その時々にベストと思われるハード/ソフトを組み合わせて業務システムを構築する──。一見、理にかなったアプローチに思えるが、企業全体のシステムマネジメントの観点からは無駄も多いし、セキュリティ対策が煩雑になるリスクもある。基本方針として抑えておくべきポイントは何かを考える。
企業がコンピュータを導入し始めた当初、その主役はメインフレームだった。中央に1台のマシンがあり、その上で幾つかの業務アプリケーションを動かすのが一般的な姿。システムの面倒を見る部隊の中には、ハードやOS周りの担当、DBなどのミドルウェアの担当、アプリケーションの担当といったチームが編成され、システム全体を水平にレイヤー分けして、つつがなく運用にあたる体制が敷かれていた。
1990年代、オープンシステムの潮流が押し寄せたことによって、その状況は一変した。事業部門の要請に応じて、クライアント/サーバーの小規模構成を中心としたシステムを次々に導入するのが通例となったのだ。自由度や柔軟性が高まったとの見方もできるが、運用管理、あるいはセキュリティ対策の観点からは、全体最適を効かせにくい状況を生み出してしまったと言える。
すべて地続きで監視や統制が徹底できていたのに、気がつくと多くの島々に分断されて目が行き届かなくなった──。それと似た現象が、企業システムで起きているのである。サイロ化による“まだら模様”が今、多くの企業に広がっている。
メインフレーム時代の運用にヒントがある
その昔、私が最初に就職したのは、大手商社の情報システム子会社だった。配属されたのはインフラチームで、仕事の中心はメインフレームの運用。作業を効率化するため、あるいは人為的ミスを無くすため、いかに人手の介在を省くか大きなテーマだった。一連の夜間バッチを動かし、それが終わったらバックアップ処理を走らせ…。必要なツールはすべて自分たちで作っていたのを思い出す。
「セキュリティ」という言葉は一般的ではなかったが、正当性のある処理以外は認めないという工夫は当時から凝らしていた。ジョブ名やシステム名、各種パラメータが、規定のものと一致しない限りは処理を受け付けないといったプログラムを作った記憶がある。何しろ既存のツールなどなかった。IBMがRACF(Resource Access Control Facility)というセキュリティツールを出したのは、その後のことである。
昔話を持ち出したのは、一貫してインフラの運用に責任を持つ人員がいる意味が大きいと思ったからだ。情報システムの構成要素が今ほど複雑ではなかったことはあるにせよ、会社がコンピュータの利用に関わるポリシーを決めたなら、すぐにそれに従わせる体制を整えることができた。“まだら模様”を均一化の方向に変化させるヒントがここに隠れているように思う。
IT基盤の標準化と専任運用チームの必要性
クライアント/サーバーの時代、それに続くWebシステムの時代。多くの企業は、その時々にベストと判断したハードやソフトを導入し、個別最適化したシステムを構築してきた。結果、運用オペレーションにしてもセキュリティ対策にしても汎用性は担保されず、各システムに専任の担当者を張り付かせざるを得ないようなことにもつながっている。人手も金もかかるばかりだ。
この状況から脱する有効策の1つは、企業としてIT基盤の標準構成を定め、それを対象に運用やセキュリティを“横串”に担う専門チームを組織することだ。無論、シングルプラットフォームに限定するのは難しい。例えば、Windowsサーバー環境、UNIXサーバー環境といった粒度での標準構成を検討するのが現実的だ。
米国に目を向けてみると、様々な業務システムが散在していても、IT基盤レベルでは標準化されており、どれも専門部署が共通して運用しガバナンスを効かせる取り組みが進んでいる。業務を直接的にサポートするのは「アプリケーション」。それを動かす「インフラ」は汎用性を持たせた方が、運用効率もいいし、セキュリティ対策も煩雑にならない──。合理的な“切り分け”の考え方が浸透しているのであろう。
昨今、仮想化技術の進展によって、コンピューティングリソースを再び集約しようとの動きが顕著だ。それはベスト・オブ・ブリードの名の下に“行きすぎてしまった分散”の揺り戻しのようにも映る。IT投資の中で、既存システムの維持運用にかかるコストは約8割と言われている。この状況下でいかに戦略投資を捻出するか。技術トレンドを睨み、システムマネジメントを高度化させることが、その第一歩であることは間違いない。
株式会社ブロード
サービスセンター
執行役員 山岸 雄一郎 氏
- 【第6回】すべてのIT施策は「運用高度化」の課題に通ず(2014/09/12)
- 【第4回】要諦となるのは“内部犯行”を阻止できるシステム環境(2014/08/18)
- 元ハッカーが指南するセキュリティ対策の基本とは?:第3回(2014/05/21)
- 【第2回】 運用高度化に欠かせない「自己責任」と「イニシアティブ」(2014/04/10)
- 【第1回】 守りの意識から脱却し、戦略的なシステムマネジメントへの転換を(2014/03/28)