眞鍋氏
Webサイトを検索して、IIJディレクトリサービスを見つけました。見積もりを取らせてもらって、お付き合いが始まりました。
亀田氏
最初の打ち合わせから、しっかりした技術力を持っているのだという印象を強くしました。実際、Active Directoryのサービス化を提供している大手ベンダーがIIJ以外にはあまり見つからないなかで、最初の打ち合わせで技術力を感じたことは好印象でした。
眞鍋氏
実は、サーバがWindows Server 2008と古かっただけでなく、Active Directoryの機能レベルはさらにもう1世代前の2003だったのです。これをどのような形で現行のサービスに適した形に移行するかが課題だと感じていました。
IIJに相談したところ、問題は大きく2つありました。まず、機能レベルが2003のままではIIJディレクトリサービスに情報を引き継げないという問題。もう1つは、サポート期限が到来しているWindows Server 2008をIIJディレクトリサービスに移行することもできないという問題でした。
眞鍋氏
複数のステップによる移行の方法を提示されました。移行フェーズ1では、Windows Server 2012のActive Directoryサーバをドメインコントローラーとして追加してMicrosoftのサポートを受けられるようにします。フェーズ2では、まずActive Directoryの単一操作マスターであるFSMO(Flexible Single Master Operation)を、追加したWindows Server 2012のActive Directoryサーバに移行します。そして機能レベルを2003から2008に引き上げ、Active Directoryの健全性チェックを実施します。フェーズ3で、FSMOをIIJディレクトリサービスに移行します。こうすることで、Active Directoryの機能レベルとWindows Serverの世代の問題を解決できるという提案でした。
亀田氏
移行の手順はIIJからの提示で納得しましたし、ある意味でこれしか方法がないということで受け入れることにしました。こうした提案をレスポンスよくもらえたこともIIJにお願いすることにした決め手の1つでした。
眞鍋氏
IIJのWebサイトには多くの事例が掲載されています。そのなかにIIJディレクトリサービスを導入した他社の事例もありました。こうした先行事例があることも、信頼感につながりました。
眞鍋氏
2020年3月ごろに最初の問い合わせをして、7月に正式に発注して導入を開始しました。Active Directoryサーバの移行は、IIJの提案に従ったステップで進めていきました。
亀田氏
想定していないエラーが発生したこともありましたが、IIJにその都度問い合わせをすることで解決していきました。こうした対応はとても迅速で心強かったです。
眞鍋氏
IIJのサービス設備と社内ネットワークの接続回線は熊谷組で用意しました。回線の敷設に時間がかかり、思わぬところでスケジュールの調整が必要になりましたが、2020年12月に回線が開通し、IIJディレクトリサービスが2021年1月に利用できるようになりました。
亀田氏
IIJにお願いできない部分、すなわち熊谷組の内部で進めなければならないところが実は大変でした。Active Directoryサーバを移行するとなると、DNSの参照やDHCPの機能の移行も同時に進めないとActive Directoryサーバへの接続ができなくなります。しかし、熊谷組には50ヵ所ほどの営業所と、数百の作業所があります。これらのルータなどの機器は必ずしも統一されているわけではなく、拠点ごとに設定の仕方なども異なっています。
すなわち、Active Directoryサーバの切り替えに対応するための手順も拠点ごとに異なるのです。順番に検証しながら手順を確認し、それを踏まえながらスケジュールを組んで移行の準備をしていきました。
眞鍋氏
専用のVPNルータを使っている拠点や、ソフトウェアで制御している拠点などまちまちで、手順書を作ったり遠隔コントロールの手法を確認したりと、手間がかかりました。つながらないと困るので慎重になった部分です。
2021年3月には、旧Active Directoryサーバを完全に停止しました。スケジュールを組みながら段階的に移行していったのでスムーズに進みました。
亀田氏
実際には、事前に案内していても設定を変更していないユーザなどもいましたが、これは想定の範囲内というところでした。計画はうまく実現できたと考えています。
眞鍋氏
パフォーマンスの面で気になる点はありませんし、私たちのストレスフリー化という意味でも貢献してくれています。
亀田氏
そうですね。これまでは障害などで再起動しないといけない場合がありましたが、そうしたことがなくなったことは大きなメリットです。さらに、今後、今回のようにWindows ServerのOSが古くなったようなときにも、アップデートやメンテナンスのことをこちら側で考えなくてよくなったことはありがたいと感じています。もちろんそのためにクラウド化しているのですけれど。
眞鍋氏
Active Directory関連はこのプロジェクトで完了しました。現在はセキュリティ関係に注目しています。ゼロトラストやSASE(Secure Access Service Edge)など新しいキーワードが多く出てきている状況で、ネットワークの状態をどのように変えていくといいか、IIJと一緒に考えていけたらいいと思います。
※ 本記事は2021年6月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。
OSのサポート期限を迎えActive Directoryのサービス化を模索
熊谷組の最近のトピックスを教えてください。
熊谷組 眞鍋準次氏
土木と建築から1つずつご紹介します。1つは土木で、熊本地震で崩れた斜面を直す「阿蘇大橋地区斜面防災対策工事」。この現場は地盤がゆるく、二次被害を防ぐために無人化施工を全面的に採用しました。迅速で安全な災害復旧工事の実施に対して、日本建設業連合会が主催する日建連表彰2020で「土木賞」をいただきました。
建築では住友林業と協業して、中大規模木造建築ブランド「with TREE」を立ち上げました。集合住宅や事務所などで4階~6階建ての建物を木造化・木質化するものです。木を使って、低炭素で健康な社会づくりに貢献するものです。
そうした先進的な活動を支える情報インフラにも、変化があったと聞きます。
眞鍋氏
2021年3月に、MicrosoftのWindowsシステムの認証機能であるActive Directoryをクラウド上のサービスに移行しました。Active Directoryは社内システムの認証基盤として根幹を支えるシステムであり、障害が起きると全従業員に影響が及びます。これをIIJの「IIJディレクトリサービス for Microsoft」(以下、IIJディレクトリサービス)に移行しました。
Active Directoryのサービス化を実施することになった背景を教えてください。
眞鍋氏
熊谷組では、2010年頃から物理サーバを仮想化する取り組みを進めてきました。また、2015年頃からは、プライベート型のIaaSサービスへの移行も進めてきました。しかし、そこでもいくつかの課題が浮上してきました。
1つは、仮想化したActive Directoryサーバに障害が起きて再起動するケースが増えてきたことです。Active Directoryサーバの再起動は手間のかかる処理で、こうした事態を減らしたかったのです。もう1つは、IaaSの仮想サーバのリソース不足です。Active Directoryサーバ以外にも多くの仮想マシンが動くようになり、メモリやハードディスクが不足するようになってきました。
そして決定的だったのが、Active Directoryサーバとして使っていたWindowsサーバのOSのサポート切れの問題でした。Windows Server 2008を使っていたため、2020年1月までの延長サポートをさらに延長しても、耐用年数には限りがあります。2019年にはリプレースの本格検討を始めました。
リプレースの方向性はどのようなものでしたか。
シーイーエヌソリューションズ 亀田栄一氏
シーイーエヌソリューションズは、熊谷組のシステムを担当しています。Active Directoryはサーバの規模が大きいため、IaaSとはいえ今後も自社でリソースを持ち続ける方向性は考えられず、サービスを提供するベンダーを探すことになりました。また、サービスを利用してActive Directoryサーバを外に出してしまうことで、利用しているIaaSのリソース不足を解消したいという狙いもありました。
眞鍋氏
熊谷組の方針として、クラウド化を積極的に推進して社内に資産を持たない方向にあったことも背景です。