GRCコラム

運用が一番大事2017.5.8

~構築1年、運用5年~
                          セキュリティ・エグゼクティブ・ディレクター 中島浩光

さて、情報セキュリティ事故が続いているわけですが、個人的な感想として情報セキュリティの運用がきちんとされていないなぁ、というか、ちゃんと運用していれば防げたのになぁ、と思う事故も多いです。運用をちゃんとしていても防げない事故もありますし、前回のコラムで触れた「ミス」も付き物ではありますが、なかには首を傾げたくなるくらい運用がされていない、感じがします。
情報セキュリティに限った話ではないのですが、IT系の世界では運用は軽く見られがちであり、地位が低いと感じています。でも、私は運用が一番大事だと思っています。

<なぜ、地位が低いのか?>

情報セキュリティやITシステムでの運用に関しては、「事故や障害はなくて当たり前」、「決められたことをやっているだけ」という人も多いです。そのため、「運用には高度な技術力は不要」という人もいたりします。たしかに、簡単なシステム、一部の運用業務はそういう部分はあったり、そういう運用しか行っていない会社も存在しているのは確かですし、中小企業ではIT部門も少人数であり、工数や予算、運用要員の知識・スキルの問題のため、運用に力を入れることができない場合もあるでしょう。
しかし、そういう状況であっても、運用要員が運用をしなければ、業務に支障がでるし、事故や障害があった場合には彼らを頼らざるを得ないはずであり、業務でシステムを使うのであれば、運用は業務上非常に重要な要素のはずなのです。
その意味では運用を軽く見ている人は、単に相手のことをよく知らずに偏見でモノを言っているとしか思えないのです。

<規格や認証も運用が前提>

情報セキュリティの国際標準であり認証でもあるISMS(ISO/IEC27000シリーズ)、システム運用に関するITSMS(ISO/IEC20000シリーズ)、成熟度モデルであるCMMI、実はどれも構築だけではなく、運用することを前提に作られています。
ISMSやITSMSについては、マネジメントシステムであるのでPDCAサイクルを回すことが必要ですし、PDCAのDは運用にあたります。また、認証の審査についてもマネジメントシステムがきちんと構築できているか?の観点と、それがきちんと運用されているか?の観点での審査が行われます。
また、CMMIの成熟度は、「どのように整備され運用されているか?」を評価するのであり、運用されていないものは評価の対象になりません。

<運用は簡単なのか?>

ISMS/ITSMSのマネジメントシステムにしろ、CMMIにしろ、「継続的な改善」を行うことが一つの目的であり、そのためには「決まったことだけやる」ということはありませんし、外部の環境変化に対応するためには、それ相応の知識・スキル・工数も必要になります。
また、事故や障害が発生した場合には、それらへの対応、再発防止等を行う必要があります。予め想定されて対応マニュアルがある事故・障害が発生した場合には、対応マニュアル通りに対応すればよいかもしれませんが、実際の事故・障害の状況がマニュアル通りである場合も少なく、その場合には原因究明、対応策検討・実施等を行うには、高度な技術力が必要になる場合もあります。
また、システム運用でもセキュリティ運用でもそうなのですが、「理想的に運用業務」を行うと仮定すると、そのために必要な知識・スキル・工数は非常に高度なものになります。
そういったことから、現在のシステム運用やセキュリティ運用の現場の多くは、担当者の知識・スキル・工数・予算といった制約の中で、出来る範囲をやっている、という状況であると思うのです。

<構築1年、運用5年>

通常のSIでも、情報セキュリティ関係のシステムであっても、システムの設計時に「○○機能の××部分はシステム実装せずに運用で対応(回避)」というようなことはよくあります。その時の理由としては、純粋に技術的な問題で実装できないという場合もありますが、開発時の予算・工数の都合で実装しない場合もあります。さて、これははっきり言うと「開発の予算が足りないから、運用にそれを付け回す」という事なんですよね。そうすると、運用側は実装されなかった機能をマニュアル運用で行うことになります。
そうすると、マニュアル運用分の工数が追加されるわけですが、開発時に予算をケチると、そういうのが非常に多くなります。

また、開発・構築時にどうやって運用するかを考えずに開発・構築されてしまい、いざ運用段階になってみて「運用めちゃくちゃ大変」とか「実質運用出来ない」という例もあります。
事故対応や障害対応などについても、最近では「情報セキュリティは事故発生前提で」とか言われていますが、構築・開発時には発生するであろう事故や障害に対しての対策についてきちんと検討されてない場合も多いです。
こうなると、運用段階で事故や障害が多発する原因にもなりかねないのですが、そういった事故や障害は、「開発・構築段階での作りこみで防げた」はずのものなのであり、尻拭いを運用に押し付けているだけだと思うのです。

昔、とあるSIの案件でお客様との雑談の中で、「システムの開発中は、会社としてはそのシステムを使って利益を上げているわけではないので、純粋に投資/コスト。カットオーバーして運用が始まって初めて会社として効果・利益が上がる。」「構築1年、運用5年。開発で後の運用をきちんと検討しないと、5年分のコストに跳ね返る」という話がありました。

これは、本当にそう思うんです。だから、「運用が一番大事」だと思うんです。

GRCコラム一覧へ

pagetop