法規制対応のための基盤を提供

変更管理は変更を阻害しない、「見えるようにする」と米ソリッドコア

2008/08/06

 ITインフラの変更管理システム「S3 Control」を開発、提供している米ソリッドコア システムズの社長兼CEO、アン・ボーパルト氏が先日来日した。同氏は、変更管理をしっかり行うことによって「これまでどおり柔軟に判断を下しながら、自社の環境で何が起こっているかという実情を把握し、どのようにプロセスを改善していくべきかを明確にすることができる」と述べている。

 ソリッドコアのS3 Controlは、サーバやクライアントPC、ネットワーク機器といったITインフラの各要素にエージェントを導入することで、どういった変更が加えられたを監視、報告し、必要に応じてその変更を阻止するシステムだ。あらかじめ定められた手順に沿った変更以外は許可しないため、ウイルスや不正アクセスがあっても実行されない仕組みだ。また、意図的な変更だけでなく、操作ミスや不慮の事故といった想定外の変更も排除されるため、システムの安定稼働にもつながる。

solidcore01.jpg 米ソリッドコア・システムズの社長兼CEO、アン・ボーパルト氏

 ソリッドコアでは、東京エレクトロンデバイスなどの代理店を通じてS3 Controlを販売している。いわゆる企業のITシステムだけでなく、POSやATM、医療機器やといった組み込み機器向けにも提供されている。

 ボーパルト氏によると、ITシステムの変更は3つに大別できるという。1つは「計画された変更」で、それによって生じるリスクは少ない。2つめは、何か想定外の自体が起こって至急の対処が求められる「緊急事態への対応」だ。そして3つめが、場当たり的に思い付きで行われる「計画外の変更」である。計画外の変更がもたらすリスクは大きく、システム停止や大規模障害の80%は、この計画外変更によってもたらされているという統計もあるという。

 同氏はS3 Controlによって「計画された変更を最大化し、緊急事態への対応を柔軟に行いつつ文書化できるようにする。そして、計画外の変更を減らしていくことができる」と述べた。

 変更管理というと、状況の変化に応じた迅速な対処が阻害されるのではないかという懸念もあるが、それは異なると同氏は述べた。「今まで通り柔軟な意思決定を下すことができる。ポイントは、それらすべてを文書化し、可視性を提供することだ。どこが管理されており、どこが管理されていないのかをはっきりさせることができる」(同氏)。

 「あらゆるデバイスに対するあらゆる変更を文書化することにより、どのプロセスに変更が必要なのかという、継続的な改善につなげるための情報が見えてくる。さらにシステムが成熟していけば、バックエンドでチケットシステムなどと統合することにより、実際にその変更が実施されたかどうかをチェックできるようになり、調整までが可能になる」(ボーパルト氏)。

 もう一歩進め、予定外の変更を封じ込めるよう強制することも可能だといい、これは特に、製造業の制御システムなど組み込みシステムで必要とされていると述べた。

 ボーパルト氏によると、S3 ControlはITシステムの基盤を提供するものだという。こうした基盤を形作ることにより、SOX法やPCI DSSといった各種法規制に対応できるだけでなく、「より高いレベルでコントロールし、コーポレートガバナンスを実現し、企業責任を果たせるようにしていく」(同氏)。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間