PR

キリンは、仮想デスクトップによるシンクライアント環境を全面導入した。PC約1万4000台分を仮想化し、データセンターに収容。従業員による管理の手間を省き、業務に専念できるようにした。酒席が多い事情を踏まえ、PC紛失に伴う情報漏洩リスクを低減する狙いもある。

[画像のクリックで拡大表示]

 キリンは、2014年末までに従業員が使うクライアント端末のほぼ全数に当たる約1万4000台分を、デスクトップ仮想化技術によるシンクライアント環境に移行した。コールセンターや金融営業など限られた業務分野で導入する例はよくある。だが、キリンのように1万台以上の規模で全社導入に踏み切る例は珍しい。

 キリンホールディングス傘下の国内事業統括会社であるキリンと、さらにその傘下の事業会社であるキリンビール、メルシャン、キリンビバレッジの4社に導入。Windows XPのサポート終了への対応と同時に、ワークスタイル変革と運用コストの削減を狙った。売上高1兆1529億円(2014年12月期)の事業運営を支えることになる。

 「セキュリティ強化と利便性向上のためには、シンクライアントが最適だった」。システム子会社であるキリンビジネスシステム 情報技術統轄部 インフラ技術管理グループの門田晴裕部長はこう話す。

10年使い続けたXPから脱却

 キリンはインフラに関わるIT投資は徹底して抑制し、戦略的なIT投資に振り向ける方針を取っている。この方針に沿って、2002年頃に導入した全社標準のWindows XPのPCを運用し続けてきた。

 コスト抑制の目的でなるべく長く同じPCを使うため、Vistaや7などへの移行は見送ってきたが、さすがに10年が経過し、老朽化による動作不良などが目立ってきた。そこでWindows8が発売された2012年末頃から、クライアント環境刷新を計画。シンクライアントを全面採用した。システム構築はNTTデータと日本IBMが担当した。

 シンクライアントとしてレノボ・ジャパンのWindowsノートPC「ThinkPad X230i」を約1万2000台採用した(図1)。NTTデータ 第四法人事業本部 KIRINビジネス事業部 開発統括部 第一システム担当の古賀篤部長は、「検討時点ではシンクライアントに特化した安価で軽量なマシンがなかったので、一般的なPCの中から選定した」と説明する。

図1 キリングループ4社が導入したシンクライアントの構成
1万4000台分のPCを仮想デスクトップ環境へ移行
図1 キリングループ4社が導入したシンクライアントの構成
[画像のクリックで拡大表示]

 ThinkPad X230iの重さは約1.5キログラム、ディスプレイは12.5型である。外勤者にとって持ち運びやすく、充電なしで丸1日使える。内勤者にとっても比較的画面が大きく使いやすい。

 今では米グーグルのChromebook規格のマシンなど、シンクライアントに向く端末が増えたが、当時は選択肢が乏しかった。内勤者には数万円台の安価なPCを配布する方法も検討したが、機種が増えると運用が複雑化する。内勤者が外勤部署に異動したときなどに、その都度端末交換などの手間も生じる。そのため内勤者と外勤者の両方に使いやすい機種を選んだ。

 ThinkPad X230iのカタログ価格は12万円前後。大量購入による割引を考慮しても、10億円は下らない投資になる。それでも運用効率を重視し、比較的高価格のThinkPadで統一することにした。役員も例外ではなく、事業会社3社の社長も同じThinkPadを使っている。

端末には仮想画面表示ソフトのみ

 ThinkPadのOSには、機能を絞り込んだ組み込み機器用の「Windows Embedded Standard 7」を搭載した。データセンターにある仮想デスクトップ画面を表示するために、シトリックス・システムズ・ジャパンのクライアントソフト「Citrix Receiver」を採用。OSのレジストリで他のソフトやデータを入れられない設定にしている。

 従業員はThinkPadから社内の有線・無線LANや3G/LTEなどの公衆回線を使って、キリンのデータセンターに接続する。個人別のIDとパスワードを入力すると、その利用者用の仮想デスクトップ画面が表示される。OSとアプリはデータセンター側で動作。画面データだけがシトリックスの「XenDesktop」「XenApp」のサーバーから転送される。

 データセンター内に設置した物理サーバーは160台。そのうち仮想デスクトップ用が110台である。1台当たり120~130人分を受け持つ。OSやセキュリティ対策ソフトの更新などは夜間バッチ処理で自動実行。110台の一部が故障しても、別の物理サーバーに自動で切り替わる。

 物理サーバーでは、仮想化OS(ハイパーバイザー)として、ヴイエムウェアの「VMware ESXi」が動作している。このESXiを通じて全社共有ディスクへの読み書きが行われる。こうして見かけ上は、デスクトップ画面も保存データも利用者ごとに異なるものが表示される。PCが1万台以上あるのと同様の環境を仮想的に実現している。

3種類の仮想化機能を併用

 キリンは、3種類の仮想デスクトップサーバーを使い分けている。

 一つは「専用デスクトップ」で、一般的なPCと同様に個人別画面が表示される。端末は約1万2000台だが、工場など一部職場では平均3人で1台を共有するため、専用デスクトップは約1万4000台分ある。中身はWindows 7環境で、「Microsoft Office」など標準アプリがインストールされている。

 もう一つは「共有デスクトップ」だ。主な狙いはソフトのライセンス料を抑えること。社内では、Office以外にも部署ごとにパッケージソフトを利用している。例えばマーケティング部門では、10万円以上する高額な分析専用ソフトを購入して使っている。個々の仮想デスクトップにインストールすると、1万台以上分のライセンス料を支払わなければならない。

 そこで、共有デスクトップを「部署共有PCの仮想版」のように使うことにした。高額なソフトが必要な部署に所属している人は、専用デスクトップから共有デスクトップへと切り替えて使う。所定の部署以外の人は利用できないようにライセンス管理サーバーで制御しているため、ライセンス料は従来と同様で済む。

 三つめは「共有IE」である。シトリックスのXenAppでInternet Explorer 6(IE 6)の機能を仮想的に実現。IE 6でしか動かないWebアプリを使い続ける。同社にはIE 6環境を前提に独自開発したWebアプリが約400本もある。個別に最新のWebブラウザーで動作検証するより、IE 6環境を仮想的に実現したほうが得策と判断した。

 プロジェクトは2013年5月に始まり、2014年3月までにデータセンター側の環境が完成。4月以降に、本社や全国の営業拠点などへ展開し、年末までに約1万4000台分の導入を終えた。ピーク時にはNTTデータやキリンビジネスシステムなどの約90人が構築に関わった。プロジェクト全体の投資額は非公開。「災害対策なども入れると初期投資は通常のPC購入よりも割高。だが、“見えないコスト”の削減分で3年以内に回収できる」(門田部長)と説明する(図2)。

図2 シンクライアント導入による変化
持ち出しの制約解消とコスト削減が狙い
図2 シンクライアント導入による変化
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]

 仮想デスクトップは、常時起動している状態なので、利用者は起動を待つ必要がない。データのバックアップやOS更新などの作業も要らない。従来は1人当たり年間約16時間を費やしていたと試算。1万4000台で年間約22万4000時間の時間短縮効果を見込む。

「飲むなら持ち出すな」を解消

 端末にデータが残らないため、情報漏洩リスクを低減できるセキュリティ上の効果もある。実はこれが、シンクライアント化の最大の理由だった。

 キリンは従来も外勤の営業担当者にはノートPCを配布し、社外への持ち出しを認めていた。ただし、「飲むなら持ち出すな、持ち出すなら飲むな」というセキュリティポリシーがあった。酒類を扱う企業の従業員が飲酒によってパソコンを紛失するトラブルを起こしてはならないからだ。

 一方で、酒類を扱う同社は、顧客訪問時などに自社商品を飲む機会は多い。このため、「夕方以降に飲酒の可能性がある」という日はPCを持ち出せず、事実上オフィスに置いたままになりがちだった。

 シンクライアント化に伴って、「飲酒解禁」が可能になった。万が一端末を置き忘れても、第三者に情報が渡ることはない。

 一般にシンクライアント環境では、通信による遅延が問題になることがある。データセンターから画面データを受信して表示するからだ。ただ、実際には1人当たり100キロビット/秒程度のネットワーク帯域を確保すれば、普通のPCとほぼ変わらない操作感を得られた。「社内ネットワークの通信量は以前よりも減ったぐらいだ」(古賀部長)。

NTTデータ・第四法人事業本部KIRINビジネス事業部開発統括部第一システム担当の古賀篤部長(左)と、キリンビジネスシステム・情報技術統轄部インフラ技術管理グループの門田晴裕部長
NTTデータ・第四法人事業本部KIRINビジネス事業部開発統括部第一システム担当の古賀篤部長(左)と、キリンビジネスシステム・情報技術統轄部インフラ技術管理グループの門田晴裕部長
[画像のクリックで拡大表示]

 東京都にあるデータセンターで大規模障害が起きると、全端末に影響する。そこで、米アマゾン・ウェブ・サービス(AWS)のシンガポールのデータセンターに共有ディスクを除く仮想化環境のコピーを置いている。

 東京で大災害が起きた場合、共有ディスクの個人ファイルにはアクセスできなくなるが、シンガポールの仮想デスクトップを使って、受発注など最低限の業務を継続できる。