企業セキュリティには、ホントにさまざまな項目があるなあ、もっと広がっていくのかな(ふぅ。。)って、ちょっとお疲れモードのところに、今回は「集中管理」のミッション。個々の管理の上にさらに管理だなんて、とりあえず“親亀の上に子亀を乗せて・・・”と軽口でかわそうとしたら、企画部長に「古いねー。集中管理はその逆なんだよ」と言われてしまいました。セキュリティ担当・美咲、今日も新しいテーマにドント・マインド! レッツ・トライ!です。
企画部に異動して、全社的な情報セキュリティの担当になって3カ月あまり。
正直な感想を言うと、企業が実施すべきセキュリティ管理の項目ってなんて多いの! どれだけ広いの! って感じだわ(ため息)。
「ハリキリ」キャラの美咲にしちゃ、めずらしく凹んでいるじゃない(笑)。
大事なのはわかっているのよ。だけど、1つ1つの要素がセキュリティ管理に不可欠で、かつ、それぞれに中身が深くて、専門性も高い。
前回(第7回)の「証跡管理(しょうせきかんり)」だって、全体像をマスターするのにけっこう勉強したし・・・、きちんと理解するなら今以上の努力や労力がいるって考えると・・・ハァー。
大丈夫(笑)。
美咲のような感想は、多くのセキュリティ担当者やSE(システムエンジニア)が感じているんだよ。
それに、そんな声に応えるために「集中管理」の考え方や方法論みたいなものも最近、現われてきているし・・・。
えッー! そうなの。
実は、その「集中管理」を把握せよ! っていうのが、今回のミッションなのよ。
ノッてきた?(笑)。じゃあ、別の角度から見てみようか。
ちょっと、カタイ言い方だけど、情報セキュリティに関係する管理工数の増大は、システム全体のスムーズな運用管理に影響を与えるよね。つまり、コストの増大にもつながってくる。だったら、それらの軽減を考える必要がある、と思わない?
さらにもう1つ、IT統制やITガバナンス(IT統治)といった面からも、統合的な管理や集中管理が求められているんだ。
つまり、管理者の負担を減らすっていうのもあるけど、コストとか運用管理とかIT統制とか、集中管理が必要とされる理由がいろいろあるのね。
そういうこと。
じゃあ、次に、美咲にとっては、集中管理ってどんなイメージなのかな?
たとえば、ケータイの料金と家電(いえでん)とプロバイダーなんかの支払いや管理がバラバラだと、とってもメンドウ(笑)。
それに、家の電気代や水道代とかも。だから、手間もかかるし全体も見えないので、支払いと管理の方法を考えて、どこか1つに集めてしまいましょう!
なんていうのが、私の集中管理かしら?
そうそう、そんな感じ(笑)。
でも、ここからマジメな話なんだけど、情報セキュリティの管理となると個々の内容が違いすぎない?
集中管理なんてできるのかしら。
それができるんだよ(笑)。
具体的な例をあげると、たとえばG社には500台くらいのPCがあって、ウイルスに感染する脅威にさらされている。だから、ウイルス駆除ソフトを入れているんだけど、最新のウイルスパターンがリリースされたら、すぐに全部のPCに適用する必要が出てくるよね。
このとき、管理者が1台1台に手作業で適用するなんて効率が悪くてやってられないでしょう。
最新のウイルスパターンって、毎日のように出ているもの。
管理者が手作業で、というわけにはいかないわね。
そう。だから、美咲が毎朝、PCをスイッチオンすると、会社のネットワークにつなぎにいって、たとえばその際に、セキュリティサーバが美咲のPCをチェックしている。
で、最新のウイルスパターンが適用されていなかったら、自動的にダウンロードして適用する、という仕組みが作られているんだ。
これも、集中管理の1つと言えるね。
そういえば、PCを立ち上げたときに「最新のウイルスパターンを適用しています」なんてメッセージがよく出ているけれど、あれが集中管理なのね。
そのほかにも、仕事に関係のないソフトウェアが、ユーザーPCにインストールされていないかをチェックしたり、各種ソフトウェアの脆弱性がきちんと修復されているかなども集中的に管理できるようになっている。
具体的には、どういう仕組みなの?
各PCとサーバに、「リソース管理ツール」とか「構成管理ツール」とかいうソフトウェアがインストールされていて、相互に通信しあいながら設定した環境になっているかどうかをチェックしている。そして、設定されていない場合は自動的にパッチ(差分ファイル)を当てたり、警告を発する仕組みになっているんだよ。
ふーん。しっかり・きっちり管理するには、個々の管理を効率化したり、統合化できる集中管理が必要で、そのためのツールもあるというわけね。
ここは、集中管理のポイントになるわね。
うん。それと、もう1つ覚えてほしいことがあるんだけど、
集中管理の対象はソフトウェアの設定や状態だけでなく、ユーザーの行為や、PCを操作する“プロセス”も対象になるんだ。
プロセスの集中管理・・・?
たとえば、美咲が休暇をとったり、業務で何か買いたいときに、今はPCを使って「休暇申請書」や「物品購入申請書」を出しているでしょう。
これは「申請・承認」というプロセスに着目してワークフロー化することで、集中管理できるようにしているんだ。
・・・?
ほら、昔だったら「休暇」の場合は、紙で直属の上司に出して、それに課長~部長のハンコが押されて総務部に回ってたよね。
「物品購入申請書」だったら、直属の上司~課長~部長~経理部って感じかな。で、逆の手順で美咲のところまで戻ってくるわけだけど。
集中管理と、どう関係してくるの?
それらがPCで扱えるということは、ようするに「休みをとること」や「物を買うこと」の流れから、共通する要素や行為を抜き出してパターン化したり、標準化することでPCで扱えるようにしているんだよ。
つまり、プロセスを一元的に処理したり、集中的に管理できるんだよ。
管理の視点からは、管理対象のプロセスについて共通項を見つけて、パターン化したり、標準化することで、集中管理や統合管理できるようになる、ということでいいのかな?
ここもポイントの1つね。
うん。それが集中管理の考え方のベースになっている。
でも、その標準化という作業自体が大変そう。
だから最近は、世界規模で、集中管理に向けた標準化への取り組みが進んでいるんだ。
標準化に準拠した製品やサービスもいろいろ出てきているし。
実際には、そうした取り組みの成果や対応製品・サービスを利用して、自社のセキュリティ管理の集中化にトライしてみることが現実的かもね。
そこもポイントかしら? 確か、その管理の標準化への取り組みって、キーワードがあったような・・・。
何だったかな?
「ITIL」と略して表記しているんだけど、「アイティル」とか「アイティーアイエル」と呼ばれている。
ネットで検索するから、ちょっと待って・・・。
「IT Infrastructure Library【注】」の略で、「ITサービスマネジメントのベストプラクティスを集めたフレームワーク。1980年後半に英国の政府機関が作成・文書化をし、IT運用における実際の知識・ノウハウが集約されている」って解説にあるわ。
富士通のサイトにも関連情報が載っているし、書籍もたくさん出ているみたい。
ITILは今やグローバル標準になりつつあるからね。
私は、ITILや集中管理について、どこまで理解すればいいのかしら?
全社的な管理担当者の美咲なら、まず
「企業情報セキュリティの管理は、共通化・標準化・統合化などにより集中管理することが可能である。それは、管理工数やコストの削減につながり、同時に、IT統制やITガバナンスにも対応する」
といったことを基本にしておけばいいのじゃないかな。
個々のセキュリティ管理は、集中化させることでトータルに管理できるということね。
なんか、たくさんの計器類を集めた宇宙船のコンソールや飛行機のコックピットのイメージが浮かんできたわ。管理項目がいろいろあっても、うまく飛行できそうな気がする(笑)。
ポジティブな司令官のそばには、優秀なパイロットが集まりそうだね(笑)。
トオル先輩もいるし、情報システム部門の人たちもいろいろ教えてくれるから・・・。
ITILを活用して、G社の集中管理がうまくフライトできるといいわね。
だったら、ITILのような標準化ツール/サービスを利用するにしても、セキュリティ管理やシステム管理に関するG社独自のプロセスやインターフェースを整理したり、体系化しておくことが必要かもね。
今度、企画部とIT部門で集まって、G社の集中管理の状況や今後についてミーティングをひらいてみたら?
なんか、ファイトわいてきた!
【注】 ITIL(IT Infrastructure Library) : itSMF Japanオフィシャルサイトの「ITILとは」を参照
お問い合わせ
情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求
