ここからはITインフラ運用で「品質」「スピード」「セキュリティ」を実現するための具体的な対応や考え方の10ポイントを紹介します。なおこれらは例ですので、全ての環境で必ずこれらが効果を発揮するものではありませんが、皆さまのITインフラ運用を見直す上で少しでも参考になれば幸いです。
いくらスピードが求められているとはいえ、品質を諦めては本末転倒です。品質を確保するための具体策としては、以下のようなものがあります。
方針 | 具体策や考え方の例 | |
---|---|---|
1 | チェックリストの使用を極力減らす | ・人の目は不確かであるため、問題が起きたときに、対症療法的に手順書やチェックシートを修正するのではなく、根本原因(人的ミス)をつぶす。すなわち、手順書やチェックシートを、大事なものから順に「コード化」「自動化」する |
2 | 構成や運用をシンプルにする | ・ハードウェア構成、ソフトウェア構成のパターンを減らす ・運用手順などもできるだけシンプルにする。特に大事なものは上記のように自動化する |
3 | アプリ開発者と良い関係を保つ | ・ソフトウェア構成のパターンを減らすと、高い確率でアプリケーションに影響を与えるため、アプリ開発者の協力が不可欠となる ・また、手順書やチェックシートの「コード化」「自動化」を効率よく行うためにも、基盤技術者の知識と経験だけでは不足する可能性があるため、アプリ開発者の協力が必要となる |
ビジネスのスピードに追い付くITインフラ運用を実現するための具体策としては、以下のようなものがあります。
方針 | 具体策や考え方の例 | |
---|---|---|
4 | 体制を見直す | ・明確な権限委譲、権限の分担が行えているかを確認し、チームでの決断が行えるようにする。 ・報告と相談をしっかり行える関係、文化を作る |
5 | まとめて変更しない (小さな変更を繰り返す) |
・小さな単位で、小まめに変更する(基盤変更やアプリ変更など) ・失敗したときは、すぐに修正する(小さな変更は、すぐに戻せる) ・頻繁なシステムの変更に対応できるように、基盤変更、アプリ変更も「コード化」「自動化」する |
6 | ツールやルールを見直す | ・「Software Defined xx」など、進化した基盤技術を活用する ・「DevOps」など、システム運用を文化を含めて根底から変えるための改善活動を実施する ・何からでもよいので、とにかくすぐに始める |
ITをビジネスの主体として安全に効率良く使ってもらうために重要なセキュリティ上のポイントとしては、以下のようなものがあります。
方針 | 具体策や考え方の例 | |
---|---|---|
7 | 「ID認証」と「権限の管理(アクセス制御)」 | ・IDは1人につき1つ発行し、ルールに基づいて権限を設定する。権限の追加は厳格に管理する ・特に管理者IDは厳格に管理する ・社員の実際の働き方に合わせた必要最低限のアクセス制御設定を行う ・パスワード管理(パスワードポリシー)を徹底する |
8 | 小さな問題を歓迎し、しっかり取り組む | ・侵入されることを前提にする ・早期に問題を発見するための仕組みを作り、小さな問題対応を繰り返すようにする(小さな問題で訓練されれば、大きな問題にも対応できる) |
9 | パッチ適用サイクルの短縮 | ・OS、ミドルウェアの脆弱(ぜいじゃく)性パッチを短いサイクルで適用する |
10 | 基本的な対策を徹底する | ・暗号化データと暗号化キーを別に保管する ・デフォルトアカウントを使わない ・アクセス記録を残す(これは“運用者が悪事を行っていないこと”の証明にもなる) ・大事なファイルは深い場所に分散保管(被害を小さくするために)する ・利用してよいクライアントアプリケーションを明確にし、管理する |
以上、本稿ではこれからのITインフラ運用に求められるポイントについて、セキュリティ対策を含めて全般的に考えました。ITインフラ運用において一番大切なのは、「ITを企業のビジネスにおいて、安全に効率良く使ってもらうために必要なことをする」という考え方です。つまり、誤解を恐れずに言えば、「品質やセキュリティを重視し過ぎてはいけない」ということです。あくまで利用者の視点でITを捉えて、優先すべきはビジネスであることを忘れないようにしましょう。お勧めなのは、「はじめに品質とスピードを同じバランスで考え、その上で必要なセキュリティ対策を付け加えていく」という考え方です。
ITインフラ運用は、企業のビジネスにおいて重要な役割を担うものです。だからこそ、担当者の方は萎縮せずに問題点を改善し、企業のビジネスに貢献するためのITインフラ、運用に切り替えていきましょう。「従来型の基幹系システムを現状維持しなければいけない」「今はまだコストを掛けられない」など、それぞれの組織事情もあるとは思いますが、クラウドやモバイルの普及などにより、ITインフラへの要求が大きく変化している今は、改善を行う大きなチャンスです。
さて、6回にわたり、社内システムの開発・運用担当者の方々に向けてセキュリティ対策を紹介してきた本連載も、今回で終了となります。皆さまが自分たちの組織のITについて考え、それぞれの組織にとっての「より正しい答え」を導き出す上で、本連載が参考になれば幸いです。ありがとうございました。
▼渡辺 徹
1996年からエー・アンド・アイ システム株式会社(現株式会社ラック)で、
プロジェクトマネジャーとして、主に、コミュニケーション基盤の提案/構築/維持運用を担当。
2015年からは、新サービスの企画を行う部門にて、IoTやFinTech領域で日夜格闘中。
Copyright © ITmedia, Inc. All Rights Reserved.