青木室長 「ふーむ、話は分かった。多くのサービスを展開するような大企業はセキュリティ専用の部隊を置くことは可能だろうが、うちのような中小規模の会社がサーバールームの設置工事から運用要員の確保など、一気に全部をやるのは難しいなぁ……。どの会社もそんなすごいことをやっているのかい?」
赤井君 「実態は分かりません。ただ、十分な対策を講じずにいる企業も少なくないのではないかと思います。最近でこそようやくセキュリティに対する機運が高まっていますが、ギリギリの予算でシステム構築をしようとすると、真っ先に削られるのは、セキュリティ対策など目に見えない部分なんです」
青木室長 「確かに、セキュリティ事故さえ起きなければ(起きてもバレなければ)、ユーザーにはあたかもきちんとやっているような虚偽の報告をしていても分からないのだからな」
赤井君 「そうですね、残念ながらそういった視点程度にしかセキュリティを考えられない方も多くいるようです」
青木室長 「先月参加したCSRセミナーでも講演者が同じようなことをいっていた気がするよ。うちの会社は、社会的な信頼とか、社会貢献とかをお飾りではなく大事にしたいものだね。ところで、社内にサーバ機器を設置する場合の話はたっぷり聞けたが、この前教えてもらったホスティングとかハウジングといった形で運用するとなると、そのあたりの課題はクリアされるのかい?」
赤井君 「そうでしたね。データセンターを運用する企業によって取り組みの内容はさまざまなので、最終的には各社から直接説明を受ける必要はあると思いますが、一般論としてのお話をしてみたいと思います」
青木室長のコメントにもあるように、中小企業でシステム運用の専門部隊を保有することは現実的には難しいことです。激しくなる販売競争に勝ち抜くためにスタッフの数を抑えたり、効率的に稼働できるような組織体制の中で、詳しいスタッフが掛け持ちで社内のサーバ機器やパソコンの面倒を見ている場合も多いことでしょう。
ましてや、今回のようなインターネットに公開するサービスの保守・運用には高度な知識や積み重ねた経験が要求されます。
それでは、データセンターを利用すればすべては解決するのかというと、決してそうではありません。データセンターを利用したとしても、利用企業側で十分に配慮しなければいけないものも多く残りますが、アウトソースする分、作業負荷が軽減されるのは確かといえるでしょう。
それでは、先ほどと同じように「物理的な措置」「構成的な措置」「人的な措置」の各面で、社内設置の場合とどう状況が変わるかを見ていきましょう。
弊社でも一部サービス用のサーバ機器をアウトソースしており、某大手企業のデータセンター内にそのサーバは設置されています。そのデータセンターの説明資料中には物理的な対策として次のような内容(下記は概要)が記載されています。
少なくとも上記と同じレベルの装置・環境を、あるインターネットショップを運用するためだけに独自に用意することは不可能でしょう。物理的な対策は十分に準備されているといえます。後は、データセンターにアクセスする手段(物理的なセキュリティカードや、ID/パスワードなどの認証情報類)を、システム管理者など必要最低限のスタッフで安全に管理すればよいといえますね。
多くのユーザーが共用する建物・ネットワークですから、お互いの独立性を維持することには十分に配慮されていますし、大容量のバックボーン回線を備えているのが普通です。また、なるべく多くのサイトに最短経路で接続できるような工夫もされています。ユーザー自身が、「何を」「どの程度」まで設定することを可能とするかは、サービスにより異なります。アドバイス的な要素を含めて「ほとんどの部分をデータセンター業者にお任せ」とすることもできますし、「なるべくユーザー自身で作業」とすることもできます。一概には比較できませんが、任せることが多くなるほどサービス費用は高くなるのが普通です。
また、ネットワーク接続やサービスを維持するために必要な各種のサーバ側ソフトウェアのアップデートも、データセンター側に作業依頼することも可能です。
この点については、データセンターにアウトソースした場合でも、企業側で検討すべき事項はほぼ同じです。データセンター内のサーバ機器にアクセスするための情報を厳格に管理することは重要です。物理的なアクセス(データセンターへの入館やその手続き)は、データセンター側でのルールに則した内容で実施すれば不正入館などが発生する可能性は非常に低いといえます。そのため、特に社内からリモートアクセスするためのユーザー情報の保持・管理が非常に重要となります。
サーバ監視サービスも依頼することができます。サーバ全体が完全にダウンした場合、または一部の機能が停止してしまっている場合にあらかじめ決められた連絡先で、電話やメールによる通知を受け取ることができます。そう、たとえ真夜中だろうと明け方だろうと、どんなに眠くても遊びに熱中していていも、システム異常を検知するやいなや、担当者あての連絡が届くのです。
青木室長 「そうか、今日は一段と重要な話を聞けた気がするよ。ぜひとも、次回の役員会議で話してみようと思う」
赤井君 「ぜひ、お願いします。セキュリティ面の効果は何かが起きないと体感しづらく、経営層の皆さんには納得していただくのが難しい点の一つです。でも、青木室長のお客さまへの思いがあれば、きっと説得できると思います。頑張ってください」
青木室長 「(少し照れくさそうに)そうだな、この会社の中でも一番のお客さま思いといってもよいくらいだからな」
赤井君 「そうですね。しっかり説得して十分な予算を得ることができなかったら、青木室長のお客さまへの思いもその程度だった……ということになりますね。そうならないとは思いますが、よろしくお願いします」
青木室長 「……」
今回は運用面について、データセンターの持つ優位性の説明が中心となりました。いたずらにデータセンターを勧める意図はありません。しかし、これまで手掛けたさまざまなシステムや、遭遇したセキュリティ事故の原因などを振り返ってみると、十分な体制を整え切れない中でインターネットサービスの機器運営を独自に手掛けることの難しさを痛感します。
なじみがないと感覚として分かりにくい「ITシステム」なるものではありますが、「セキュリティ」面については建物のセキュリティを考えるのと似ています。警備会社と契約して自宅にセキュリティシステムを導入していたとしても、実際に泥棒に入られなければその恩恵を肌で感じることは難しいものです。警備を依頼していても、窓を割ってから30秒以内にすべての悪事を済ますような泥棒がいたら、現在の警備方法では間に合わないかもしれません。でも、100%パーフェクトにならないからといって、開き直って何もしないわけにもいきません。10万円を守るために100万円の警備コストを払うのは非現実的ですが、10億円のタンス預金を守るためなら100万円くらいコストを掛けてもよいかもしれません。
システムについても同様です。守らなければならない情報資産の重要性に応じて、マンパワーや費用を掛けて守るしかありません。皆さんの身の回りのシステムに目を向けて、「妥当」かつ「十分」な安全対策が講じられているかどうか、あらためて対策状況を見直してみてはいかがでしょうか。
セキュリティに関してより知識を深めるためのリンク集
情報セキュリティ管理者必見 不正侵入の手口と対策 (@IT Security&Trust)
インシデントレスポンスはじめの一歩 (@IT Security&Trust)
初級システム管理者のためのセキュリティ入門 にわか管理者奮闘記(@IT Security&Trust)
つぎはぎシステムを防ぐセキュリティアーキテクチャ(@IT Security&Trust)
情報セキュリティポリシー入門(@IT Security&Trust)
高田 淳志
株式会社オープントーン
Copyright © ITmedia, Inc. All Rights Reserved.