歴史は繰り返す。1960年代、IBMのメインフレーム用OS「OS/650」には、MFTとMVTの2つのモードがあった。これらのモードでは、処理は独自のアドレス空間で行われ、並行して実行される他のプロセスと連携することは不可能だった。仮想マシン(VM)とコンテナの前身だ。そして今は、「IBM Cloud Private」向けの「IBM Secure Service Container」で、独自のアドレス空間とファイヤウォールを備えたコンテナでOSやアプリを動かし、それらが他のプログラムと情報をやり取りするのを防止できる。
もちろん、メインフレームである「IBM LinuxONE」「IBM Z」のSecure Service Container(SSC)を使用すれば、メモリが最大1Mバイトだったメインフレーム「System/360」よりも、ほんの少し多くのことができる。IBM Cloud Privateは、コンテナ化されたアプリケーションの開発や管理が可能なPlatform as a Service(PaaS:サービスとしてのプラットフォーム)環境で、コンテナオーケストレーションシステム「Kubernetes」がベースになっている。
IBMによると、SSCはIBM Cloud Private内で、現在のメインフレームハードウェアに組み込まれた機能を利用して、データの保護や、内部および外部の脅威防止、データコンプライアンス施策の簡素化に役立つという。そのために、以下の3つの機能が利用される。
インストール中の不正操作防止
これは、ブートプロセス全体に署名して暗号化し、不正操作防止機構を備えて保護された論理区画(LPAR)環境でしか実行できないようにして実現される。ブートローダイメージも、不正操作や別のものとの交換ができないように署名される。
管理者のアクセスを制限して、特権ユーザーの認証情報の悪用を防止
SSC内でアプリケーションを実行している間は、プラットフォームやシステムの管理者でもコードにアクセスできない。データへのアクセスはアプライアンスによって管理されるので、不正アクセスは無効だ。SSCは、LPARへのメモリアクセスを提供する外部インターフェースもすべて無効にする。
使用中および保存済みデータの自動暗号化
転送されたデータはすべてOpenSSLによって保護される。暗号化の速度向上のため、現行世代のIBMのメインフレームは、組込型暗号化プロセッサを使用している。
IBMのコンテナは現在、従量課金モデルで提供されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。