安定したシステム運用には「変更管理」が不可欠、とTripwire
米Tripwireの社長兼CEOに就任したジム・B・ジョンソン氏は、変更を管理することによってシステムの安定的な運用、ひいてはコンプライアンスが実現できると語った。
「Tripwireは自らの位置付けを変えた。これまでの『変更の検知』に代わり、『変更の監査』を支援していく」――米Tripwireの社長兼CEOに就任したジム・B・ジョンソン氏はこのように語った。
Tripwireはもともと、サーバなどの変更管理を検出する「Tripwire for Servers」を中心に、セキュリティにフォーカスしてきた企業だ。しかし今その焦点は、変更管理を中心としたオペレーション管理に当てられているという。システムに存在するあらゆる機器の変更を検出し、それが「認可された変更かそうでないか、あるいは意図した変更かそうでないかにかかわらず、あらゆるものを確認し、包括的なレポートを発行する」(同氏)。
こうしたシステム変更管理/監査は、今、主に3つの側面から求められているとジョンソン氏は述べる。「1つはセキュリティ。2つ目は、システムの可用性や信頼性を高めるための運用管理。そしてさまざまな法規制へのコンプライアンスだ」(同氏)。
たとえばセキュリティ対策にしても、ウイルス対策程度ならばまだしも、情報漏えいに備えるにはポイントソリューションだけで対応できるものではない。ここで大事なのは、しっかりしたポリシーを立て、それに基づいた対策とリカバリプランを作ること。そして「セキュリティ製品の設定変更を監視し、統合的に運用していく必要がある」(ジョンソン氏)ということだ。
迅速に変更を把握できれば迅速に修復できる
運用管理について見ると、システムのダウンタイムの80%は、意図された変更から生じているという。
「システムはいま、非常に複雑化している。OSやアプリケーションのアップデート、セキュリティパッチの適用、ルータのアップデートといった具合に、あちこちでさまざまな『意図された』変更がバラバラな状態でなされており、どの変更がどこにどう波及するかが把握されていない」と同氏。結果として、企業の事業活動に不可欠なITシステムの安定稼動ができていない、という。
たとえば、「ある企業では、セキュリティ担当者が夜中の3時にパッチを当てたところ、システムが落ちてしまった。しかしアプリケーション担当者側はパッチ適用の事実を把握しておらず、原因を突き止めて復旧するまでに2日間も要してしまったというケースがあった」(ジョンソン氏)。どこで誰がどんな変更を行ったかが把握できていないために、原因の切り分けもできず、システム復旧に時間を費やし、結果としてアベイラビリティが損なわれたわけだ。
同氏が見たところ、システムの運用管理をきちんと行えている企業の特徴は、「かなりしっかりした『変更管理』を実現できていること」だという。こうした企業では、計画外のタスクは全体の10%未満に収まっているし、トラブル修復に要する時間も1時間以内にとどまっているのに対し、変更管理がうまく行えていない企業では、50%以上が計画外の作業に費やされているということだ。
もちろん、「Tripwireを導入したからといって、システムのダウンを防げるというわけではない。けれどこのツールによって、システムで何が起きたのかを時系列をさかのぼって把握し、迅速に問題を特定できる」(ジョンソン氏)。
複雑化するIT環境の中、変更を管理し、適切なコントロールを実施していかなければ安定した運用は望めない、としたジョンソン氏「ダウンタイムとは基本的に変更に起因するもの。よって、変更を迅速に特定できれば、より迅速に修正、回復を行い、アップタイムを増やすことができる」(同氏)。
こう考えていくと、Tripwireが提供する変更の検知、評価、監査というプロセスは、何も改ざんが気になるWebサーバだけでなく、アベイラビリティが求められるシステム全体に必要だという。また、この考え方をITILやCOBITに基づく管理へと拡張していくことで、企業IT環境の適切なコントロールを実現でき、結果としてコンプライアンスにも役立つという。
言ってしまえば、「コンプライアンスの達成と99.999%のアベイラビリティ、強力なセキュリティは一体のものであり、どれか1つを達成することで残る2つへの対応が容易になる」(ジョンソン氏)。
ジョンソン氏によると今後は、Tripwireの対応するデバイスの拡大や変更管理の自動化を進めるほか、さまざまな運用管理ソフトからTripwireの情報を引き出し、1つのコンソール上で確認できるようにするインタフェースを用意していく。既に、ITサービス管理ツールの「Remedy」などとの統合が実現できているという。
ちなみに、先日トレンドマイクロがリリースしたパターンファイルに不具合があり、多数のPCで障害が発生した事件について、「これも『意図した変更』が引き起こした事件。おそらく、パターンファイルリリースのメカニズムに問題があったのではないか。しっかりしたリリース管理システムを用意し、公開前に適切にテストしてから導入する、というプロセスがあれば問題は避けられたかもしれない」とコメントしている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。