Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

変更に気付くことは簡単です、と私は言ったことがあります。誰にでもできることです。1000匹の猿がキーボードを叩いてスクリプトを入力すれば、変更を検知することができます。 簡単ではない、猿にはできないこと、それは変更を調整することです。実際悪いことに、すべてを目の前で崩壊させてしまうような変更をもたらすのは通常、猿なのです。

大部分の企業が最大の問題を抱えているのが、変更の調整です。変更とは何か?それはいつ発生したのか?誰がそれを発生させたのか?それは承認を得ているのか?

これらの質問はすべて、大抵の人々が苦慮しているポイントです。最後のひとつは特に。 テクノロジの初期の時代には、スピードが最も重要であるという、昔ながら、西部開拓時代的な考え方でした。何かを成し遂げる必要があれば、管理者はその小さな猿の手をサーバに伸ばし、必要なことをするだけでした。因果関係などお構いなしでした。

成り行きがうまくいけば、管理者は英雄になれました。うまくいかない場合は、名も知らぬ1000匹の猿の1匹として影を潜めればよかったのです。もし何らかの不具合が生じた場合、煙を上げるサーバ本体から解決策を手に持ってその英雄が現れる場合もあります。しかし昔からCTOを勤める知り合いの1人はこう言います:


「船を救った者は、大抵、それを最初に沈ませた者である」

現在、多くの組織で変更を管理するためのプロセスが存在するのは、組織がそれを望むからではなく、必要に迫られたからです。グループ、行政または業界がその必要性を認めています。PCI DSS、SOXまたはNERC/CIPはすべて、変更を検知可能とすることを要求する基準の例になります。

私は一連の経験の中で見てきましたが、変更の検知は簡単です。対照的に、変更の調整は難しいのです。

効果的な変更管理プログラムの必要性、それは何か異常があった際に、そこから回復する機能を持つ、安全な方法で変更を適用できるプロセスの必要性です。

では、この幻のすばらしいものを開発し育てるには何が必要でしょう。残念ながらその答えは単純なものではありません。私はなんとかして要約版を提供したいと思っていますが、この重要な問題に関してさらに詳しく知るにはThe Visible Ops Hand Bookのコピーを手に取ることをお勧めしたいと思います。

効果的な変更管理システムを開発した組織の主な特徴が紹介されています:

1.トップの姿勢

承認を受けていない変更は悪であるという考えに準じる管理レベルや高いレベルでの共通認識が必要です。この共通認識はIT管理者のみで実現可能なものではありません。ビジネスオーナーが協力して初めて得られます。また、このプロセスに従わない場合、それを重要視する仕組が必要です。

 

2.侵入防止(電気)柵

昔の時代を振り返ると、何か不具合があった場合の最初の対応はよかれ悪かれ何かの反応があるまでキーボードを叩くことでした。しかし現在ではそうはいきません。成功している組織では、最初に行うのは、猿を自由にする前に、問題が何かを理解し、何が起きたかやどのようなサービスが影響を受けたかを理解することです。

 

3.脆弱な部分の把握

リスクの分類もまた、深く検討しなければならないひとつの問題ですが、その要点は、自身が保有している資産、どの資産が組織にとって重要であるかを知る必要があるということです。あまりにも多くの企業がこの2つに関してほとんど把握していないことは驚きです。

 

4.プロセスを用意 – あらゆるプロセス

「向こうにあるサーバに誰かがさわる前に、従わなければならないステップがある」ことを基本とした複数のプロセスを用意する必要があります。これはスプレッドシートなのか高度なクラウドベースのアプリケーションで構築されているのかは問題ではありません。

プロセス自体を複雑化する必要はありません。これらの制御は猿が不平を言ったりその回避方法を考え出したりするような、面倒なものであってはなりません。とても興味深いことに、効果的な制御の実装は、多くの変更の発生に対応することができます。

もう1つ、昔からCTOを勤める知り合いが言った面白いことがあります: 「車に搭載されているブレーキが何のために設計されているかを知っていますか?あれは車を停止させるためではなくて、速く安全に車を走行させるために搭載されているのです」。

では、あなたの組織の変更管理システムにはどの様な機能を持たせますか。

  1. 簡単に理解できる一連のステップ
    レシピ。プレイブック。お好みで名称を決めて構いませんが、復唱が簡単にでき、過度に複雑でないことが求められます。また、緊急の不具合修復プランも確実に組み込まれている必要があります。
  2. アクセス可能な効果的な記録システム
    自動化されたものが好ましいのですが、繰り返しますが、SharePointサーバ上のスプレッドシートは何もないよりはましです。また「いま私はサーバに変更を加えようとしている!」と大きな声で場所全体に確実にはっきりと伝えることもしかりです。
  3. 利害関係者が誰かを認識する
    その処理に利害関係のある人々には、技術的な人と非技術的な人が混在しています。ここでは職務の分離が重要な要素です。変更を加える人はそれを承認する人であるべきではないのです。
  4. 重大な問題、レポート作成
    注意が必要なのは、根底にある詳細なバイトレベルの変更だけではありません。ビジネスのオーナーはそれを理解できません。このため、サービスレベルのレポート作成もまた重要となります。3つのサーバと1つのデータベースから重要なアプリケーションが実行されている場合、それぞれのサーバまで掘り下げることができるレポーティングでありながらも、ビジネスオーナーが関連するサービス自体に関するハイレベルのレポートも提供できる必要があります。
  5. 変更を検知し、プロセスに再度マッピングする手法
    監査人は自動化を好みます。猿を難しい問題から遠ざけることは、ミスをおかす機会を減らすことになります。なぜスクリプトやロギングに頼った手動の変更検知が、数台のサーバを超える規模にはうまく拡大することができないかの一般的な理由になります。変更処理のソフトウェアと直接統合することを目的に構築されたアプリケーションは、猿が原因のエラー発生の可能性を減らします。

以上は、効果的な変更管理プログラムの取組を開始するために実行するべき基本を数点、説明したのみです。この取組には議論すべき問題がこれ以上にあることは間違いありません。セキュリティの観点を含んだ議論も必要ですが、こちらはまた別の稿になるでしょう。

Title image courtesy of ShutterStock

元の記事はこちらからご覧いただけます。

 

資料ダウンロード:ファイル整合性監視の活用