今だから話せる、関西情シスの裏話「上司からのトンデモ特命」「“脱“で有名なアレも使いよう?」――「大阪俺情」の夜が熱かった:俺たちの情シスin大阪 第1回 レポート(2/4 ページ)
関西では初の開催となった2019年2月「俺たちの情シス」では、ライトニングトークに7人が登壇。SIerからユーザー企業に転身して見えた実情や、ソフトウェアライセンス管理で苦労の末に編み出した技、自社にサイバー攻撃を仕掛けた経験など、さまざまな話が飛び交いました。
ソフトウェアのライセンス管理ならではの課題に“あの救世主”が!?――ゲーム開発企業の木村さん
続いての登壇者は、ゲーム開発を手掛けるヘキサドライブにお勤めの木村成宏さん。開発部門の技術サポートを行う部門のチーフを担当しています。
木村さんが同社に入ったのは2年前。入社後は、大量の物理サーバやストレージ、複雑なネットワークを仮想化し、ユーザーのアカウント管理をシンプル化するなどの基盤整備に取り組みました。また、本社と支社との間で構成を同じにし、データの同期と冗長化による障害対策なども実現したといいます。
その中で、ゲーム開発企業特有の難題にも直面しました。それは、ソフトウェアの「ライセンス管理」です。
ゲーム開発の現場で使われているソフトウェアのライセンス形態はさまざまで、その多様さや管理の難しさは、一般的な企業の比ではありません。
「買い切りか、サブスクリプションか。サブスクリプションの場合、年単位か、月単位か。さらにOSS(オープンソースソフトウェア)を利用しているケースでは、それがどんな条件のライセンスになっているかを個別に管理する必要があり、全てを正確に行うのは非常に難しいのです」(木村さん)
そこで、ベンダー製の資産管理ツールを導入してみたものの、取得できる情報はOSに依存することが判明。また、近年のゲーム開発ツールでは、ソフトウェア内で利用するアセット(追加機能)にも、個別のライセンスが設定されているケースがあり、こうしたものを市販のツールで管理することはできないという課題も露呈しました。
一時は独自にレジストリ情報を追うことでライセンス情報を取得しようとも考えましたが、開発環境は日々アップデートされるため、追従は難しい……。悩んだ末に、木村さんが導き出した結論は、“歴戦のIT戦士”に使い継がれてきた「あの万能ツール」(?)の助けを借りることでした。そう、「Excel」です!。
「いろいろと試行錯誤はしてはみたものの、資産管理ツールのみでの運用には無理があり、どうしても不足部分を補う必要がありました。ただ、Excelだけでライセンス管理を行っていた頃に比べると、情報の精度は格段に上がっており、正確性を確かめる作業のリアルタイム性も向上しています」(木村さん)
同社では今後も、ライセンス管理の精度向上を目指すそう。また、それ以外のアカウント管理などについても、人事部や業務部門と連携しながら、自動で情報を更新できる環境を構築したいといいます。
近年、一般的な企業でもシステムの一部にクラウドサービスを取り入れる動きは加速していますが、それに伴って、ライセンス管理やユーザー管理に当たって考慮しなければならないことが以前より増えているのではないでしょうか。
「こんなことで悩んでいる」「うちではこんな方法を使っている」といった意見があれば、他の企業の情シスの人たちと積極的に情報交換をしてみるのがよさそうです。
「え? うちのサイトを攻撃?」 驚きの上司命令を受けためが・きんぎょさん
普通、情シスというのは、自社の情報システムをサイバー攻撃から守ることに心血を注ぐもの。しかし、今回のLTでは、上司から命じられて「自社Webサイトに攻撃を仕掛ける」ことになった方が登壇しました。この珍しい体験を披露してくれたのは、めが・きんぎょさん(仮名)です。
ことの発端は、めが・きんぎょさんが勤める職場の広報担当者が、Webマーケティング系の営業を受けて、6年前に構築した自社サイトの「ログ」に関心を持ったこと。いざ、ログを入手しようと思って調べ始めたところ、「構築時の担当者は残っておらず、構成情報も契約情報も不明」という驚くべき状況が判明したそうです。ログの分析どころか、サーバに管理者としてアクセスもできないという由々しき事態でした。
手を尽くして調査したものの、結局、契約情報や管理者パスワードは不明のまま。八方ふさがりの中、ついに上司から、めが・きんぎょさんに「責任は俺が取るので、サーバアカウントを確保してくれ!」と、予想外の指示が下ったのです。
めが・きんぎょさんは、調査で当たりを付けたアカウント名に対して、トラブルを起こさないように、1日数回ずつログインを試行。それが奏功し、無事(?)管理者アカウントを奪取することに成功しました。
そして、管理者アクセスが可能になったサーバをのぞいた結果分かったのは、パスワードは構築時の初期設定から変更されておらず、肝心のアクセスログは記録する設定がされていなかったということ。
また、サイト編集用IPアドレスの全容は不明で、過去に担当者が管理していたIPアドレス以外からのログインがあったことも判明したのでした……。
広報担当者には「あらためてアクセスログを保存する設定にしたこと」「編集担当者が利用しているIPアドレスを管理し、その動向を把握しておくようにすること」を申し伝えて、本件は決着。さらに、情シス担当者として、「積極的にWeb担当者と話すなどの方法で逐次情報収集し、重要事項は文書化しておく」ことを決めたといいます。
「企業のWebサイトは、作って終わりではなく、会社として運用していくという意識を持つことが大切。皆さんが“管理者アカウントを奪取”しなければならないような事態が起こらないよう、祈っています(笑)」(めが・きんぎょさん)
※本件は、めが・きんぎょさんがあくまで所属先の指示に従って行ったことであり、その後の経緯についても関係者の合意を得ています。決して同様のことを、担当者の独断ではしないでください。
関連記事
- NEC、“サイバーセキュリティSE”を育成する演習拠点を開設 2020年までに2500人を育成へ
NECは、顧客システムの構築を担う自社のSE向けに、セキュリティ演習拠点「NECサイバーセキュリティ訓練場」を開設。企業システムを模した仮想環境で、システム構築フェーズの堅牢化を中心に、実践的なセキュリティ対策を訓練する。 - AIのビジネス活用を実践的に学べる、社会人・大学生向け「NEC アカデミー for AI」 2019年4月に開講
NECは、社会課題を解決するAI人材を育成する「NEC アカデミー for AI」を2019年4月に開講する。AIのビジネス活用を実践的に学ぶ「入学コース」と、AI人材に必要なスキルや知識を習得できる「オープンコース」を用意する。 - サイバーセキュリティ人材に必要な14の人材像とスキルセット――NEC、日立、富士通が策定、人材育成推進へ
NEC、日立製作所、富士通は、サイバーセキュリティ技術者の共通人材モデルとして、14種類の人材像とそのスキルセットを体系化。人材モデルを標準化し、企業に必要なセキュリティ人材を効果的、効率的に教育する仕組みづくりを推進する。 - “高度専門人材”の争奪戦に負けるな! NTTデータに見るデジタル変革時代の人事制度とは
NTTデータが、デジタル変革をリードする専門性の高い外部人材を市場価値に応じた報酬で採用する制度を新設した。この機に、同社の説明に基づいて、デジタル変革時代の人事・報酬制度について考察してみたい。 - セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法
セキュリティ人材の不足が叫ばれる中、ANAグループのCSIRTを率いる阿部恭一氏は、「それは大ウソ」と断言する。阿部氏がいう、社内に眠っているお宝人材とは?
Copyright © ITmedia, Inc. All Rights Reserved.