―分かっているようでホントは知らない― ネットワーク健全化のポリシーを作ろう:ネットワーク運用管理入門(2)
本連載は「ネットワーク運用管理の基礎」について紹介していきます。読者の皆さんは、「ネットワーク運用管理」と聞くと、多分「あ、あんなことかな?」と、その実作業については何となく理解していることかと思います。この連載では、その「何となく」をもう少し体系立て、まとめることを目的とします。第2回は、運用管理の原則となる「ポリシー策定」の実作業を紹介します。
ネットワーク運用管理のポリシー設計
前回の「ネットワーク健全化計画を立てよう」では、ネットワーク運用管理の業務内容を紹介しました。今回は、もう一歩踏み込んだ作業内容を解説しましょう。
ネットワーク運用管理の設計を行うに当たって、まず行わなければならないのが、さまざまな事柄を決めていくうえで必要となる、組織としてのポリシー(方針)作りです。このポリシーが決定されていて初めて、さまざまな事柄を具体的に検討、決定していくことができます。
図1 ポリシーは運用管理の「機能」「体制」を決める大原則ポリシーとは、運用管理作業を行ううえでの要件でもあります。以下に要件項目の例を紹介していきます。
| 要件項目 | 内容 |
|---|---|
| 費用 | ・ 運用におけるランニングコスト (別途構築におけるイニシャルコストもあり) |
| 目標 | ・ MTBF、MTTR ・ 性能 |
| 設備 | ・ 必要な施設、および施設内の設備、備品など |
| 対象範囲 | ・ 物理的な範囲(機器、回線など) ・ 論理的な範囲(システム、ソフトウェア、データなど) |
| 運用時間帯 | ・ 通常運用時間帯 ・ 障害監視時間帯 ・ ノンストップ運用要否 |
| 運用方法 | ・ リアルタイム監視要否 ・ 常駐要否 |
| 体制 | ・ 自主/委託 ・ 常駐要否 ・ 要員教育 |
| セキュリティ | ・ セキュリティに関する考え方など |
| 表1 ポリシーを策定すべき要件例 | |
【費用】
当初システムを構築する際に、まず構築(イニシャル)コストが必要ですが、ポリシー策定ではその後の運用(ランニング)コストをどうするかを決めておく必要があります。運用のための費用は、管理担当者の人件費やアウトソーシング費用が主なところとなります。
いくらまでなら出せるという考え方と、逆に最低限必要なことを行うためにはいくら必要なのかという考え方の、双方からのすり合わせが必要です。初めから総予算枠が決まってしまっているケースの場合、管理担当者がそれぞれの項目ごとに予算の割り振りを考えていくことになりますが、そうではない場合、ポリシー項目ごとに必要なコストを積み上げていき、最終的に総予算として、経営層の承認を受けることになるでしょう。その場合、ポリシー項目を決定するごとに経営層の承認を受けるようにしておくと、最終的な総予算の承認を受けやすくなります。
【目標】
運用管理業務を行うためには、目標の設定が必要です。
目標は、ネットワークを利用する各業務システムのエンドユーザーが、業務システムを利用するうえで要望する値ということになります。自主管理を行うのであれば、それはそのまま管理担当者への要望ということですし、管理をアウトソーシングするのであれば、目標値は管理担当者を経て管理ベンダへと伝えられることとなります。
管理担当者にとって、目標設定はある意味で自分の首を絞めることにもなるのですが、この値を明確にすることによって、必要コストを明確にすることもできます。エンドユーザーがさらなるサービスレベルを要求してきた場合、追加のコストが必要なことを、経営層に明確に認識させることができるようになります。
例えばMTBF(Mean Time Between Failure:平均故障間隔)やMTTR(Mean Time To Repair:平均修復時間)といった項目などが、運用管理業務自体を測る指標になります。ネットワークを利用する業務システムの要件によって目標値はさまざまだろうと思います。一般的に金融機関のオンライン業務などの勘定系業務では、非常にシビアな値になりますが、いわゆる情報系業務などではもっと緩やかな値になるはずです。
図2 ダウンタイムの目標値またシステム自体の評価として、障害監視項目にもつながる性能測定は欠かせません。性能測定を行う項目としては、例えば
- レスポンスタイム
- スループット
- 帯域幅
- 遅延(delay)
- 回線利用率
- 呼損率
などが挙げられますが、いずれも明確に「これが正解」があるわけではなく、業務システムを利用しているエンドユーザーの感覚として、ストレスなく使えるか否かが主体となります。ストレスなく使える状態での、各測定項目の値が1つの目標値であるわけです。
これらは一般的には、SLA(Service Level Agreement:サービス品質保証契約)と呼ばれるものにつながっていきます。
【設備】
運用を行っていくのに必要な施設などがあれば、その要件を決めておきます。また、施設内で使用する設備、および備品なども検討の対象となります。
一般的なシステム運用管理であれば、施設というとコンピュータセンターなどがこれに当たるわけですが、ネットワークの運用管理の場合、ネットワークという、基本的には機器間をケーブルで結んだものが対象ですので、あまり明確に「施設」と呼べるものはないかと思います。ただしネットワークを構成するケーブルや機器類(ルータやスイッチなど)をネットワーク「設備」と考えれば、かなり広範囲にさまざまな事柄について決めていく必要があります。
例えばケーブルについて、メタルでよいのか、それとも将来的な拡張性を見込んでファイバにするのか。またケーブルの材質について、壁内や床下を這わせるに当たって、消防法などの見地から、特定の材質でなければいけない場合もあります。さらに床下配線をする場合のフリーアクセスの利用の有無、床や壁面へのLANポートの設置などを検討します。最近ではケーブルを床下に這わせるよりも、工事やメンテナンスの手間が省けるということで、無線LANを利用するケースが増えていますが、その場合のアンテナ設備などの検討も別途必要となります。
それから、そもそもの「設備」範囲として、電源についての検討が必要になります。当初の電源容量や以降の拡張性、バックアップ用の電源の有無、さらにLANポートと同様に、床や壁面への設置の要否なども検討します。
このように設備面での検討は、場合によって費用にかなり大きく跳ね返るような工事を必要とする事柄が多くありますので注意が必要です。
【対象範囲】
運用管理を行う対象範囲を明確にする必要があります。特にネットワーク管理者のほかに、業務システムの管理担当者がいるのであれば、その担当者との作業分担範囲を明確にする必要があります。
一般的にはネットワークを構成しているルータやスイッチなどの機器や、回線そのものなどの物理的な範囲での検討ということになりますが、場合によっては各コンピュータ上で稼働するさまざまなアプリケーションや、データなど、どちらかというと論理的なものも含めて検討を行う必要もあります。これはつまりサーバコンピュータなど、エンドユーザーにさまざまなサービスを提供する、コンピュータ上で稼働している業務システムの種類によって、さまざまなトラフィックをネットワーク内へ流すことになるわけで、それらを把握しておく必要があるからです。各アプリケーションがどのようなプロトコルを用い、またどのようなタイミングで、どのようなトラフィックを発生させるのかなど、特に性能(パフォーマンス)管理の分野では大切な基礎情報となります。
また、外部の通信事業者によって提供される回線サービスを利用するような場合は、やはりどこまでが自社による管理の範囲であり、どこからが通信事業者の管理担当分なのかを明確にする必要があります。
【運用時間帯】
運用管理を行う時間帯を明確にします。これは別項目の運用方法であるとか、体制などにもかかわる項目ですが、まずは運用対象であるシステムを利用する実業務の要件から検討していきます。システムを運用できる時間帯という意味での、通常の運用時間帯や、障害発生の有無を監視するという、障害監視時間帯などを検討します。
通常ネットワークというものは24時間、365日稼働しているもの。稼働していて当たり前という意識がエンドユーザーにはあります。「その実現のためにはどうしたらよいか」を基本に検討を重ねていくことになるでしょう。
簡単なオフィスLANであれば、放っておいても大概は支障もなく、なんとかなってしまうことでしょう。またいざ障害が発生したとしても、多少の利用不能状態なら、ユーザーは寛大に許してくれるかもしれません。しかし、これがミッションクリティカルな、例えば金融機関のオンラインシステムで利用しているネットワークであったら「放っておく」であるとか、「寛大に許してくれるだろう」などとは、管理者はまず考えないでしょう。
まずは検討の対象となるネットワーク、ひいてはそれを利用する業務システムの要件を確認することが必要となります。そのうえで、要件を実現するために必要な技術、設備、体制などを検討していくのですが、それだけでは十分ではありません。別途、費用面でのすり合わせが必要となります。実現方法と費用は、通常トレードオフの関係にあります。実現に必要な十分な費用予算が確保できれば申し分ないわけですが、そうでない場合は、業務要件からその実現に必要な費用を算出し、経営層による判断を仰ぐことになります。
図3 業務要件の実現にかかるコスト【運用方法】
障害監視の方法として、常時リアルタイムでの監視が必要なのか否かを検討します。また運用業務要員が常駐していなければならないのか否かなども検討します。
運用の方法として、拠点ごとに運用管理を行うのか、それともリモートによる集中監視とするのかを検討します。
拠点ごとにある程度の技術レベルを持ったユーザーがいるのであれば、そのようなユーザーを拠点担当の管理者として教育していくなどの方法が考えられますが、それが見込めないということであれば、リモートによる集中監視を基本に運用方法を決めていくことになります。
前述の【運用時間帯】や、次の【体制】などとも併せて検討していくことが必要です。
【体制】
自社要員による自主運用とするのか、外部の専門の会社に委託するのかを検討します。また、常駐の体制を取るのか否か、24時間体制を取る必要があるのか、などを検討します。
通常各拠点に自社要員を管理者として配置できればベストだと思います。しかしよほど大規模なシステムでない限りは、そのような体制を組むことはなかなか難しいものです。そのような場合に外部の専門の会社に管理を委託することなどを含めて検討していくわけですが、外部業者に委託すれば、必要な人員の確保ができ、専門業者としての知識を持って管理を行ってもらえる半面、自主運営に比較してコストがかさむ、柔軟な対応が難しいなどのデメリットもあります。
また要員の確保、補充の方法に関しても検討が必要です。自社要員といっても、運用管理を専門とする要員なのか、それとも本来の業務の傍らに、必要に応じて運用管理作業も行うのか、などを検討します。対象のネットワーク規模にもよりますが、なるべく専門の要員を確保したいところです。さらにそのような要員を自社で育成ということであれば、その要員に対する教育方法に関しても検討が必要です。
【セキュリティ】
ここでは一応セキュリティも管理項目に挙げたのですが、最近のネットワーク事情ではセキュリティは「必須」の事柄であり、それだけ多岐にわたるポリシーの設定が必要になってきています。具体的にはBS7799やISO17799、またはISMSなどの標準規格によって規定されたポリシーのフレームワークがありますので、これらを利用するとよいでしょう。
BS7799とISMS
BS7799とは、「BSI(英国規格協会)によって規定される、企業・団体向けの情報システムセキュリティ管理のガイドラインのことを指す。特にセキュリティの運用管理に重点が置かれている点が特徴」というものです。また、ISO17799はBS7799のISO版です。
ISMSは「個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」というものです。
いずれもセキュリティを扱った以下の@IT連載記事で詳細が紹介されていますので、参照してください。
ネットワーク運用管理の設計
ポリシーが定められたところで、実際の運用管理の設計に入っていくわけですが、これは日々の運用を行う「通常時運用」、障害発生時の対応としての「障害時運用」、そしてシステムのアップデートなどの変更を行う「保守」それぞれごとに、スケジュールであるとか、実施方法、および実施体制などに関して、ポリシーに基づいて細かく決めていく作業となります。
この部分はポリシーの内容によって、それこそ千差万別となりますので、これが正解というものはありませんが、例えば目次レベルでは以下のような感じになるかと思います。
ネットワーク運用管理マニュアル(目次例)
- 運用方式の基本的な考え方
- 通常時運用
- 障害時運用
- 保守
- 運用体制
- 通常時運用
- 監視作業項目
- 監視装置ハードウェア構成
- 監視装置ソフトウェア構成
- 監視装置システム構成
- 監視体制および報告ルート
- 監視方式
- 障害時運用
- 障害対応体制および連絡ルート
- 障害対応作業フロー(共通)
- 障害対応作業フロー(個別)
- 障害対応作業記録内容および報告方法
- 保守
- 保守体制
- 保守スケジュール
- 受け付けおよび連絡ルート
- 保守作業フロー
- 本番リリース方法
以降、そのほかの管理項目の詳細へと続く……
ネットワーク運用管理の設計時のポイント
ネットワーク運用管理を設計する際にポイントとなる点を「通常時運用」「障害時運用」「保守」の各観点からまとめておきますので、参考にしてください。
通常時運用
- 仮にリアルタイムでの障害監視を行うとした場合、それは頻繁に情報の収集を行わなければならないということであり、情報の収集をSNMPにより行うとした場合、それだけ大量のSNMPパケットがネットワーク内を流れることとなります。実業務の要件を見定めたうえで、監視の間隔や方法を検討する必要があります。
- 昨今の企業内ネットワークを利用するエンドユーザーには、それなりの知識が備わってきています。EUC(End User Computing)の流れを考えれば当然の結果なのですが、運用管理を行っていくうえでは、この要素を無視できません。エンドユーザーは場合によって、運用管理者が思いもつかないようなことを行います。どこまでエンドユーザーに扱わせるかから検討し、もし仮に問題が発生した場合の対策も含め検討する必要があります。
障害時運用
- 最近のシステムにおいては、ネットワークはある意味「ライフライン」ともなっており、その障害は、ネットワークだけでなくシステム全体に及ぶものとなります。そのためネットワークの障害は、できる限り短時間に収束させる必要があります。即応体制を整えることはもとより、あらかじめ想定される障害に応じた対応手順をマニュアル化して備えておくなどの用意も必要です。
- 実業務の重要度によっては、ネットワーク障害による遅滞が許されないものもあります。そういった要件によっては、個別にバックアップ経路を設けることを検討する必要があります。ただしその場合、メイン経路の帯域幅に比べ、バックアップ経路の帯域幅があまりに貧弱だと、せっかくバックアップ経路を設けても、結局は使えないということにもなります。特にWAN回線におけるバックアップの考え方に注意が必要です。
保守
- 機器の定期点検および関連施設、回線の計画的な一時停止などについては、実業務の稼働時間を考慮したうえで、各業務担当者と事前に調整する必要があります。
- 最近話題のVPNや広域LANは、WAN並みに遠距離を接続するものであるにもかかわらず、接続方式がLANと同様であったりします。保守を行うに当たって、これらVPNや広域LANに関しては、特にその特性を十分把握して行う必要があります。
- ただ単にネットワーク機器だけを対象とせずに、それらの機器を動かすために必要な周辺の環境についても注意する必要があります。例えば、ネットワーク機器は通常電源を必要とします。ネットワーク規模を大きくする際、十分な電源設備、容量があるか否かのチェックが必要になるはずです。
本稿では、ネットワーク運用管理のためのポリシー作成とマニュアル設計の例を解説しました。次回は障害発生時の対応など、実務に即した作業内容を紹介する予定です。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。