SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

リスクベースがなぜ重要? ITILをヒントに「システム運用」を捉えなおす

適切な「変更管理」が的確な「リリース管理」を導く 障害やインシデントを最小化するためのシステム運用

【第4回】変更管理と密接に関連。セキュアなシステム運用のためのリリース管理のポイント

 IT部門における永遠の課題とも言える「システム運用」、その重要性を認識している担当者は多い一方、“適切に”実施できている企業は決して多くないでしょう。本連載「ITILをヒントに『システム運用』を捉えなおす」では、システムが複雑化する今こそ再考すべきポイントを解説していきます。第4回となる本稿は、「リリース管理」からセキュアなシステム運用を考えていきましょう。

リリース管理と情報セキュリティ

 システム運用には、情報セキュリティに関わるさまざまなリスクが存在しています。たとえば、「設定ミスによって情報をパブリックに公開する」「予期せぬ情報の上書きによってデータに誤りが発生する」「作業ミスによってシステム自体が停止して利用できなくなる」など機密性、完全性、可用性の観点で多くの事例があります。

 こうした事態を引き起こさないために有効なのが、リスクベースアプローチによるシステム運用です。これは想定されるリスクが発生する可能性、発生した際の業務や経営に対する“影響度”を鑑みて、「管理対象とすべきなのか」「どのように管理するのか」などを検討していく手法です。

 システム運用では、情報セキュリティに密接にかかわりのある「構成管理」「変更管理」「リリース管理」の重点的な管理が欠かせません。本連載の第2回と第3回では、リスクベースアプローチによる構成管理、変更管理についてお伝えしましたが、リリース管理も油断できないポイントです。だからこそ、リスクベースアプローチを用いて、適切に管理していくことが大切です。

 そもそも“リリース”とは、変更する機能を利用可能な状態にすることであり、リリース管理ではその一連のプロセスを管理します。つまり、いつ作業するのかを計画し、それに基づいて実施、リリース後のレビューを行います。これは、利用者の環境に直接的な影響を与えるプロセスであるため、想定外の事態が発生すればシステム障害や情報の消失、漏えいなどに直結してしまいます。

リリース管理の不備による影響

 リリース管理では、リリース作業の実施タイミングによってはシステムに大きな負荷がかかってしまう可能性をはじめ、切り替えなどで一時的に利用や接続ができなくなるような事態が発生することも考えられます。また、手順にない作業が実施されたことによる想定外の障害が発生することが考えられ、予定外の変更がシステムの停止やパフォーマンスの低下、アクセス制御の不備による情報漏えい、不正アクセスなどを引き起こすことも十分考えられます。このような可用性の低下、機密性の喪失などのセキュリティインシデントは、利用者の満足度低下と利用継続率の低下に直結します。

 たとえば、2023年11月7日には請求に関するクラウドサービスにおいて、特定の条件下で利用したユーザーの情報を別のユーザーが閲覧できてしまう事故が公表されました。根本原因はプログラム自体の不具合ではあるものの、情報漏えいに至った原因の1つには本番環境への適用、つまりリリース作業の際に行うべきチェックに不備があったと言及されています。

 他にも2021年2月28日に発生したメガバンクのシステム障害では、作業の実施タイミングが月次処理と重なったことで、システムが過負荷状態になりました。その結果としてインターネットバンキングでの一部取引停止、4,318台のATM稼働停止、5,244件の通帳やカードの取り込みが発生してしまい、該当作業が与える影響やリスクの認識が不足していることが原因であったと報告されています。

次のページ
変更管理の適正化、なぜ計画的なリリース管理につながる?

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
リスクベースがなぜ重要? ITILをヒントに「システム運用」を捉えなおす連載記事一覧

もっと読む

この記事の著者

高木 満人(タカギ ミチト)

情報セキュリティコンサルティング事業や情報セキュリティ教育クラウド「セキュリオ」事業を展開するLRM株式会社にて情報セキュリティコンサルタントを務める。ISMS/ISO27001、ISMSクラウドセキュリティ/ISO27017などの認証取得・運用支援を通じて、企業の情報セキュリティ体制構築に寄与。認...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19442 2024/04/04 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング