|
川口 一政 Kazumasa Kawaguchi 日本アイ・ビー・エム株式会社 テクノロジー事業本部 技術理事 |
1984年入社。日本だけでなく、アジア各国で大規模システム、高可用性システム、災害対策、セキュリティーなどの設計を手がける。世界のIBM Zテクニカル・コミュニティーに参加し、各国のスペシャリストと連携して、お客様の問題解決に当たっている。専門分野は並列Sysplex、災害対策、連続可用性、セキュリティーなど |
IBM Z®[
1]は1964年に発表されたSystem 360の流れを汲む汎用コンピューター、所謂メインフレームです。現在も世界中のお客様の基幹業務を支える基盤として利用され続けています。一方、分散サーバーの進化、クラウド利用の普及、そしてお客様のデジタル・トランスフォーメーション(Digital Transformation、以下DX)の流れなどがあり、IBM Zも大きな変化が求められています。そこで、次の4回のシリーズでIBM Zの今後とDX対応について特集します。
1.
IBM Zテクノロジーの現在と今後 (4月発行済み)
2.
Hybrid CloudにおけるIBM Zの位置付け (7月発行済み)
3.
IBM Zのモダナイゼーション (11月発行済み)
4. IBM ZのAIとセキュリティー戦略 (今号)
第1回「IBM Zテクノロジーの現在と今後」[
2]で述べたように、IBM Zはお客様のDXを推進するために、AI、セキュリティー、クラウドネイティブ機能を中心に継続強化しています。クラウドに関しては第2回「Hybrid CloudにおけるIBM Zの位置付け」[
3]で取り上げたので、本稿では4回シリーズの最後として、IBM Zが強化しているAIとセキュリティーの戦略について述べます。
8月23日(US時間)にIBM Telumプロセッサーを発表[
4]し、IBM ZにおけるAIの機能強化が非常に重要な位置づけであることが示されました。よって今号は当初予定していたデータ・セキュリティーにおけるIBM Zの戦略に加え、AI戦略についてもご説明致します。
IBM ZのAI戦略IBMは企業のワークロードで機械学習やディープ・ラーニングを活用したAIによる推論処理を、リアルタイムで利用できるようにする「IBM Telumプロセッサー(以下 Telum)」を発表[
4]しました。Telumは、トランザクション処理にAIによる推論処理結果を組み込めるように、オンチップ・アクセラレーションを搭載した次世代IBM Zチップで、2022年前半に発売するIBM Zに採用される予定です。
またTelumは、IBM Research® AI ハードウェア・センターが開発した、初めてのIBMチップになります。チップには8つのプロセッサー・コアと、AIアクセラ
レーター機構が搭載されています(
図1)。この新しいチップは革新的な集中設計が特長で、お客様は不正検出やローン手続き、取引の精算や決済、マネー・ロンダリング防止、リスク分析などの業務に、トランザクション・スピードでAIによる推論処理を加えることができるようになります。
IBM Zで特にAI活用が求められている基幹系処理への組み込みと、運用効率の改善という2つの適用ケースにおいて、Telumプロセッサーがもたらす価値について考えていきたいと思います。
(1) 基幹系処理への組み込み
IBM Zで処理している基幹系業務に、AIによる推論処理を適用してDXを推進したいというお客様のご要望があります。例えば業務取引におけるリアルタイムでの不正検知への利用です。現在企業は不正が発覚した後、処理済み取引に検出技術を適用して、類似の不正処理がなかったかを調査しています。しかし取引処理後の検出では、企業に多大な損害を与えてしまいます。よって取引完了前に、AIによる推論処理を用いた不正検知を行いたいという業務ニーズがあります。しかし、オンライン取引を処理しているIBM Zから、リアルタイムで複雑な不正検出の推論処理を行う他のシステムに連携するのでは、大幅なレスポンスタイム遅延が発生し、オンライン取引では採用できませんでした。
そこで、このAIによる推論処理も基幹系を処理しているz/OS®内で実行することで、大幅な他システム連携のAI推論処理パフォーマンス改善を実現しました(
図2)。x86やLinux® on Z上で、TensorFlowなどの機械学習ライブラリを利用してAIモデルを作成・学習し、それをOpen Neural Network Exchange (ONNX) 形式でエクスポートした上で、z/OS Container Extensions (zCX) [
5]上にインポートします。そして基幹系処理が行われているz/OSのアプリケーションから、推論処理を用いたスコアリングをすることで、他システム連携が不要になり、遅延なくz/OS内で不正検知の推論ロジックを実装することができます。このAI推論処理を
IBM Z内で処理することで、25倍のパフォーマンス改善を実現したお客様事例があります。なお、zCXでの処理はIBM Z Integrated Information Processor (zIIP)へのオフロードが可能で、これらのAIによる推論処理のS/W費用インパクトはほとんどありません。
このAIによる推論処理をTelumのオンチップAIアクセラレーターを利用することで、さらにAI処理の高速化が期待できます。また全ての基幹系トランザクションに不正検知のAIによる推論処理を利用するには、このAIスコアリング処理をオンラインの発生頻度で、遅延なく大量に並行処理する必要があります。開発段階のパフォーマンス・データですが、Telumでは350万件/秒のAIによる推論処理でもレスポンス劣化が無くスケールすることを実証しています(
図3)。よって、大規模トランザクション環境においても、サービス・レベル・アグリーメント(SLA)を変えることなく、取引完了前に不正行為を予防するという、DX時代の
新しい安全な業務処理が可能になります。
このように、IBM Zで実装されている基幹系処理にAIの推論を加えることで高度業務処理を実現し、DXを推進できるようになります。Telumはハードウェアとソフトウェアの共創に加え、主要なソフトウェア・フレームワークに渡る統合により実現します。IBM ResearchとIBM Zは、共同でIBM Z用のディープ・ラーニング・モデルのためのコンパイラーを作成しました。これにより、オープンソースの機械学習ライブラリー (TensorFlow、Caffe、Keras、scikit-learnなど) を使用して作成した AI モデルを、IBM Z上で最適化して実行可能にします。将来はIBM Zで発生した取引データを使用してIBM Z内でAIモデルの作成・学習も実施することで、AIモデルのライフサイクル管理を全てIBM Z上で完結させ、後続取引でのAIによる推論処理に最新モデルを適用するサイクルを短縮化できることが期待されます。
(2) 運用効率の改善
お客様は重要な基幹系システムをIBM Zで処理しています。その業務は社会のインフラとなっているものもあります。非機能要件は厳しく、安定したパフォーマンスでいつでも稼働できる連続可用性 (High Availability+Continuous Operation=Continuous Availability) が求められています。一方で、IBM Zは他のサーバーとは比較にならない程豊富で詳細なシステム統計情報を記録しています。こうした統計情報の多くはAIでの活用に適しており、例えばこれらのデータを使用してリアルタイムでシステム・ヘルス・チェックをし、リアルタイムで予兆検知をし、障害原因分析や自動回復オペレーションをAIの技術で促進することが期待されます。これにより障害の予防や障害によるダウンタイムの極小化をBest Practiceだけでなく、AI技術により促進できます。
IBM Zではお客様がプログラムを開発して直接AI技術を利用することで業務や運用を改善するだけでなく、お客様が利用されるIBM ZのソフトウェアでもAI技術を組み込むことで、効率化を促進していく予定です。例えばDb2 for z/OSやその関連製品では、SQLのアクセス・パス最適化にAI技術を用いてパフォーマンス改善したり、Db2データの中からAIを利用して類似するデータを判別し、それを用いてデータのクレンジングを行うことで、データ品質を改善するなどの
利用が想定されています(
図4)。このように、IBM Zではアプリケーションやお客様がAIの利用を意識することなく、IBM ZのソフトウェアがAIを利用することでDXの推進を可能にしていきます。
図4: Db2 for z/OSでのAI適用想定ユースケース例
IBM Zのセキュリティー戦略IBM Zは基幹系システムで利用され、お客様の重要な基幹データを生み出すシステムとなっています。IBM Zはデータ・サービングとして、データを集中管理・制御・保護できるよう、そのデータを安全に守るアクセス制御、アクセス履歴記録、暗号化に力を入れています。特に暗号化はCPUコアごとに1つ専用のHW暗号化機構が標準で装備されており、大量の暗号化を高速並列処理できます。一般のサーバーでは選択的したデータのみを暗号化する保護方針を、IBM Zなら全データを無条件に暗号化することを可能にしました。これによりデータ選別負荷を無くし、暗号化漏れを無くし、アプリケーションの対応が不要で、パフォーマンスも悪化させない、全てのデータを安全に守る全方位型暗号化[
6]を実装しています。またHybrid Could環境においてIBM Z外へコピーされるデータは、Hyper Protect Data Controller[
7]により、IBM Zが統括的に暗号化とアクセス制御することによりデータを保護されます。
このようにIBM Zは既に優れた暗号化利用技術を提供していますが、この章では長期的な視野に立ったIBM Zの暗号化戦略とCloud技術として注目されているConfidential Computingについて述べます。
・最新の暗号化技術を継続して提供
IBM Zではお客様が常に業界最先端の暗号化技術を利用できるようにしています。その一例が耐量子コンピューター暗号技術の取り組みです。量子コンピューターは実応用に向けた研究が盛んに行われ、大きな期待が寄せられています。一方で現在の暗号化技術が量子コンピューターに破られてしまうことが懸念されています。よって米国連邦情報・技術局 (Na-tional Institute of Standards and Technology: NIST) などでは、耐量子コンピューター暗号技術の標準化が議論さ
れています。その最終候補の一つとなっている格子暗号化 (Lat-tice-based cryptography) のDilithium (ダイリチウム)というアルゴリズムのデジタル署名処理を、IBM Zでは既に対応[
8]しています。今後もIBM Zはこの耐量子コンピューター暗号化技術の実装を継続します(
図5)。
またこの格子暗号を利用した完全準同型暗号 (Fully Homomorphic Encryption: FHE) [
9]にも大きな期待が寄せられています。FHEは耐量子コンピューター暗号化というだけでなく、暗号化のまま計算ができる、より安全な暗号技術です。FHEはまだプロトタイプ段階の技術ですが、既にz15上のLinuxコンテナで実装を開始しました。z/OSでもz/OS Container Extensions [
5]でのランタイムを提供しています。
このように、IBM Zでは常に最新暗号化技術を採用し、お客様が最新の安全な暗号化技術を利用できるようにします。データは長期間に渡って保持することが必要な場合があります。IBM Zに保持されたデータは20年30年経っても破られない暗号化技術を採用し、将来のセキュリティー・リスクに備えることができます。IBM Zは暗号化技術のリーダーシップを今後も維持していきます。
・Confidential Computingの実装とリーダーシップ
Confidential Computingは、データ処理エンクレーブにおける機密データを保護するクラウド・コンピューティング技術です。エンクレーブとはクラウド業者を含む特権ユーザーや特権プログラムによるデータ処理です。企業でのパブリックやハイブリッドクラウド・サービス利用は進み、クラウドにおけるデータ・プライバシーは必須となっています。
Confidential Computingの目的はクラウドにおけるデータを保護し、より多くの機密データやその処理をパブリッククラウドで利用を推進することです。クラウド業者はat rest (ストレージやデータベース) やin transit (ネットワークで転送されるデータ) のデータを暗号化することを既に可能にしてきました。今後は残るin useつまり処理中やランタイムのデータ・セキュリティーも改善することを目指します。
in useが注目されている理由は、特権ユーザーによるメモリーからデータや暗号鍵の抜き取りが、大きな脅威としてなっているからです。SRE, Admins, Operationsなどの特権ユーザーは、サーバーやコンテナのデバックやダンプ処理を使用して、機密データや暗号鍵をメモリーから読み取ることができ、データ漏洩リスクとなっています。これらのリスクを下げるには、運用ルールで特権ユーザーのオペレーションを抑制するガイドだけしかありませんでした。
IBM Zはこのクラウド技術Confidential Computingのin use対応を既に実装しています(
図6)。Linux on ZではSecure Service Container (SSC) [
10]によりメモリー・ダンプ取得のLinuxコマンドを発行できないよう制御し、SSC経由のダンプは暗号化して機密データを盗めないようになっています。先に述べたFHEは復号
不要なin useでの暗号化技術です。またTelumを実装する次期IBM Zでは、メモリーでの暗号化も実装予定となっています。
#ProVISION#mainframe#Highlights#Highlights-home#ProVision#ProVision-mainframe