スパコン京 一般共用の前提となる高いセキュリティをGléasで

クラウド/ Webサーバ

課題と解決策

  1. SSHと同等のセキュリティ強度でユーザを認証
     →電子証明書とパスフレーズを持つユーザのみ接続可能
  2. 管理者によるユーザ登録と証明書発行
     →既存のユーザ管理システムと連携し、電子証明書を一括発行

独立行政法人理化学研究所が設立した計算科学研究機構が運用している「京」は、2012年の完成時点で世界一の性能を認められたスーパーコンピュータだ。その能力を広く活用してもらうため、2012年9月28日から一般共用が行なわれている。

国内外の研究者が利用できるようインターネットを通じて公開される京は、電子証明書をベースとしたセキュリティで守られている。支えているのはGléasだ。

毎秒1京回の演算能力を持つ「京」 一般共用のためセキュリティ確保が必須

2006年にプロジェクトがスタートし、2012年6月に完成したスーパーコンピュータ」。10.51ペタフロップス(毎秒1.051京回の浮動小数点演算能力)を誇るシステムは、特定の用途に特化しない汎用性を備えており、2012年9月から各分野への一般共用も始まっている。その運用を担っているのが、計算科学研究機構だ。

「京は、幅広いアプリケーション分野の研究者に使ってもらうための施設です。国内外から利用できるようにインターネットに向けてオープンにされているため、利用者の利便性と接続時の十分なセキュリティを両立して確保されなければなりません。」

そう語るのは、独立行政法人理化学研究所 計算科学研究機構の黒川 原佳氏。研究者が京を利用するためにはSSHを使うが、それ以外にWebベースの利用者ポータルや、リッチクライアントなど、京を利用するためのインターフェイスはいくつか用意されている。

これらのインターフェイスを利用する際のセキュリティについて、独立行政法人理化学研究所 計算科学研究機構の庄司 文由氏は次のように語る。

「利用者ポータルでは、京の詳細な稼働情報を提供しているほか、ファイル操作など簡単な操作を手軽に行なえるようになっています。SSHでは公開鍵を用いたユーザ認証や、暗号化処理をおこなっているので、Webの利用者ポータルやリッチクライアントを利用する際にも、同様のセキュリティを確保することが命題となっていました。」

機能要件を満たすうえにカスタマイズにも対応可能なアプライアンス製品Gléasを採用

セキュリティ対策のための製品選定を始めるにあたり、SSHと同等以上のセキュリティ強度でユーザ認証が可能なこと、アプライアンス製品として導入できること、証明書サーバから直接ユーザに証明書を発行できることなどが要件として挙げられた。その理由を黒川氏は次のように説明する。

「誰が使っているのかが分かればいいので、端末自体を認証するのではなくユーザを認証するというのが基本方針でした。具体的には、電子証明書を使った認証製品を探しました。

またアプライアンスとしての導入を条件としたのは、導入後の運用を特定の技術者に依存しないようにするためです。オープンソースのシステム等を組み合わせてシステムを構築するとどうしても個人の癖が出てしまい、構築した技術者に運用を頼らなければならなくなります。」

さらに運用面を考慮し、ユーザ登録の一括処理が可能なことも求められた。一般的な運用ではユーザ自身に証明書ダウンロードの操作を行なわせるのは珍しくないが、京のユーザ登録に関しては管理者である計算科学機構がパスフレーズ発行や証明書発行の操作を行なう。そのため、一括処理などの機能を持たない認証製品の採用は現実的ではなかった。

これらの条件に合う製品として、共同開発者である富士通から提案されたのがGléasだった。ユーザに向けて直接証明書を発行できる上、CSVによる一括登録処理も可能。さらに、アプライアンス製品でありながら細かいカスタマイズにも対応可能な柔軟性が決め手となったと庄司氏は言う。

「時間的にも余裕がない中で無理を言いましたが、こちらの要望に合わせた追加開発も含めて対応してもらえました。製品の性能だけではなく、技術面、サポート面のすべてが揃っていたからこそ、一般共用に間に合わせることができたと思っています。」

短期開発でスムーズな共用開始を実現 運用負荷も低く利用者増加にも不安なし

実際のシステム構築は、仕様策定が2012年の5月から6月にかけて行なわれ、8月終盤に機器の設置、接続テストという急ピッチのスケジュールで進められた。カスタマイズ部分を含めてテストは順調で、無事に9月28日の共用開始を迎えることができた。

電子証明書のセキュリティを高めるため、運用面でも工夫がこらされている。「まず審査を経て利用を認められたユーザに対して、計算科学研究機構がユーザ登録を行ない、証明書とパスフレーズを発行します。

発行された証明書は自動的にユーザに送付されますが、それだけでは機能しません。別の方法で送付されるパスフレーズと組み合わせることで初めて証明書が有効になる仕組みです。」

証明書だけ、パスフレーズだけがわかっても認証されない仕組みになっている上に送付経路が違うので、盗み取るのは難しいと庄司氏は胸を張る。

共用開始時点での利用者は約300名、取材を行なった10月末時点では約1000名がユーザとして登録されていた。スタートアップガイドを公開していることもあり、操作方法に関する問い合わせなどは特になく、スムーズに利用できているようだと黒川氏は言う。

「国内外にユーザがいますが、皆さんきちんと使いこなしてくれているようです。追加の公募なども予定されており、利用者はこれからも増えていくでしょう。そうなった際に運用負荷が大きくなりすぎないよう、Gléasへのユーザ登録業務はルーチンワーク化してあります。100名や200名増えたくらいでは影響ないと自信を持っています。」

毎秒1京回の演算能力を誇るスーパーコンピュータを使い、具体的な研究成果が上げられるのはまだこれからのこと。その前提となるセキュリティをGléasは支えている。

独立行政法人理化学研究所 計算科学研究機構
本社:〒650-0047 兵庫県神戸市中央区港島南町7-1-26
http://www.aics.riken.jp/

独立行政法人理化学研究所は富士通とともに次世代スーパーコンピューティング技術の開発を進め、2011年11月に目標となる10ペタフロップスの演算能力を達成。計算科学研究機構を設立し、世界最高水準の計算機を幅広い研究分野に活用するために必要な仕組みの構築と運用を担っている。

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ