「資産の把握が楽になる」だけじゃない 意外と知らない「CMDB」のメリットを解説：見落としがちな「潜在的なリスク」に注意

TechTargetは、「CMDBによる自動化」に関する記事を公開した。CMDBを使うと、ソフトウェアのアップグレードやライフサイクル管理、インシデントレポートなどの自動化が可能だ。

[Clive Longbottom，TechTarget]

　TechTargetは2024年1月30日（米国時間）、「CMDB（構成管理データベース）による自動化」に関する記事を公開した。

CMDB自動化のIT運用ガイド（提供：TechTarget）

　企業を取り巻くIT環境は複雑化しており、ネットワークには無数のデバイスがつながっている。中心となっているのはサーバ、ストレージ、ルーターやスイッチなどのネットワークデバイスだが、それ以外にもPC、タブレット、プリンタなど分散型のデバイスもある。この複雑な環境を手動で管理するのは難しい。

　複雑なIT環境における運用管理のタスクを自動化するには“CMDB”が有効だ。CMDBを使うことで、運用チームはさまざまなタスクを自動化できる。例えばソフトウェアやパッチの導入、アップデートの適用、アップグレードに適さないデバイスの検出、老朽化した機器の管理、インシデントレポートの作成、ネットワークリスクの軽減などだ。

　本稿では、CMDBの特徴や活用方法について紹介する。

CMDBとは何か

　CMDBには、組織のITサービスを構成するソフトウェアとハードウェアのコンポーネントに関する全てのデータが含まれている。そのため、CMDBは信頼できる唯一の情報源、つまり「IT環境のメンテナンスに関連する全てのアクションが保存された場所」と捉えることができる。

　最新のCMDBであれば、以下のような機能が実装されているはずだ。

• サブアセンブリ（部品）を含むシステム全体のデバイスを自動検出する機能
• デバイスやアプリケーションを停止しなくてもファームウェアやソフトウェアを更新できる機能（ライブアップデート機能）
• データ分析と、分析結果のレポーティング機能
• 新しいソフトウェアやパッチ、アップデートが実装された際に、発生する可能性がある問題やエラーを事前に予測する機能
• 課題の管理機能
• 物理環境と仮想環境の両方をサポートする機能
• 個人に関連するデータと、その個人が特定のタスクを実施するための権限を管理する機能
• DevOpsパイプラインのタスクを自動化する機能

　CMDBはリモートデバイスにも対応しており、リモートデバイスがネットワークにどのように接続、分離したかをリアルタイムでマッピング（追跡）できる。「SIEM」（Security Information and Event Management）にこのデータを統合すれば、ネットワークのセキュリティを大幅に強化可能だ。

CMDBによるタスクの自動化

　CMDBによる自動化は、特に繰り返し作業に効果がある。繰り返し作業をスクリプト化すると、CMDBはスクリプトを基にタスクを自動化し、変更を監視したり必要に応じてロールバックを実行したりする。また、監査目的で実行したアクションとその結果を詳細に報告してくれる。

　開発の視点でいえば、CMDBを使うことで開発チームは運用環境（本番環境）に展開する前に、制御された環境で新しいソフトウェア、アップデート、パッチを開発できる。クライアント／サーバアプリケーションにおけるクライアント側の更新を例にとって考えてみよう。ほとんどの大規模組織には、さまざまなレベルのOS、デバイス、デバイスドライバを備えた多様なクライアントが存在する。

　CMDBは、アップデートに適さないデバイスを特定できる。運用担当者がアップデートの要件に関するインベントリリストを作成し、それをCMDBにクエリとして投げると、「要件を満たさない（アップデートに適さない）デバイス」を特定するレポートを生成する。

　多くの場合、デバイスを適切なレベルに引き上げるのは小さな変更のみでよく、運用担当者がスクリプトとして作成し、CMDBが監視できるレベルのものだ。何らかの理由でデバイスがアップデートを受信できない場合、CMDBはそのデバイスをアップデート対象から除外し、「デバイス交換フラグ」を立てることもできる。もちろん、中にはデバイス交換ではなく、更新プログラムを変更しなければならないこともあるだろう。

　このようにCMDBを導入することで、運用チームは運用環境に影響を与えることなく変更を加えることができるようになる。

　CMDBによる自動化は、ネットワークを担当する運用チームにも有益だ。例えば、ほとんどの組織は「ルーターの寿命を最大限に延ばしたい」と考えているだろう。ただし、このアプローチは、新しいファームウェアアップデートがメモリ不足のために古いデバイスと互換性がない場合、問題が発生する可能性がある。

　CMDBであれば、この問題（ファームウェアの互換性問題）に直面している全てのデバイスにフラグを立て、運用チームに「メモリをアップグレードするか、デバイスを完全に交換するか」という選択肢を与えられる。

　機器のライクル管理にもCMDBは有効だ。CMDBは老朽化した機器を「老朽化した時点」だけでなく、その状態に近づいた時点でも特定できる。運用チームはCMDBの情報を基にそういった“そろそろ使えなくなりそうな機器”を積極的に交換できるため、組織全体への影響を最低限に抑えられる。

　では、一部のデバイスだけ更新が失敗するような場合はどうすればいいのか。CMDBであれば、アップデートできなかったデバイスを特定し、“動作が確認できていた状態”にロールバックできるはずだ。また、CMDBはアップデートの影響を受けたデバイスのリストと問題の性質を把握できる報告書を作成可能だ。

CMDB自動化ツールのオプション

　Atlassian、BMC Software、Device42、Zoho、ServiceNowなどのベンダーは、CMDBを使用してタスクを完了させるツールを提供している。こうしたツールはここ数年で急速に成熟し、IT運用だけでなく、完全なDevOps環境を受け入れるようになっている。

　どのツールもCMDBのコア機能と連携しているが、使えるオプションはツールによって異なる。組織に適したツールを選ぶには以下の点に注意する必要がある。

• エージェントをインストールする必要があるかどうか
• 組織で使っているシステムを全てサポートしているかどうか。特にメインフレームやUNIXを使っている組織はそれらにツールが対応しているかどうかは注意する必要がある
• サーバやストレージなどIT環境の中心部分だけでなく、その他のシステムやツールとも連携できるかどうか
• ツールが権限をどのように管理しているか。CMDBを使用するツールが、もともとなかった権限を与えないかどうか（特権昇格できるかどうか）を確認する必要がある。CMDBベースのツールに関連する潜在的なリスク、特に不正な個人の手に渡った場合、権限の完全な制御を維持することが重要だ