4月23日(英国時間) 、Canonicalは「Ubuntu 20.04 LTS(開発コード"Focal Fossa") 」の提供を開始 しました。Ubuntu 18.04以来、2年ぶりのLTS(Long Term Support: 長期サポート)版となります。
今回のリリースにおいてCanonicalは「フルスタックのセキュリティを、クラウドからエッジまで(Full Stack Security from Cloud to Edge) 」というコンセプトを掲げており、セキュリティを中心とするエンタープライズユースに特化したエンハンスをいくつも盛り込んでいます。これまでのLTS以上に、エンタープライズユーザを積極的に"獲りにいく"という姿勢が強くあらわれている印象です。
では"Fossa"ことUbuntu 20.04 LTSではエンタープライズ向けにどんな強化が図られているのでしょうか。本稿では4月23日にオンラインで実施されたCanonicalによる報道関係者向け発表会の内容をもとに、Canonical/Ubuntuのエンタープライズ戦略を概観してみます。
Ubuntu 20.04 LTSのマスコットであるフォッサはマダガスカルの森に棲む、マングースに似た食肉獣。身体と同じくらい長いしっぽが特徴
Ubuntuのレイヤ別セキュリティ対策状況
まず、FossaのリリースにおいてCanonicalがもっとも強調する"フルスタックセキュリティ"が意味するところから見ていきましょう。CanonicalはUbuntuが提供するセキュリティをのレイヤを以下の5つに分けています。
オペレーション
アプリケーション
OS
カーネル
ハードウェア/クラウド
ステファン・ファベル(Stephan Fabel)氏
このうち、下位レイヤの3つ(OS、カーネル、ハードウェア/クラウド)に関してCanonical 製品担当ディレクター ステファン・ファベル(Stephan Fabel)氏は「これまで非常に良い実績を残してきており、今回のFossaではさらにセキュリティが強化された」と強調しています。FossaはカーネルにLinux 5.4 LTSを採用しており、Linux 5.4で取り入れられたロックダウン機構などのセキュリティ実装は当然含まれていますが、加えてLinux 5.6でメインラインに統合されたVPNプロトコル「WireGuard」もビルトインサポートしています(Ubuntu 18.04 LTSへもバックポート) 。
Linux 5.6でメインラインに統合されたVPNプロトコル「WireGuard」の作者であるJason Donenfeld氏によるエンドース。Ubuntu 18.04 LTSにもバックポートされる
また主要ソフトウェア/ファイルシステムのアップデートにともなうセキュリティの改善も進んでおり、たとえば「OpenSSH 8.2」によりFIDO/U2Fに準拠したハードウェアデバイスがサポートされるため、より安全な多要素認証が実現しています。
そしてカーネルアップデートにともない、FossaではIBM、Intel、Raspberry Pi、AMDのハードウェアサポートが大きく改善されました。ここでとくに注目したいのがIBMのメインフレーム「IBM Z」およびLinuxサーバ「IBM LinuxONE」に特化した「IBM Secure Execution Environment」のサポートです。
IBM Secure Execution Environmentはハードウェアレベルで特定のワークロードをセキュアに隔離するTEE(Trusted Execution Environment)という技術をベースにしており、IBM Z/LinuxONEでマルチテナント/ハイブリッドクラウド環境を構築する際、一部のワークロード ―たとえばブロックチェーンや機密性の高い情報を扱うデータベースを他のワークロードやハイパーバイザ(悪意ある管理者含む)からアクセスできないよう、Kubernetes(KVM上)のPODにセキュアに隔離するメカニズムです。
IBM Secure Execution Environmentをホスト/ゲストともにサポートするOSは現時点(2020年5月)ではFossaだけで、IBMの傘下企業であり、Canonicalの競合でもあるRed Hat(RHEL)ですら現状ではゲストOSのみのサポートとなっています。こうしたところにUbuntu/Canonicalのエンタープライズにおけるユニークな優位性を見ることができます。
IBMからのエンドース。FossaはIBM ZおよびLinuxONEにもっともセキュアな環境を提供する
“ケーキのトップ”へのアプローチ
「正直言うとアプリケーション/オペレーション ―いわゆる"ケーキ(スタック)のトップレイヤ"に関しては下位レイヤほどには力を入れてこなかった。しかし今回はケーキの上のセキュリティも強化し、カバレッジを大きく拡張した」とファベル氏。ここではFossaの"ケーキのトップレイヤ"における主要な2つのセキュリティ関連アップデートについて紹介します。ただし、いずれもFossaの前にリリースされたサービスであり、Ubuntu 16.04/18.04などFossa以外のバージョンでも利用可能となっています。
CanonicalはUbuntuのセキュリティを5つのレイヤに分けている。下位レイヤに対してはこれまでも注力してきたがFossaではよりロバストになったと強調
Ubuntu Pro on Public Cloud
Canonicalは2019年12月、「Ubuntu Pro」 というパブリッククラウドユーザ向けプログラムの提供を開始しました。これは特定のパブリッククラウドのユーザに対し、従来からCanonicalが提供する有償サポートプログラム「Ubuntu ESM(Extended Security Maintenance) 」に加え、カーネルライブパッチ、MongoDBやApache Kafkaなどのオープンソースワークロードのパッチ、当該パブリッククラウドの特定のサービスとの統合などを含んだクラウドイメージを提供するサービスで、現時点では「Ubuntu Pro for AWS」と「Ubuntu Pro for Azure」が用意されています。AWS、Google Cloud、Azureからはすでにそれぞれのパブリッククラウドに最適化されたFossaのイメージが提供されていますが、Ubuntu Proはそれとは別にインスタンスを作成する必要があります。
主要クラウドベンダと提携し、パブリッククラウドユーザに対してセキュリティパッチやオープンソースワークロードのサポート込みでUbuntuインスタンスをサブスクリプション提供する「Ubuntu Pro」 。AWSとAzureはすでに開始されている
Ubuntu Proは、Ubuntu ESMがこれまで提供してきた最大10年間のOS/主要パッケージ+3万以上のオープンソースパッケージのアップデート/セキュリティメンテナンスを、ユーザ数の多いパブリッククラウドにも適用していくアプローチといえます。ファベル氏はUbuntu ESMについて「他のエンタープライズLinuxよりも幅広いレンジのオープンソース向けセキュリティカバレッジだと思っている」と自信を見せていますが、Ubuntu Proを提供することで、クラウド上のオープンソースワークロードまでそのカバレッジを拡げ、セキュリティの向上とともにサブスクリプションビジネスの拡大を図ろうとしているようです。
Ubuntu ESMはOSだけでなく3万以上のパッケージを最大10年間に渡ってサポートする有償プログラム
マネージドオープンソースをあらゆるアプリ/クラウド/Kubernetesで
Fossaのリリース開始の3週間前となる4月2日(英国時間) 、CanonicalはPostgreSQLやElasticsearch、Apacche Kafkaなど人気の高いオープンソースアプリケーションをマネージドサービスとして提供する ことを発表しました。このサービスは単なるSaaSとしての提供ではなく、ユーザが希望するアプリを希望する環境 - パブリッククラウド、ベアメタル、Kubernetes、OpenStack、仮想環境などにデプロイし、スケーリングやセキュリティパッチ、ソフトウェアアップグレード、モニタリングといった運用をCanonicalが担当するサービスです。第三者機関による認証としてクラウド事業者やマネージドサービス事業者で構成される「MSPAlliance」より「CloudVerify」というサーティフィケーションを受けています。
現時点で提供するマネージドサービスの数はまだ限られていますが、ファベル氏は「顧客のニーズを見ながら提供可能なオープンソースを増やしていきたい」と語っており、今後も徐々にメニューが拡大されていく予定のようです。
マネージドサービスでサポートされるオープンソースの一覧。このほかにMongoDBのコミュニティエディションもサポート対象となっている
Ubuntu Proもマネージドサービスも、OS/クラウドの上で動くオープンソースワークロードにフォーカスしたオファリングとなっています。ファベル氏は「多くのエンタープライズユーザが主要なワークロードをオープンソースで動かしたいと望むようになってきている」とコメントしていましたが、最近ではそれに加え"オープンソース on パブリッククラウド"を次世代のワークロードに選ぶ流れが目立つようになりました。
しかし、オープンソースをセキュアに、かつコストエフェクティブに運用していくことは一般のユーザ企業にとって簡単ではありません。AWSをはじめ、オープンソースのマネージドサービスを提供する企業はすでに数多く存在しますが、世界でもっともインストールベースの多いLinuxディストリビューションの開発元であるCanonicalがインフラを含めてオープンソースワークロードにフォーカスするという戦略は、スケールとコストとセキュリティのバランスにつねに悩まされるエンタープライズ企業にとって選択肢のひとつになりうる可能性は十分にあるでしょう。
デスクトップからビジネスインフラへ
日本市場でもUbuntuを採用する企業は徐々に増えており、Canonical日本法人でリージョナルセールスマネージャを務める柴田憲吾氏は「日本市場では過去3年間で30%ずつ上がっている」と語っており、導入企業としてYahoo! JAPAN、SBI BITSなどの名前を挙げています。導入する日本企業の特徴として、柴田氏は「エッジデバイスでUbuntuを使いたいという声をよく聞く。また、新しい技術をより速くサービスに投入したいという企業からの問い合わせも多い」とコメントしていました。
柴田憲吾氏氏
この"サービスを速くローンチする"というニーズにUbuntuを選ぶというトレンドは海外でも同様で、ファベル氏は「この2年間、ゲームやテレコムなど、クレージーにサービスをスケールする企業によるUbuntuの導入が増えた。たとえばオンライゲームのプラットフォーマーであるRobloxはUbuntuを次世代インフラとして導入し、その上で動くコンテナの数を20万までスケールさせている」と説明しています。最新の技術、最大のスケール、そして最速のビジネスローンチを期待する先進的な企業での導入が増えているのは、レガシーな業界に多くの顧客をもつ競合のRed Hatと比較すると興味深い点でもあります。
エンタープライズ市場へのより強いコミットを示したCanonical/Ubuntuですが、個人的には市場の多様性という観点からも、ユーザ企業にとって選択肢が増えることは歓迎すべきだと思います。もっともUbuntuはデスクトップ/個人ユースのディストリビューションという印象が強く、ファベル氏も「我々のルーツはデスクトップであり、それを忘れたことはない。そしてFossaは最高のデスクトップOSに仕上がっている」と明言しており、コンシューマ関連のアップデートについてもいくつか紹介していました(本稿では割愛します) 。
ただ、デスクトップに関しても、新しい認定済みハードウェアとしてDell、HP、Lenovoのワークステーションを認定したり、SlackやSkype、JetBrainsなど多くの商用アプリケーションがFossaに対応済みであったり、Windows 10との密な統合だったりと、パートナー企業との関係性を前面に出したアップデートが多く見られます。パートナーシップの拡大とエコシステムの確立はエンタープライズ市場での成功に欠かせない要素であるだけに、今後は顧客数の拡大とともにUbuntuならではのメリットを生かしたパートナーシップをいかに構築していくかが、Canonicalにとっての重要なチャレンジになりそうです。