社内システムの開発・運用担当者向けにセキュリティ対策のポイントを紹介する本連載。最終回は、セキュリティを含めた「ITインフラ運用」全般の勘所を解説します。
社内システムの開発・運用担当の方々に向けて、社内システムにおけるセキュリティ対策のポイントを解説する本連載。前回は、「社内メールシステム」に焦点を当て、セキュリティ対策の勘所を紹介しました。今回は、これからの企業の「ITインフラ」を健全に保つ運用方法について、セキュリティ対策だけでなく、より包括的にポイントを整理します。
ITインフラは、「ハードウェア基盤」と「ソフトウェア基盤」から構成されます。ハードウェア基盤は、サーバ、ネットワーク、ストレージなどを指し、ソフトウェア基盤は、OSやデータベース、あるいはトランザクション処理やジョブ管理などをつかさどるミドルウェアのことをいいます。業務アプリケーションは、この「ITインフラ」上で実行されます。
電気・ガス・水道といった社会インフラはライフラインとも呼ばれ、私たちの生活を支える上で、なくてはならないものです。企業におけるITインフラも同様で、ほとんどの業務がシステム化された現在では、事業や日々の業務を運営するために不可欠なものになっています。従って、業務に支障が出ないように、適切に運用する必要があります。主な例として、以下の5点を実現することが求められます。
これらの要求に応えるため、ハードウェアやミドルウェアの動作を確認しながらバランスを調整し、システムを快適に利用できるようにするのが「ITインフラ運用」です。
企業のIT活用が進み、ITインフラへの依存度が大きく高まったのは1995年ごろからでしたが、それと同時にITインフラ運用は失敗できないものになり、担当者の責任も大きくなりました。また、2000年代に入って仮想化技術やクラウドサービスが登場してからは、コスト削減やセキュリティへの要求も高まり、運用担当者にはさらに多くの責任がのしかかるようになっています。例えば、ITインフラ運用をめぐっては以下のような課題があります。
特に、「ITインフラ運用に完璧を求め、失敗を許さない傾向が強い」点は大きな課題だと筆者は考えています。もしかすると読者の皆さんの中にも、作業の失敗などで上司から叱責を受けたことがある方がいるかもしれません。叱責が必要な場面もあるのかもしれませんが、そうしたことを繰り返すと、担当者のミスや、問題に対する場当たり的な対応を誘発してしまう可能性があります。
問題発生時、現場の運用担当者は責任者以上に緊張感を感じていますから、そんなときこそ「暫定対応とともに、確実に根本原因を突き止め、根本的な対応を行う」という方向に、責任者が運用担当者を冷静に導く必要があります。そうすれば、システム障害やセキュリティインシデントの被害はより少なくなり、運用品質の向上、コスト削減につながります。
さて、ではこうした課題を解決するためには、何を行えばよいのでしょうか? 今、ITインフラへの要求は大きく変化しています。具体的な対応を考える前にまず、これからのITインフラ運用に求められる基本的な考え方を紹介します。
ITインフラ運用への要求は、時とともに大きく変わってきています。これから重視すべき主なポイントとして、以下があります。
スマホやタブレット端末の普及、テレワークを推奨するようなビジネススタイルの多様化などに伴い、いつでもどこでも社内システムを活用したい利用者、利用させたい企業が増えています。近年のクラウドサービスは数年前と比べ、使い勝手や運用の容易さといった利便性が高まり、日本の企業でも一般的に利用されるようになっています。
従って、ITインフラ運用においても、社内に配置されたシステムや情報を社内から使うだけではなく、クラウドサービスや社外端末からの利用も前提にして、社内ITインフラの運用範囲を拡大する必要があります。その上で、今まで通りの品質を確保しなければなりません。
ITが「業務効率化」や「コスト削減」といったビジネスを支援するツールとしての位置付けから、「xxのIoT」や「xxTech」と呼ばれるような、ビジネスの主役にシフトし始めています。ビジネスは、他社より早く新しいサービスを提供し、さらにビジネス環境(規模やニーズなど)の変化に応じてサービス内容を素早く変化させていく必要があります。それに合わせてITインフラ運用も、基盤の拡大縮小、アプリケーションのリリース迅速化などで対応する必要があります。
セキュリティ対策も、ITインフラ運用と同様に、企業のビジネススタイルやそのスピードに見合った形に変化する必要があります。今までのように、システム全体の多層防御で全てを完璧に守ろうとするのではなく、「ビジネスを成立させつつ、本当に大事なデータをしっかり守る」というバランスが大切です。標的型攻撃のような最近のサイバー攻撃は、どれだけ運用担当者が努力をしても、また利用者が十分に気を付けても100%の防御はできません。従ってビジネスとセキュリティのバランスをとった上で「侵入されても早期に気付ける仕組みを作る」「万が一情報資産が流出しても、被害を最小限に抑える」という考え方で対応することが重要です。
また、ビジネスの要求でクラウドサービスを利用する場合、サービス事業者にセキュリティ対策の全てを期待したくなりますが、サービス事業者が対応するのは事業者としての責任範囲に限られます。各企業のデータに対するセキュリティや運用は、各企業で対応しなければなりません。従って、サービスの選択時には自分たちのIT環境やセキュリティルールと相性の良いサービスを選択することが大切です。その上で、クラウドサービスのオプション機能やサードベンダーによる追加機能、クラウド型のセキュリティ対策サービスなどを組み合せて、セキュリティを向上させましょう。
これからのITインフラ運用は、上記の3点をバランスよく考慮して実施する必用があります。以下では、これらを実現するための具体策や考え方のポイントを、「品質」「スピード」「セキュリティ」の観点から紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.