情報システム部門は、リスクマネジメントの守護神になれる単純なITコスト削減はもはや限界

ビジネスが攻めに転じなければならないからこそ、IT運用に「リスクマネジメント」という観点を取り入れ、効率をさらに高めながらガバナンスを確保しなければならない。具体的にはセキュリティ・アナリティクス、データ保護の統合、継続的な可用性の保証の3点が求められる。これらはユーザー部門にはできない。情報システム部門が率先してとりくむべき活動だ。

2013年09月30日 00時00分 公開
[TechTargetジャパン]

 ITに対するニーズは今、大きな転換期を迎えている。ITはこれまで、ビジネスプロセスを効率化するツールとして意識せずに使えることが求められてきた。それが現在では、ビジネスとより機能的に連携し、ビジネス優位性の源泉となることが求められている。守りから攻めへ、意識改革が求められているわけだが、だからといって情報システム部門に対する従来の要件が減ることはない。むしろ事業収益との関係が密になるとともに、そのプレッシャーは高まるばかりだ。これ以上絞りようがないとも思えるIT運用の中で当然のようにコスト削減を求められ、クラウドサービスを活用してさらに効率化できないか検討しろと言われたりする。それに加えて業務に直接貢献しないと、存在価値がないという扱いをされることもある。

 だが、それでも忘れてはならないのは、情報システム部門にはリスクマネジメントという重要な役割を担えるということだ。そのリスクとしてまず挙げられるのが、ITシステムの可用性に対するリスクや、内外の脅威からくるデータに対するリスク、さらにその両方を前提とするビジネス継続性のリスクである。これらは、ビジネス上最低限守らなければならない砦である。そしてその先にはデータを分析・活用し、ビジネスや市場に対する洞察を高めることで、ビジネスリスクを評価し、投資の是正・適正化、新たなアプリケーション開発の価値検証、効果的な市場の特定とビジネス展開といった意思決定につなげる活動がある。こういったリスクの全てをマネジメントできるのは、ITを利用する全ての業務プロセスに横串で関わり、その肝となるデータを維持・管理している情報システム部門であると考えるのが自然であろう。

 従来「KKD(勘・経験・度胸)」で不可視のリスクを負いながら進めてきた意思決定プロセスから、統計学的見地に基づき適切なリスクを取るという戦略的リスク管理への移行が可能となる。欧米では、そういった役割を担ってきたCIOがCEOになるケースも少なくないが、日本ではCIOがCEOになるという例はほとんど耳にしない。

 そもそもリスクに対する考え方が違う。米国では、“take a risk”という表現をし、勝つためにリスクは「取るもの」と考えるのが一般的だが、日本では、リスクは「負うもの」と考えられがちだ。その時点で既に勝負がついているようにも思えるが、守りから攻めへ変革するには、リスクを適切に取るためのリスクマネジメントが求められる。そのためのデータは、IT部門が管理している。ただ持っているだけでは価値がない(活用しなければ価値がない)と言われることもあるが、たとえ活用していなくても、企業はそのデータを守らなければならない。そのリスクマネジメントを適性化し、ビジネスのリスクマネジメントへと拡張させることで、ITは勝つための方程式における必須のパラメーターとなる。

セキュリティや可用性、データ保護は、「100%解決すべき問題」ととらえるべきではない。リスクが存在することを前提に、これをどう管理していくかという視点が重要だ

 では一足飛びにそこまで行けるかというと、ITを取り巻く環境はそこまで甘くもない。セキュリティ上の脅威は進化し、守るべきデータ量は爆発的に増大する。また従来からアプリケーション要件に対応するために構築してきたサイロ型インフラは負の遺産として運用上のリスクを増大させている。まず守るべきものを効率的かつ適切に守ったうえで、できるだけ早く、攻めのビジネスにつなげられる体制に移ることが求められる。

 そこで問われるのが、何をどこまでどう守るかという点である。まず企業が所有している資産として最も責任が問われるのがデータである。標的型攻撃をはじめとした新たな脅威が高まっていても、企業は旧来の対策手法をとり続けている。そればかりか、自社でデータを安全に保護するための運用上のリスクを内部で抱えているケースも少なくない。つまりバックアップやアーカイブの運用にも目を向ける必要がある。そして運用上の実効性を高めなければならない事業継続性においては、リスクを削減するためのシンプルな運用の仕組みが求められる。たとえユーザー部門がアプリケーションレベルで運用を行っていたとしても、最終的に責任を持たなければならないのは情報システム部門だ。同時に、これらは統合的かつ戦略的に行うことで、効率的により確実な対策が行える余地が大きい。

 セキュリティ、データ保護、可用性の問題の深刻さと重要性は、各種の調査結果からも見てとれる。

境界セキュリティは限界に達している

 米Verizonが実施したセキュリティ調査のリポート「2012年度データ漏洩/侵害調査報告書」によると、85%のセキュリティ侵害は発見に数週間を要し、92%が自社よりも先に第三者に発見されてしまっている。また、セキュリティ侵害への対応を2時間以内に実施すれば、リスクが60%軽減されることも分かっている。これは高度化した攻撃のほとんどが侵入後にも時間をかけることから来ている。

 攻撃者は、まず長期に渡ってターゲットの脆弱性を分析し侵入するが、侵入後もステップを踏んでリスクを低めながら攻撃を行う。侵入後、まず旋回して隠密に活動するために静かに滞留する。そして明確な標的を特定し、標的が定まれば人を介した攻撃へ移行する。目的を達成したらその挙動を隠ぺいする。こうした活動を防ぐためには2つのアプローチが重要となる。まず滞留可能時間を減らすこと。そして、レスポンスを迅速化することである。そのためには、モニタリングとレスポンスの機能を強化する必要がある。

 しかしながら、企業のセキュリティ投資では、予防を目的とした境界セキュリティへの投資が平均で80%を占めていることが、EMCの調査から分かっている。モニタリングとレスポンスには20%しか投資されていない。またもう1つの問題として、従来のモニタリングでは不十分である。それは、「何が起こったか」のリポートが目的だったからだ。さらに従来のモニタリングソリューションから進化したSIEM(Security Information and Event Management)は、構造化されたログデータによるインシデント検知およびイベント管理によってイベント間の関連性を可視化することはできても、そのイベントを他から切り離して検証・分析することは出来ない。

 求められているのは「何が起こりそうか」を予測するモデルであり、そのために重要となるのがビッグデータと外部のインテリジェンスを活用したセキュリティ・アナリティクスである。

サイロ化されたデータ保護運用がリスクを増大させる

 2010年に50%以上の企業がデータロストを経験し、29%でこのことが収益の損失につながっている。だがそれでも、「一部のデータをバックアップしていないことをCIOに知らせていない」という企業が24%を占めている(Vanson Bourne 2012年バックアップ/リカバリ調査)。また、障害からシステムおよびデータを復旧できる自信がないという企業が約9割で、特に仮想環境のバックアップは、約3分の1の企業において、物理環境ほどの頻度では実行できていない(同調査による)。「コンプライアンス上の必要性の有無にかかわらず、データの重要性に応じ、企業として確実に管理できる状態でバックアップ/アーカイブを保持する」ということが、現実には徹底されていない。

 データのバックアップは通常、アプリケーションごとにその管理者が個別のツールを使って実施している。単一の業務システムを構成するサブシステム間でも、バックアップ手法が統一されていないことがしばしばある。物理環境か仮想環境かによってその手法が異なるケースもあれば、仮想環境に従来の物理環境のバックアップ手法をそのまま適用することによる運用上の負荷増大が、仮想環境への移行や拡張の足かせになっているケースもある。

 データ量も急速に増加している。増加に対応できる性能と信頼性を備えていることに加えて効率性も必要だ。通常1つのファイルに対して複数のコピーが存在し、その全てがバックアップデータとして保存される。バックアップ以外にコンプライアンスや法規制のためにアーカイブとしてデータを長期間保持していく必要もある。

 それでも要件の違いからシステムは分断・サイロ化され、最終的なデータは二重持ち、三重持ちとなり効率性が損なわれている。これらを当たり前のこととして済ませていていいのだろうか。何らかの形で統一を図り、効率性を向上する一方で、いざというときの復旧の実効性を担保しなければならない。しかし移行には障壁もある。その障壁は人であり、協力を得なければ推進できない。そのためには従来同様の利便性を提供できるものでなければならない。

 つまり、従来のアプリケーション管理者にデータ保護に対する可視性を提供するとともに、必要に応じてアプリケーション管理者がセルフサービスでバックアップ・リストアできるようにすることである。これらをIT部門が一元的に管理・コントロールできるようにする。最後にそれらの統合を、アプリケーションだけでなく、保持するデータ全てに広げていく。それにより、バックアップとアーカイブの統合によるデータ保護管理を一元化、効率化した上で、従来同様の利便性をアプリケーション管理者側に提供することが可能となる。

可用性と継続性ではなく「継続的な可用性」の必要性

 ビジネスを行うためのアプリケーションとデータへの依存度が高まるにつれ、ますますダウンタイムは許容されなくなっている。 誰もが、必要なときにいつでもどこでもアプリケーションとデータにアクセスできることを求めている。

 このような要望に応えるために、計画的なシステム停止と予期しない停止によるダウンタイムを最小限に抑え、RPO(目標復旧時点)を短縮する高可用性インフラストラクチャに重点を置く傾向があった。しかし、それではもはや不十分である。

 ダウンタイムは高価である。米Enterprise Management Associatesが2012年に行った調査によれば、米国を拠点とするデータセンターの機能が停止した場合、その平均損害額は1時間あたり平均4万5000ドルに上っている。1分当たりでは750ドル、そして1日当たりでは100万ドルを超えている。

 そのため現在では、ダウンタイムが全くない、継続的に利用可能なITインフラストラクチャが求められている。 多くの組織が、可用性の高いクラスタ化されたアプリケーションとサーバ仮想化環境を構築することにより、継続的な可用性への最初のステップを踏み出している。

 しかし、これまでのアプローチには共通の弱点がある。アプリケーションに依存し、可用性と継続性に異なる手法を採用している点だ。正確にはそうせざるを得なかった。通常、ローカルにおける可用性を担保するHA(High Availability)と、リモートで事業継続するためのレプリケーションは別個の手法で行われている。さらに、物理障害と論理障害への対応手法の分断が可用性維持の障壁にもつながっている。これらを単一の手法で実現するシンプルで実効性の高い「継続的な可用性」を実現する仕組みが求められている。そのためのソリューションは既に存在する。

事業部門にはできないし、やるべき立場ではない

 強調したいのは、上記の3点を中心としたリスクマネジメントが、各アプリケーション担当者には手に負えないということだ。アプリケーション担当者は、当然ながら、これらの対策をアプリケーションレベルでやりたがる。ところがアプリケーション担当者には意識の違いがあり、それぞれがセキュリティやデータ保護、可用性向上対策を確実にできるかどうか、保証はない。しかもそれぞれがこうした対策に割ける予算は限られている。企業が組織としてのリスクマネジメントを求められていることは、ITコスト削減をいくら叫ぶ経営者も理解しなければならない。そして、情報システム部門は、リスクマネジメントに関する守護神になれるし、そうなる必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:EMCジャパン株式会社
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2013年12月29日