コロナ禍を契機に在宅勤務・リモートワークが定着しつつある中、本番システムにアクセスするシステム運用保守業務は、セキュリティ上のリスクから依然として出社前提となっているケースが多い。しかし、障害発生時の緊急対応、夜間・休日におけるパッチ適用など、ミッションクリティカルなシステムほど、イレギュラーな対応が必要であり、在宅・リモートでの業務遂行のメリットは大きい。エンカレッジ・テクノロジが提供を開始したシステム操作証跡 点検・監査ソリューション「ESS REC 6」は、そんなシステム運用保守業務の在宅化・リモート化の実現を支援するためのソリューション。製品の特徴と導入メリットを同社取締役マーケティング部長の日置喜晴氏と技術統括本部第1研究開発部副部長の高橋亮介氏に聞いた。
変化したシステム運用業務のテレワーク化に対する“価値”
コロナ禍でリモートワークを中心とした働き方改革が大きく進んだ。当初は比較的リモートワーク化の敷居が低い業務を行う社員が対象だったが、有用性を実感した企業の中には、出社しないと業務が困難と思われていた職種の社員にも拡大する動きが見られるようになった。ITシステムの運用保守の現場もその1つだ。
ITシステムの運用保守、特に、金融や公共、製造、流通などのミッションクリティカルなシステムの運用管理業務では、リモートワークへの対応は困難をきわめる。企業向けセキュリティ製品を開発・提供するエンカレッジ・テクノロジの取締役 マーケティング部長である日置喜晴氏はこう話す。
「ミッションクリティカルシステムの運用現場であるサーバールームは、監視カメラや厳格な本人確認があり、データの持ち込み・持ち出しの制限、2人組での作業といった物理的なセキュリティ対策で厳格に管理されています。運用保守作業を在宅で行うことは、こうした面から難しいものです」(日置氏)
そもそもミッションクリティカルなシステムは、管理者権限を濫用した不正行為や誤操作の影響度が高いため厳格にセキュリティ対策が講じられた環境での作業が当たり前であり、通常テレワーク中の自宅から作業するといったことは想定されていない。
しかし、クラウドの活用が前提となり、多様な働き方を推進する社会的風潮が強まるなか、実はミッションクリティカルなシステムの運用保守の現場ほどテレワーク化にメリットが多い、ということに気づく企業も現れはじめているという。
日置氏は、システムをリモートから管理したいというニーズの拡大について、エンカレッジ・テクノロジの顧客事例を取り上げながら、こう説明する。
「この1〜2年でミッションクリティカルシステムの運用業務をテレワーク化したいというご相談やお問い合わせは大きく増えました。あるお客様は、システムをリモート運用するという発想そのものが、コロナ禍でテレワークが広く普及したことが契機になったといいます。システム部門といえば出社が前提で、それが当然のことと考えられていましたが、場所を問わずシステム操作できることは想像以上にメリットが多いことが分かってきたのです。例えば在宅環境でシステム操作ができれば、夜間・休日のパッチ適用や急な障害にも、現場に向かわず迅速に対応でき、レジリエンスの観点でも合理的です。ビジネスへの影響度を考慮すると、システム運用業務は、一般的な事務業務よりもテレワーク化のメリットを最大に享受できることに気づいたといいます。ただ、そこで課題になったのがセキュリティでした」(日置氏)
万全のセキュリティをテレワーク環境で実現する鍵とは
外部からミッションクリティカルシステムにアクセスできるようにする際には、テレワーク環境のセキュリティリスクを払拭しなければならない。
「テレワーク環境で懸念される一番のリスクは、システムの特権操作による情報漏洩です。これまでであれば、二人組による作業や立ち合いで、なりすましや不審な操作はできないようになっていましたが、テレワークでは作業者の自宅に赴いて立ち会うわけにもいきません。そうすると、作業者による情報漏洩・不正のリスクや、作業者に悪意がなくても部外者が情報を盗み見できる環境にさらされている可能性がある点が懸念となります。テレワーク環境下で万全なセキュリティを担保するには、こうした特権操作の“内容”と“作業環境”の両面で正当性を常に確認できる仕組みが必要といえます」(日置氏)
そんな、テレワーク環境下のシステム操作内容と環境のセキュリティ担保にエンカレッジ・テクノロジの特権操作ログソリューション「ESS REC(イーエスエス レック)」が貢献するという。
システム管理業務における誤操作・不正操作の抑止に貢献
ESS RECは、コンピューターの操作をデスクトップの録画とテキストログで詳細に記録し、高いトレーサビリティを提供することで、システム管理業務における誤操作・不正操作の抑止・即時発見および再発防止を支援するソフトウェアだ。
「いわば、コンピューターに仕掛ける"監視カメラソフトウェア"です。社員の自宅に監視カメラを設置することはできませんが、ESS RECであればシステム操作の一挙一動を記録・監視し、安全を担保できます。不審・不正な操作を事前にルール定義することができ、条件に合致する操作が検出された場合には操作を中断させたり管理者に通知することができます。接続中のシステム操作の内容をリアルタイムで閲覧し、作業の立ち合いをリモートでも実現することも可能です」(日置氏)
ESS RECは、システム証跡監査ツール市場で13年連続市場シェアNo.1(デロイト トーマツ ミック経済研究所の調査)の実績を持つ。金融業や情報通信業をはじめ、製造、医療、サービス業など様々な業種・業態で累計約520社の顧客に利用されている。主な用途は、JSOX法におけるIT全般統制を中心に、セキュリティ対策、作業ミスの原因究明や再発防止策など。技術統括本部第1研究開発部副部長の高橋亮介氏はこう話す。
「さまざまなユースケースに対応できることが特徴で、社内システム運用端末の操作記録の取得だけでなく、ベンダーからのリモートメンテナンス作業の記録、クラウド上のシステムに対するリモート操作の証跡の取得などが可能です。例えば、クラウドサービス(IaaS)上の仮想マシンで構成されるシステムに対する、社内や外部ベンダーのリモート保守、テレワークの社員のシステム操作についても記録を取得・監視できます」(高橋氏)
AIを活用し作業者の本人確認や操作環境の監視まで可能に
さらに、最新バージョン「ESS REC 6」は、テレワークでの特権操作におけるもう1つのリスクである作業環境の監視と記録も実現した。
「ESS REC 6では、新機能として作業者が本当に認められた本人なのかどうか、なりすましをされていないかを確認・監視できる機能を追加しました。認証時に本人かどうか確認するシステムの場合、認証後に他人にすり替われてしまいます。しかし、ESS REC 6であれば、特権操作のあいだ常に本人かどうか識別し、本人以外の顔が検出された場合は、なりすましや覗き込みとして操作画面をロックすることなどが可能になりました」(高橋氏)
拡大画像表示
仕組みとしては、AI・機械学習による画像認識を活用している。これまではPCに内蔵または外付けされているWebカメラを使って作業者の顔を撮影し、それを記録として残すという機能を提供していたが、本人かどうかの区別までは出来なかった。この機能を強化し、作業者が本人かどうかを常時確認し、なりすましが行われていないかも監視できるようにした。
新機能の開発にあたっては、機械学習の専門チームと製品化チームが密接に連携した。OSSの機械学習フレームワークを活用しつつ、学習データを自前で収集し、認識エンジンの精度を高めた。顔認識エンジンは単独で動作する仕組みで、ESS RECの管理サーバーに接続する必要なく、PCにインストールするESS RECのエージェントプログラム単体で利用できる。
「作業環境の記録という点では、作業者の他に周囲の環境も記録に残るため、カフェなど不適切な場所で作業をしていないか、スマホで操作画面を撮影していないかといった不審な行動の抑止にも繋がります」(高橋氏)
ESS REC 6は、システム運用業務のテレワーク化に貢献するだけでなく、従来バージョンに比べ使い勝手や管理性・運用性も大きく向上しているという。
「監視対象コンピューターに配布するエージェントやその検知ルールなどの設定内容は管理サーバーで集中管理・自動配布が可能になり、管理性や運用性が大幅に向上しました。アーキテクチャを刷新したため、従来バージョンとはまったく別のプラットフォームになっていますが、機能的には引き継がれています。すでにESS RECをご利用いただいているお客様がESS REC 6へ移行するための支援体制も整えています」(高橋氏)
APIも幅広く公開しており、たとえばSIEM(Security Information and Event Management)と連携して他のIT機器のログと統合的に分析するなど、他システムとの連携も容易になっている。
「プラットフォームをコンテナ化したことで、OSやミドルウェアのライフサイクルに合わせてアプリケーションをバージョンアップする必要性から解放されました。これまでは、アプリケーションに問題がなくてもインフラの都合でバージョンアップする作業が発生しており、このことがミッションクリティカルシステムの運用管理においては負担になることもありました。エンカレッジ・テクノロジではESS REC 6のバージョンが古くなってもお客様が使い続ける限り保守サポートする永久サポートを提供しています。こうしたお客様に寄り添い長期的に安定してご利用いただける仕組みにより、システムの安全と運用業務に貢献していきたいと考えています」(日置氏)
●お問い合わせ先
エンカレッジ・テクノロジ株式会社
https://www.et-x.jp/
ESS REC 6製品サイト
https://product.et-x.jp/rec6/