなど、z/OSそのものの良さを享受することができます。将来的にはOpenShift対応も計画されており、他プラットフォーム含めOpenShiftで一元管理することが可能になる予定です。

また、z/OSアプリケーションのコンテナも計画されています。現時点ではまだ開発意向表明[9]になりますが、お客様にz/OSアプリケーションのコンテナ開発およびKubernetesのオーケストレーション・サポートを提供することを計画しています。これにより、z/OSでコンテナ・アプリケーションの開発からデプロイメントや運用を実現し、ハイブリッド・クラウド環境におけるアプリケーション開発と運用の一元管理を高め、DXを支援していきます。

同じくRed Hatのクラウド・ネイティブ技術である Ansible z/OSで利用可能です。Ansibleは導入・設定手順をYAMLで記述するため、学習コストが低く、多くのサーバー・ネットワーク機器の構築に対応していることから、培ったスキルを横展開することができるソリューションとして注目されています。更にJCLなどz/OS固有の部分を補うために設定手順等をパッケージ化した Ansible Certified Content for IBM Z[10] というコレクションキットを提供しています。システムの構築や構成管理といった作業は人手でやるのが一般的ですが、Ansibleを用いることで利用者からみたリードタイムを短縮できるだけでなく、構築作業の工数削減やヒューマンエラー削減による品質向上を実現できます。

このように、オープン系の世界でしか使うことができないと思われていた様々なクラウド・ネイティブ技術が実はすでにz/OS環境でも利用できるようになっています。

将来に向けて

IBM Zは「IBM Z憲章(2020年版)」[11]という文書を発行しました。そこではIBM Zへの継続的な投資をお約束するとともに、今後のIBM Zプロセッサーのロードマップを公開しています。IBMは、201579日に7ナノメートル線幅の半導体試作の成功、201766日には5ナノメートル線幅のチップ製造の成功を発表しており、201812月にはSamsungとの提携(15年間の研究開発の契約)を発表しました。現在 7nm から 5nm のプロセッサー・テクノロジーの研究に取り組み、今後10年以上にわたってプロセッサーを提供していくことを約束しています。この高速なプロセッサーはQuantum Safe Security (耐量子暗号化 / 量子安全)や、より複雑なAI処理を基幹システムで高速に実行する技術などの新しいテクノロジーに利用され、今後のIBM Zへ実装されていくことになります。量子コンピューター対応は今後重要になってくるテクノロジーですが、IBMでは量子コンピューターでも解読できない新しい暗号化技術の研究も進めており、その1つである"Lattice-based cryptography"(格子暗号)に含まれるデジタル署名に関わるDilithium (ダイリチウム)というアルゴリズムを最新のIBM Zで対応しています。将来のセキュリティリスクに備えて、今後もIBM Zでは量子コンピューター対応を継続していきます。

新しいテクノロジーに対応したLinuxz/OSの両方を持つIBM Zのテクノロジー進化をうまく取り入れることで、お客様のデジタル・トランスフォーメーションを加速し、企業全体のデジタル変革に向けて新たな価値創出を推進していきます。

 

[参考文献]
[1] IBM: IBM Z, https://www.ibm.com/jp-ja/it-infrastructure/z
[2] IBM: IBM Watson Machine Learning for z/OS, https://www.ibm.com/jp-ja/products/machine-learning-for-zos
[3] IBM: IBM Db2 Analytics Accelerator for z/OS, https://www.ibm.com/jp-ja/products/db2-analytics-accelerator
[4] VARONIS: The World in Data Breaches, https://www.varonis.com/blog/the-world-in-data-breaches/
[5] IBM: 全方位型暗号化, https://www.ibm.com/support/z-content-solutions/pervasive-encryption/
[6] IBM: IBM Data Privacy Passports, https://www.ibm.com/jp-ja/products/data-privacy-passports
[7] IBM: z/OS Connect Enterprise Edition, https://www.ibm.com/jp-ja/products/zos-connect-enterprise-edition
[8] IBM: z/OS Container Extensions, https://www.ibm.com/support/z-content-solutions/container-extensions/
[9] IBM: 開発意向表明:z/OS 向けのコンテナーおよび Kubernetes のオーケストレーション・サポート, https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=760/JAJPJP20-0019&infotype=AN&subtype=CA
[10] IBM: Red Hat Ansible Certified Content for IBM Z content solution, https://www.ibm.com/support/z-content-solutions/ansible/
[11] IBM: IBM Z 憲章(2020 年版), https://www.ibm.com/downloads/cas/5ABZWK2E

 

日本アイ・ビー・エム株式会社
テクノロジー事業本部 IBM Zハードウェア・テクニカルセールス
シニアITスペシャリスト
久保 尚史
Naoshi Kubo
2001年日本IBM入社。IBM Z上のLinuxを中心としたテクニカル・サポートとして約8年間活動。その後、プリセールス・エンジニアとして製造・流通・公益のお客様を中心にIBM Zの啓蒙活動に従事


#mainframe
#ProVISION
#Highlights-home
#Highlights
0 comments
1689 views

Permalink