JGN-X

───まず、先生方の研究テーマ「分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームとビジネスモデルの開発」の概要について教えてください。

柏崎：まず僕からお話しします。この研究の発端は2009年ぐらい、ある会社からスケールアウト型分散ストレージを紹介されたこと。これはノードを追加していくとどんどんパフォーマンスがアップし、容量もアップしていくという形のストレージですが、その頃はビッグデータという言葉もない時代で、放送業界のように大量のコンテンツがあるところ以外で「これは何の研究に使うの？」という感じでした。しかし、2011年3月に東日本大震災が発生し、震災によって情報サービスが提供できなくなった場所などにおいてディザスタリカバリ^*1（以下、DR）やBCP^*2がすごく注目され始め、この分散ストレージがそういった方向にも使えるだろうという目算があがってきたわけです。
2012年、2013年とこの分散ストレージを使って、災害を想定してバーチャルマシン（以下、VM）を一時的に他の場所に退避してまた戻すというような実証実験をいろいろと行っていく中で、米国・デンバーで開催された国際会議SC13^*3の会場においてJGN-Xを使って「太平洋横断ライブマイグレーション」というデモを行い、VMを世界規模で実際に動かしても動作するということの実証実験を行いました。
その後、2013年の終わり頃、発生確率が高くなっている南海トラフ地震（図1-1参照）に対してどう備えるかを考えたときに課題が見えてきたんです。DRということに限らず、大量のセンサーデータなどの情報をもとに解析を行うことが大事であること。そしてその解析を行う基盤がちゃんと動くのかを実際に検証しておかないといろいろな問題が発生するので、定量的に見ていく検証の仕組みが必要だという認識に至りました。この考えの中心人物は高知工科大学の菊池先生で、既に人間の手を絡めた形で災害訓練を行っていたので、それを自動化してSDN（Software Defined Network）の形で行っていこうというものが、この分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームなんですね。

───一気にお話しいただき、ありがとうございます。災害に備えて、SDNを使って定量的かつシステマチックに災害訓練を行う基盤を作ろうとしたことが始まりなんですね。近堂先生、付け加えて何かございますか？

近堂：柏崎先生のお話にもあったVMのグローバルライブマイグレーションと呼ばれる技術の研究を、私はここ5年ほどやってきています。VMにIPの移動透過機能を提供し、L3(レイヤ3)境界を超えて継続的に使えるというような仕組みを研究していますが、これが柏崎先生がお話をされていた分散化ストレージと非常に親和性が高いんです。いわゆるVMのディスクイメージ自体を分散ストレージの上に置いておくと、どこからでも同じようにアクセスできる。そういった仕組みがあると移動透過通信を使ったライブマイグレーションがやりやすいんです。

───移動透過通信というのは？

近堂：異なるネットワークに移動しても、アプリケーションに対して継続して通信を提供するための仕組みのことです。VMを考えた場合、クラウド間で継続したサービスを提供することも可能になります。今回のプラットフォームを構築する前までは、ライブマイグレーションの研究にあたってVMイメージの保存場所としてこの分散ストレージを使ってきたわけです。

北口：流れに従って再整理すると、もともとは広域分散ストレージを、実際にSINET^*4とJGN-Xを用いて多拠点を結んで作りました。その上で、近堂先生のライブマイグレーションやそのあとの経路の最適化とかも含めて研究していかなきゃいけないですねということで話を進めていましたが、この広域分散ストレージが実際に障害に耐えうるものなのかというような議論をした際に、「じゃあ壊せるようなネットワークというかプラットフォームが必要になりますよね」ということになり、今年度のJGN-Xの取り組みでは「壊せるネットワークを作って、最終的にはそのネットワークの上に、広域分散ストレージを持ってきて評価しましょう」という流れになったんです（図1-2参照）。

近堂：評価というか、分散ストレージ自体がきちんと正常に動き続けられるかどうかです。分散ストレージを構築・運用していく中で、例えばどこかの拠点がサイトごとダウンしたり、拠点間のネットワークの不具合が発生するような状況下でも、分散ストレージとして動作し続けられるかどうか、あるいはパフォーマンスが維持できるかどうかというところを検証したいということです。

───なるほど、災害でどこかが壊れるなど障害が起こっても、他のところから同じように使えることを検証できる壊せるプラットフォームを作っておられるわけですね。今、どのあたりまで進んでいらっしゃるのでしょう？

柏崎：災害が発生したときには、ネットワーク障害・電源障害・サーバ障害などいろいろなものが想定されます。ネットワークに特化して災害時に起こる得る障害発生パターン（図1-3参照）を考えて分類した8～9個の災害表現のうち、半分ぐらいが実現できている状態です。自分たちが想定し得る災害を模倣するには、残り半分を完全に実装する必要がありますが、それなりの災害模倣ができるステージまで2014年度で到達することができました。

───2015年度は残り半分の障害発生パターンを実装する予定ですか？

柏崎：残り半分を実装するのは当然ですけれども、そのさらに先も考えなければいけないと思っています。例えば日本ネットワーク・オペレータズ・グループ（JANOG^*5）の方々に、災害訓練をしようと思ったらどんな災害表現が必要かと聞いてみると、ごっそりとデータセンター丸ごと電源が喪失するということも必要だと言われました。大体、データセンターというのは安全のため2重の電源系統、送電線系を持っていますが、先日の長野県で30万世帯ぐらいが停電したように、ダブルフォルトが発生することも十分ありえるわけです。ネットワークだけでなくこういった形の電源喪失や、サーバを含めて仮想化ホストが全部または部分的に落ちてしまうとかも表現できるところまで拡張していき、本物そっくりの災害エミュレーションをできるようにすることが、2015年度の課題となります。 このエミュレータをプラットフォームと言ってよいと思います。さらに言うと、そのエミュレータが3.11の災害を実現するということだけではなく、どういう災害を模そうとしているのか。それは本当に妥当性があるのか。科学的な妥当性があって、こういうふうな災害が想定されるからそれを模すのか、それとも荒唐無稽の災害を想定しているのか。このあたりはいろいろと災害研究者の方々とお話をしながら、どういうものが今現在メインストリームになっているのかということを相談しつつやっているという感じです。

北口：災害と障害の違いを整理すると、結局、我々が実装しているのは災害によって発生するネットワークの障害です。ネットワーク機器に障害を起こすことができるかということを検討しながらいくつかパーツを作り、それを実装してきました。それが半分ぐらいのパーツができたところです。災害によっていくつかの障害が連携して発生するんですが、いろいろな災害によって、どういう順番でどういう障害がどこに起きているかというところまでは整理しきれていません。
障害は実現できたので、災害からどのような障害が発生するかということを模倣していくということです。それを今までの3.11みたいなときの事象、SINETで起きたようなネットワークの事象をもとに1つサンプルを作るとか、あとは今後発生する地震とか災害からどう想定するかはすごく難しいところではあるんですけれども、そういうシナリオを作るというところも、2015年度の1つの課題になって来ると思います。

───災害からどういう障害が起こるか、その災害も含めたシナリオづくりですね。障害だけをやっていてもケースバイケースなので、シナリオがないと上手くいかないっていうことでしょうか？

北口：はい、そうですね。

近堂：結局、いろいろな障害が、時間的あるいは空間的に変化していく部分をどのように定義するかがシナリオ作成の肝になると思うんですよね。今は個々の障害について実際にJGN-X上で発生させるところまでは実現できました。あとはそれをどうつないでいくか、時間的にどう変化させていくか、空間的にどのような形で広がりを持たせていくか、これらがシナリオを作成のひとつに入ってくるわけです。
実際に大災害が起きた時、ネットワーク機器やサーバにどう影響していくかというところまで一連として考えることが最終的なゴールなんです。今はそこまでは行っておらず、どちらかと言うと、ネットワーク機器などにより近い部分で障害を発生させるというところに、今は特化して研究をしています。

───プラットフォーム設計のお話をお聞きしてきましたが、最終的な目的としては、ビジネスモデルの開発までを想定していらっしゃるということですね。

柏崎：このプラットフォームを買っていただく、またはこのプラットフォームが提供するデータや情報がお金と等価交換できる価値を持つようにするということを考えています。

北口：私たちは、「壊せるネットワーク」というプラットフォームを造ることで、広域分散システムが有事の際に本当に動くのかというところを検証するような場として提供できるものを作っています。例えば、プラットフォームがゴールとしてできたら、我々がこれまでに取り組んでいた広域分散ストレージシステムをその上で検証したいです。その際、例えば10パターンの障害を影響の小さなものから用意し、どの障害まで耐えることができたか検証し、広域分散システムとしての耐障害性をランクで表現することを考えています。「このシステムは星いくつのシステムです」というような形で、検証したシステムの耐障害性をランク付けする認証機関といったもので、これがひとつのビジネスモデルになっていくのではないのかと思っています。

───検証に使えるプラットフォームを提供することと、認証機関として耐障害性のランク付けすること。ビジネスモデルは1つだけじゃないんですね。

｜１｜　｜２｜

第11回ユーザ座談会の会場となった
「うめきた超臨場感・超高速ネット
ワーク実験施設」が入ったビル

大阪大学の柏崎先生

＊1「ディザスタリカバリ」：自然災害などで被害を受けたシステムを復旧・修復すること。また、そのための備えとなる機器やシステム、体制のこと。

＊2「BCP」：Business Continuity Planの略。災害などリスクが発生したときに重要業務が中断しないこと。また、万一事業活動が中断した場合でも、目標復旧時間内に重要な機能を再開させ、業務中断に伴うリスクを最低限にするために、平時から事業継続について戦略的に準備しておく計画。

＊3「SC13」：2013年に開催されたSCを意味している。また、
SCとは通称「Supercomputing Conference」の略で、1988年からIEEEComputer SocietyとACMにより開催されているスーパーコンピューター、高性能コンピューティングなどにフォーカスした国際会議のこと。

【図1-1】
南海トラフ地震の発生確率と
確率分布モデル
拡大

広島大学の近堂先生

出張先からWEB会議システムで
ご参加くださった金沢大学の北口先生

＊4「SINET（サイネット）」：日本全国の大学や研究機関等の学術情報基盤として、国立情報学研究所（NII）が構築・運用している学術情報ネットワークのこと。

【図1-2】
本研究の目的
拡大

【図1-3】
検討中の障害発生パターン
拡大

【図1-4】
SDDE（Software Defined Disaster Emulation）プラットフォームの設計
拡大

【図1-5】
SDDEプラットフォームのイメージ
拡大

＊5「JANOG」: JApan Network Opetator's Groupの略。インターネットにおける技術的事項及びそれにまつわるオペレーションに関する事項を議論・検討・紹介することにより、日本のインターネット技術者及び利用者に貢献することを目的としたグループ。