SMBのためのSaaS利用術【第5回】「運用管理系こそSaaS移行へ」は正しいか?
自社努力では管理負担を軽減しにくい運用管理系システムは、システム特性上SaaSとの親和性が高いといえる。だがこの場合、SaaS移行することだけが最適解になるとは限らない。なぜだろうか?
中堅・中小企業のSaaS活用ポイントを紹介する本連載。今回は「運用管理系システム」について取り上げる。サーバの稼働監視、クライアントPCの資産管理、メールのスパム/ウイルス対策などがこれに該当する。情報システムの運用管理業務を円滑かつ安全に進めるための仕組みである。これまでと同様に、まずは運用管理系システムの「業務システム特性」を見てみよう。
| 業務特性 | レベル |
|---|---|
| 初期導入コスト | 高 |
| 自社運用負担度 | 高 |
| カスタマイズ度 | 低 |
| データ連携度 | 低 |
| データ秘匿度 | 低 |
| 出典:ノークリサーチ(2009年) | |
初期導入コスト:高
最近では手軽に導入できる運用管理ソフトウェアが登場してきているが、運用管理業務の内容によって管理用サーバやアプライアンスを必要とするものもある。また、長期間にわたるログの保存・管理に必要なディスク容量やそれらを検索するための仕組みなどを整備することも考えると、初期導入コストは比較的高いといえる。
自社運用負担度:高
運用管理系システムは日々の管理業務をきちんと実行してこそ意味がある。不定期に発生するパッチの適用作業などに加え、サーバのログ確認やクライアントPC内にインストールされたアプリケーションの棚卸しといった作業が自動化されていないユーザー企業もあり、担当者の作業負担が重くなっていることも少なくない。
カスタマイズ度:低
運用管理業務は多岐にわたるが、内容そのものがユーザー企業によって大きく変わるわけではない。自社の実態に即した設定を行う必要はあるが、運用管理系システム自体をカスタマイズするケースは非常に少ないといえる。
データ連携度:低
運用管理系システムが取り扱うデータは「ログ」である。Webサイトのトレースなど、保存したログをフィードバックさせる業務システムもあるが、大半はファイル転送でカバーできる範囲である。基幹系システムなどと比べると、求められるデータ連携の難度はそれほど高くないと考えてよいだろう。
データ秘匿度:低
個人の特定につながる氏名や連絡先が直接格納されているほかの業務システムと比較すると、ログデータに記録されるのはユーザーのID情報や利用している機器の情報である。実際、年商5億〜500億円未満の中堅・中小企業に「いかなる場合も社外に置きたくないと考えるデータ」を尋ねてみた結果(表1)において、ログデータを社外に預けることに対するユーザー企業の抵抗感は比較的低い。ただし、これはあくまでほかとの比較での話であり、ログデータのセキュリティが重要ではないということではないので、その点は十分留意しておく必要がある。
| データの種類 | 割合 |
|---|---|
| 企業の財務会計データ | 45.6% |
| 顧客データ(取引担当者氏名、電話番号など) | 44.1% |
| 企業の受発注データ | 34.4% |
| 社員の給与データ | 33.8% |
| 社員が作成した文書(Microsoft Office文書など) | 17.4% |
| 社員のメールデータ | 13.8% |
| 情報システムのログデータ | 13.3% |
| 社員の勤怠データ | 8.7% |
| 社員のスケジュールデータ | 7.7% |
| 企業の社員教育用データ | 4.1% |
| そのほか | 4.1% |
| 社外に預けたくないデータはない | 3.6% |
| ※n=195、複数回答可 | |
以上、運用管理システムの業務システム特性については、「初期導入コスト」「自社運用負担度」が高く、「カスタマイズ度」「データ連携度」「データ秘匿度」が低い。こうした業務システム特性を踏まえると、運用管理系システムはSaaS(Software as a Service)との親和性が高いということになる。
運用管理系システムは「GUIを持たないSaaS」の代表例
図1のグラフは、年商5億〜500億円未満の中堅・中小企業に対し「今後SaaS形態での利用を検討したい業務システム」を尋ねた結果だ。運用管理系システムに該当するものが数多く挙げられていることが分かる。
図1●今後SaaS形態での利用を検討したい業務システムSaaSというと、メールやグループウェアのように「社内に設置していた業務システムをインターネット越しに利用するもの」だけに注目してしまいがちだ。だが、運用管理系システムもSaaSとの親和性が高く、ユーザー側のニーズが高いという点で、SaaS活用の有力な選択肢の1つなのである。ノークリサーチでは個々の社員の目には見えにくいこの種のSaaS活用を「GUIを持たないSaaS」と呼んでいる。(実際は運用管理系システムのSaaSにおいてもログ閲覧/検索などのGUIを持っているが)今後のSaaS市場では、このGUIを持たないSaaSが重要なけん引役を果たすと予想される。
運用管理系システムのSaaSに関する概要・適性がつかめたところで、実際のサービス例を見ていこう。
サーバ運用管理
社内に設置されているサーバの稼働監視をリモートで行うサービスである。「サーバ稼働監視」というと、ハードウェア障害を検知するものと思いがちだ。しかし、むしろ重要なのは「業務システムのプロセスがきちんと稼働しているか」「ユーザーからのリクエストを受け付けられているか」といったアプリケーション面での稼働監視である。あらかじめ指定した画面遷移の通りにアプリケーションが動作しているかどうかを確認できるなど、実際のユーザー操作に近い形でチェックが行えるサービスもある。特に、顧客が利用する業務システムでの不具合やダウンは業績にも大きな影響を与える。自社の業務システムに求められる安定性と各社のサービス内容を比較して最適なものを選べば、サーバ稼働監視のための過剰投資を避けることもできるだろう。
| ベンダー | サービス名 |
|---|---|
| コムスクウェア | パトロールクラリスCloud |
| ハウインターナショナル | Nubium Sentinel |
メールのウイルス/スパム対策
メールのウイルス/スパム対策は情報システムの運用管理担当者にとって非常に頭の痛い問題である。メールは、グループウェアと並んで早期にASP形態での活用が進んだ分野の1つである。最近はウイルス/スパム対策を標準で備えたサービスも数多く存在する。しかし、既に社内でメールサーバを運用しているユーザー企業の中にはメールシステムをSaaSへ移行させづらいケースもある。Webサイトからの問い合わせ内容をCGIによってメール転送させているような場合がその一例だ。メールを提供するSaaS業者の多くは、セキュリティの観点から外部プログラムからのメール転送を禁止していることが少なくない。CGI側をSMTP認証(メール送信時のユーザー認証の仕組み)に対応させるなどの対処が考えられるが、簡易なCGIでは実施が難しいこともある。このような背景があるため、社内のメールシステムに影響を与えず、手軽にウイルス/スパム対策を実施したいというニーズが少なくないのである。
以下に挙げたのは、いずれもメールシステム自体は社内に設置している既存のものを用いたまま、ウイルス/スパム対策のみをSaaSとして利用できるサービスの具体例である。
| ベンダー | サービス名 |
|---|---|
| 日立情報 | メールセキュリティon-Demand |
| ネオジャパン | OPTPlus ASP |
メールデータのアーカイブ
メールデータは社内外のさまざまなやりとりを含んでいるという観点で「企業活動のログ」ともいえる。上場企業や米国との取引のある企業であれば「e-Discovery(電子情報開示)」に向けた取り組みも必要となる。そうした法的観点かの必要性だけでなく、「大事なやりとりのメールを削除してしまった」といった業務上起こり得るトラブルへの対策としてもアーカイブは有効だ。メールアーカイブはメールデータ保存場所の確保や索引作成といった手間が掛かることから、中堅・中小企業にとってはハードルの高いものだった。しかし、SaaS形態のサービスが登場したことによって、導入障壁もだいぶ下がってきている。SaaSによってデータを社外に預ける形であれば、社員によるデータの改ざんや消去は必然的に防止することが可能となる。
従って、メールアーカイブサービスを選択する際のポイントは、「容量当たりの価格設定」と「検索機能の充実度」の2点となる。特に“検索漏れ”は電子情報開示では致命的となるので、自社が頻繁に用いる用語などを含んだ十分なサンプルデータを用意して事前に検証しておくとよい。
| ベンダー | サービス名 |
|---|---|
| ネットワンシステムズ | Message Archiver |
| NTTコミュニケーションズ | OCNメール監査アーカイブサービス |
クライアントPCの運用管理/資産管理
クライアントPCの運用管理/資産管理も、中堅・中小企業のIT管理担当者が大きな負担を抱えている業務の1つである。特に、クライアントPCからの情報漏えいは企業規模に関係なく発生する可能性がある。そのため現状を監視するだけでなく、不正なアプリケーションのインストールや起動を禁止するといった「強制力」を持った運用管理/資産管理が求められている。
また、クライアントPCの運用管理/資産管理をSaaS形態で利用するメリットとして、社外での利用もサポートできるという点が挙げられる。社内に管理サーバを置く管理形態の場合、ノートPCを社外で利用しているときは管理対象から外れてしまう場合がある。SaaSであれば、社外でPCをインターネットにつなぐ際にも必ず管理対象とすることができる。このような場所に依存しない利便性も、SaaSがもたらすメリットの1つといえるだろう。
| ベンダー | サービス名 |
|---|---|
| サイトロック | siteROCK Client CareおよびLog Care |
| KDDI | PCリモート管理サービス |
クライアントPCデータのバックアップ
発生頻度は少ないが、起きたときのダメージが大きい事象として「クライアントPCデータの喪失」がある。もちろん手作業でデータをファイルサーバへコピーするなどの対処は可能だが、作業を忘れてしまったり、誤ってデータを上書きしてしまったりといった危険性が伴う。それを防ぐために、バージョン管理を行いつつ自動的にクライアントPC内のデータをバックアップしてくれるサービスが登場してきている。HDD障害対策だけでなく、ユーザーが誤って大事なデータを削除してしまうといった操作ミスへの担保としても活用できる。導入企業数はまだ少ないが、クライアントPCの運用管理/資産管理と並んで、今後検討するユーザー企業が増える分野であると予想される。
| ベンダー | サービス名 |
|---|---|
| NECソフト | オンラインバックアップASP |
| 日立電子サービス | 安心バックアップサービス |
SaaS以外の手段も含めて検討することが重要
このように運用管理系システムでのSaaS活用にはさまざまなパターンがあり、提供されるサービスの種類も充実してきている。こうしたサービスの利用を検討する際に留意すべきなのは、「SaaSだけでなくほかの手段も含めて検討する」ということだ。一般的には、サーバにインストールして利用する「ソフトウェア」、専用機器としての「アプライアンス」、そして「SaaS」と3つの手段がある。SaaSサービス間の比較だけではなく、自社の業務実態を十分把握した上で「どの手段が最適か」を考えることが重要である。
図2●WAFにおけるソフトウェア形態とSaaS形態の比較検討例1つ具体例を挙げて考えてみよう(図2)。クロスサイトスクリプティング(※)などの攻撃からWebアプリケーションを守る「WAF(Web Application Firewall)」にも上記の3つの形態が存在する。社外向けの業務システム(顧客問い合わせなど)であれば、SaaS形態のサービスが手軽で便利だ。ユーザーからのアクセスはSaaS業者側のシステムを経由してから、自社業務システムへ到達する。自社の業務システムには何ら変更を加える必要がないという点も大きなメリットだ。しかし、社内からもアクセスすることがある(自社向けURLがある)といった場合には、SaaS業者のシステムを介さずにアクセスできてしまう。もし、不正なWebサイトを閲覧するなどして社内のクライアントPCがマルウェア感染すれば、攻撃は社内から行われることになる。この場合には、個々の業務システムにインストールするソフトウェア形態を検討する必要性も十分あるだろう。
※サイト間を横断して悪意のあるスクリプトを埋め込んで、個人情報を不正に盗み出そうとする攻撃手法。「XSS」とも呼ぶ。
また、「UTM(Unified Threat Management:統合脅威管理)」についても似たようなことがいえる。UTMは各種のセキュリティ対策をまとめて実施できる点が評価され、中堅・中小企業においてもアプライアンス形態での導入が盛んだ。UTMが果たす役割の1つにファイアウォールがあるが、社外でインターネットにアクセスする場合はUTMを経由しないために無防備になってしまう。ノートPCを社外で利用する場合には、UTMとは別の対策を併せて実施しておく必要がある。こうした場合に各ノートPCにパーソナルファイアウォールを導入し、それをSaaSとして管理する「マネージドパーソナルファイアウォール」を導入すれば、社内/社外に関係なく同じ対策を施すことができる(図3)。ただし、マネージドパーソナルファイアウォールを導入しても社内ネットワークへの入り口となる個所には何らかの対策が必要である点には注意したい。
図3●UTMにおけるソフトウェア形態とSaaS形態の比較検討例このように具体的な製品・サービスの検討に入る前に、まずは自社の業務実態(特に各業務システムに誰がどこからアクセスするのかなど)をしっかりと把握し、自社に適した実現手段を選ぶことが大切だ。場合によっては複数の実現手段を組み合わせる必要も出てくるだろう。「SaaSか、それとも従来型の手段か」という対立軸ではなく、自社に最適な手段を取捨選択するという広い視点を持つようにしよう。
次回は連載の最終回として、少し視点を広げて、社内で利用する情報システム以外でのSaaS活用について解説する。
<筆者紹介>
岩上由高
ノークリサーチ シニアアナリスト
ソフトウェアベンダー数社でソフトウェア製品の企画、設計、開発、コンサルティング、トレーニングなどに携わった後、ノークリサーチに入社。シニアアナリストとしてITのさまざまな領域の調査・分析に従事し、その成果を記事執筆やコンサルティング活動を通じて積極的に発信している。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。