サーバ仮想化にもコンプライアンス管理の視点を忘れずに:ITとコンプライアンスは単独で機能しない
IT部門はサーバ仮想化を同部門内の問題として扱い、コンプライアンス管理に対する考慮を怠りがちだ。
企業にとって、IT部門内部および他部門とのコミュニケーションの欠如ほどトラブルに直結しやすいものはない。IT部門においてこうしたコミュニケーションの欠如が頻繁化しているように思える分野の1つがサーバ仮想化だ。IT管理の簡素化、コストの削減、セキュリティとコンプライアンス管理の改善を目的とした最新の技術がIT部門だけの問題として扱われ、コンプライアンス管理に対する考慮が抜け落ちてしまうことがよくある。これはITだけの問題ではないのだ。
コンプライアンス管理という枠組みから、仮想化されたサーバとワークステーションを欠落させる結果につながるIT部門にありがちな誤解と現実を以下にリストアップした。
IT部門にありがちな誤解と現実
IT部門の誤解1
われわれは将来の計画を立案しているのであり、現時点でコンプライアンスは重要な問題ではない。
<業務部門の現実1>
多くの重要なIT技術と同様、サーバ仮想化は複雑な技術であり、コンプライアンス管理というファクターを最初の段階で組み込んでおく必要がある。そうしなければ、両者の乖離(かいり)が拡大し続け、不必要なビジネスリスクが生じる。
IT部門の誤解2
ワークステーションと一部のサーバ上で仮想化をテストしているだけなので、今のところ、あまり心配することはない。
<業務部門の現実2>
あらゆるシステムが重要だ。IT部門のサーバやワークステーションが、何らかの形で情報セキュリティのコンプライアンス対象に含まれている可能性がある。サーバが仮想化された場合、コンプライアンスに関連する多くのファクターを考慮しなければならない。
IT部門の誤解3
コンプライアンスや内部監査担当のスタッフに仮想化について説明したところで、彼らはそれを理解できない。
<業務部門の現実3>
これはIT部門の技術屋が、コンプライアンスの管理・監督を担当する非技術系スタッフに対してよく使う言い訳だ。情報セキュリティやコンプライアンスと同様、ITも時代の要求に通じている適切な人々によって適宜管理されなければならない。
仮想化とコンプライアンス管理というファクターからもう一歩踏み込んで、セキュリティポリシーとインシデント対応プランも検討する必要がある。仮想化はポリシーの対象に含まれているのか、仮想化のセキュリティに対して必要最低限の基準を設定してあるか、などが考慮すべきポイントとなる。
仮想システムは物理システムと実質的にほとんど変わらないが、多少手間が掛かる部分もある。例えば、IT担当者が仮想環境を管理・監視するための管理ツールが別途必要となる。システムの保守と監査を適切に実施するためのプランや、仮想環境内からのデータ流出を防止するためのコントロールを徹底するためのプランも用意しなければならない。
インシデント対応とフォレンジック調査を支援するための既存のコントロールも見直さねばならない。仮想化されたサーバとワークステーションに関連したインシデント対応は、独自の手順を必要とするからだ。データのバックアップとリストアについても同じことが言え、これらも重要な考慮対象となる。また、インシデント対応プランがこれらのファクターを考慮に含めた形で修正されていることも確認しなければならない。
最後に、社内にフォレンジック調査の専門家がいる企業であれば、彼らが仮想システムを完全に分析する能力があるかどうかを確認することも必要だ。
わたしはIT部門が仮想化を導入するのには大賛成だが、それをネットワーク管理者だけが気に掛ければいい「技術的問題」として扱っては(そして隠ぺいしては)ならないと考える。ITとコンプライアンスはどちらも複雑なものだが、それぞれ単独では機能できない。両者は同じ枠組みの中で扱わなければならないのだ。仮想化のように無害に思える技術も例外ではない。それを怠ると、情報セキュリティは単なる見せかけになってしまい、百害あって一利なしという羽目に陥ってしまうだろう。
本稿筆者のケビン・ビーバー氏は米アトランタ在住のIT記事ライター。
Copyright © ITmedia, Inc. All Rights Reserved.