Special
» 2019年05月14日 10時00分 公開

「どのサーバが、どう動いているか分からない」に終止符:低コストで、既存資産を生かしながら「安定運用のリスク」を回避する方法

DX(デジタルトランスフォーメーション)のトレンドが進展し、企業のシステム運用にはニーズの変化に追従できる一層のスピードと柔軟性が求められている。だが、「今現在のシステム構成情報すら把握できていないのに、変化に安全・確実に追従することなどできない」という企業が多いのが現実だ。では人手も予算も限定的な中で、一体どうすれば環境変化に安全・確実・迅速に対応できる運用管理を実現できるのか?――その一つの解を、運用自動化ソリューションを提供するNKIAに聞いた。

[PR/@IT]
PR

変化が激しい時代、重要性が増す「システム構成情報の管理」

 どのサーバに、どのアプリケーションがあり、どう動いているかを把握できない──ここ数年、そんな悩みが多くの企業の運用管理現場を悩ませ続けている。背景にあるのはITシステムの複雑化・大規模化だ。

 システムは、物理環境だけではなく、仮想化基盤や社外のクラウドサービスにまで拡大している。管理対象もサーバだけではなく、クライアントPC、モバイルデバイス、各種IoT機器にまで拡大している。ソフトウェアもクラウドサービスを含めて多種多様なアプリケーションが利用され、ID管理やパスワード管理だけでも大きな負担になっている。

 こうした状況に拍車を掛けているのがデジタルトランスフォーメーション(DX)のトレンドだ。例えばITを使った新たなサービスを迅速に開発するために、開発・運用環境となるサーバをスピーディーに配備するなど、ビジネス要請に応じた迅速・柔軟なインフラ運用が不可欠となっている。「どこに何があるのか分からない」状態が続いていながら、さらにビジネス展開に合わせてIT資産やインフラを変化させ続けることが求められるようになったのだ。こうした状況について、NKIAの戦略企画チーム次長のキム・ボナ氏は次のように語る。

NKIA 戦略企画チーム 次長 キム・ボナ氏

 「ビジネス展開のスピードが増し、システムが複雑化する中で、IT担当者はIT資産管理からシステム構成管理まで、迅速・確実に行う必要に迫られています。特に一定以上の企業規模になると、1人が担当する管理対象機器が何百、数千に上る例も少なくありません。1〜2人のIT担当者が数十台のWindows PCのキッティングを行わなければならなかったり、10人で3000台のサーバを運用管理したりしなければならないといったケースです。人材も不足しており、運用管理の負担は増すばかりです」

 ではどうすれば、こうした課題を解決できるのか? その1つの解として、クラウドも含めた一連の運用管理製品を提供しているNKIAが提案するのが、「構成管理ツールを使った運用自動化」だ。

例えば「サーバ200台の脆弱性対策に3週間」――構成管理に基づいた自動化が急務

 ここでいう構成管理とは、サーバだけでなく、ネットワークやクライアントなどを含めた「システム構成情報の管理」だ。システム構成情報を収集・可視化し、それを基にITインフラ全体を対象に、自動化すべき管理業務を自動化する。キム氏はその一例として、脆弱性対策におけるセキュリティ運用の自動化を挙げる。

 「2017年、世界中でランサムウェアのWannaCryが猛威を奮いました。WannaCryはWindowsネットワークの脆弱性を突いてLAN内で感染を広げるという特徴がありました。つまり感染が疑われた場合、迅速にネットワーク構成情報を把握し、感染箇所をネットワークから遮断・隔離する必要があったのです。しかし、ある顧客企業の場合、どこにどんなサーバがあるのか、構成情報を把握できていませんでした。社内には約200台のサーバがあったそうですが、OS、バージョン、パッチ適用の可否などを調査するのに2週間、対策を終えるまでにさらに1週間かかったそうです。ビジネスに甚大なリスクを抱えながら、構成管理の重要性を強く認識したとのことです」(キム氏)

 キム氏は、こうした問題に対応するためのポイントとして、構成情報を把握するだけではなく、それに基づいて「具体的なアクションを迅速・確実に実行できる仕組み」を整えておくことの重要性を指摘する。

 「例えば、Windowsのレジストリに変更が加えられていないか、パスワードが一定の複雑性を持っているかなど、『社内セキュリティポリシーやシステム運用管理基準に沿った設定になっているか』を自動的に点検できるようにするのです。また、セキュリティ面では、『既知の脆弱性が含まれたバージョンのまま運用していないか』『パッチ適用まで期間があるなら、暫定的な対策がなされているか否か』なども点検対象です。点検を自動化することで対策を確実・迅速に講じることができます。また点検後は、さまざまなツールと連携して、設定変更やパッチ適用などの対策を自動化します。対策を終えた後も、チェックリストやレポートなどを自動生成、配布し、次のプランの作成に生かせるようにするのです」(キム氏)

図1 システムの構成情報に基づく、各種アクションの自動化のメリット(イメージ)

 では、そうした“アクション”を実行するための具体策とは何か?――それが構成管理ツールとしてワイドテックが国内提供しているNKIAの「POLESTAR Automation」だ。

運用自動化へのニーズが高まる5つのユースケース

 キム氏は「運用自動化が求められるシーンは非常に多岐にわたっています」と話す。特に要望が多いのは、前述した脆弱性対策以外に大きく5つあるという。

 1つは、「Windows Updateの適用タイミングのコントロール」だ。Windows Serverも必要に応じて更新プログラムを適用する必要があるが、台数が増えると手作業でのパッチ適用やアップデートが負担になる。ある企業では、土日や夜間に2人1組でパッチ適用と確認を行っていたが、サーバ台数が増えるにつれコストと手間が大きな課題になっていたという。

 そこでWSUS(Windows Server Update Services)を使ったアップデートを検討したが、WSUSには、日時をピンポイントで指定して更新プログラムをクライアントに配信したり、適用状況を細かく把握したりといった機能が備わっていない。このため「深夜や休日に適用する」「アプリのログを事前に確認する」といった作業ができずにいたという。

 2つ目は、「ネットワーク機器のConfig設定の差分情報の取得」だ。OSS(オープンソースソフトウェア)の構成管理ツールやIT資産管理ツールは、管理対象がWindowsシステムやsshアクセスできるLinux環境などに限られていることが多い。また、ネットワーク機器の情報を取得できる構成管理ツールでも、「設定が正しいか」「正しく適用されたか」などの情報を取得することは難しい。そのため「差分情報を元にネットワーク設定を変更する」といった自動化がしにくいのだという。

 3つ目は、「パスワードの定期変更への対応」だ。セキュリティインシデントが続く今、共有しているパスワードについては、変更頻度を速める傾向が強まっている。中には、「共有パスワードの定期変更は1週間に1回」という規定が作られているケースさえあるという。変更を手作業で行うことは大きな負担であるため、パスワードの変更、システムの設定、ユーザーへ告知などを自動化することが求められる。

 4つ目は、クレジットカード業界におけるセキュリティ標準である「PCI DSSへの対応」だ。最新のPCI DSS v3.2.1では「重要なパッチはリリース後1カ月以内に適用すること」「90日ごとのパスワード変更」などを求めている。クレジットカード事業者や加盟店ではこの対応に苦慮しているケースが多いという。

 5つ目は、「クライアント管理」だ。例えば、PCのキッティングやアプリケーションの配布、Active Directoryへの登録などを手作業で行うと、1台のPCにつき1時間程度の時間がかかる。近年はPCだけではなく、スマートフォンやタブレットなどのキッティングも必要で、数十台規模となると1〜2人のIT担当者ではとてもこなし切れなくなっている。

統合運用管理ソフト+構成管理ツールで自動化を推進

 こうしたケースに対して、POLESTAR Automationは自動化を実現する。キム氏はその特長を次のように話す。

 「異機種混在環境下における構成情報の可視化、ベストプラクティスを反映した点検ポリシーのテンプレート化、自動化ジョブ作成機能などを持っています。もともとはあの大企業集団、LGグループのシステム子会社であるLG CNSの強い要請を受けて開発されたもので、大規模環境から中小規模環境まで利用することができます。統合運用管理ツールよりも低コストで導入し、シンプルかつ効率的に運用できること、さらに、マウスでほとんどの操作ができるというUIの分かりやすさも人気の理由です」

図2 POLESTAR Automationの機能概要

 構成情報の可視化では、Windows、Linux、UNIXといったサーバはもちろん、ネットワーク機器やクライアントデバイスなども管理対象にすることができる。ハードウェア情報はもとより、OSの種類やバージョン、ミドルウェア、アプリケーションの情報も収集可能だ。構成管理データベースによってバージョンの変更や履歴なども管理され、アップデートファイルの配信やネットワーク機器へのConfig情報の投入も可能としている。

 点検ポリシーのテンプレート化は、「標準ポリシーに従って、事前に定義した点検事項に対する順守状況を定期的に点検する機能」だ。システム点検や脆弱性点検が可能で、テンプレート化されているため、詳しい知識がなくても誰でも簡単・確実に点検できる。

 自動化ジョブ作成機能は、作業をジョブとして管理し、定期的に自動実行できるようにする機能だ。いわゆるジョブスケジューラーとして動作し、統合運用管理製品として利用することもできる。

図3 安定運用に欠かせないさまざまなジョブを自動化できる

 「POLESTAR Automationは、運用自動化ツールですが、近年は、構成管理ツールとして他の製品と組み合わせて利用するケースも増えています。例えばジョブ管理は既存の統合運用管理製品を利用し、構成情報の収集でPOLESTAR Automationを利用するといった使い方です。韓国では、SAPなど基幹系システムのバッチ処理のために、SAPとPOLESTAR Automationを連携するケースもあります」(キム氏)

図4 システムの構成情報をシンプル・確実に把握・管理できる

APIによる製品間連携がこれからの運用管理のカギ

 国内でPOLESTAR Automationを提供しているワイドテックの香取邦彦氏によると、このような製品間の連携は、これからの運用の在り方を考える上で大きなカギになるという。

ワイドテック プロダクト事業部セールスマネージャー 香取邦彦氏

 「例えば、OSSの構成管理ツールだけでは、PCのキッティング作業を自動化したりすることは難しいと思います。一方、従来のジョブスケジューラーだけでは、多様な構成情報を網羅的に収集することが難しい面があります。もちろんPOLESTAR Automationだけで、複雑化が進むITシステムの全てをカバーできるとは言いません。“必要に応じて、必要な機能をうまく組み合わせること”が重要で、そうした連携性がなければビジネス環境の急激な変化についていけなくなると考えます」(香取氏)

 NKIAでも、こうした製品連携は今後の中核的な機能の一つになると考えているという。

 「POLESTAR Automationの新バージョンの注目機能の一つがAPI連携です。運用管理の現場では、監視、構成管理、インシデント管理をそれぞれ個別のツールで管理しているケースが多いと思います。新バージョンではこれらをAPIでシームレスに連携できるようにします。例えば、構成管理ツールとしてPOLESTAR Automationを、監視ツールとしてZabbixを、点検ログやジョブ実行ログの管理でRedmineやBacklogを利用しているというケースでは、それらをAPIで連携します。これにより、何らかアラートが上がったら、それを検知して自動で設定変更やジョブ実行を行い、その結果をログに自動で記録するといった、一段階先の運用自動化が実現できるのです」(キム氏)

 日本でのビジネス展開においても、運用管理製品を提供するベンダーや、導入を担うSIerとパートナーシップを結び、さまざまなかたちでの製品連携を実現していく構えだという。「機能面だけではなくコスト面も含めて、それぞれの得意分野や苦手分野を補完し合いながら、ユーザー企業のシステム運用管理の自動化を支援していきたいと思っています」と、香取氏とキム氏は口をそろえる。

 「どのサーバに何がありどう動いているかがよく分からない」といった悩みから、「脆弱性対策」「Windows Update対応」「ネットワーク構成情報の管理」といった具体的な課題まで、韓国でトップクラスのシェアを誇るPOLESTAR Automationが活躍するシーンは、国内でも急速に増えていくことだろう。

 なお、NKIAとワイドテックでは、2019年6月12日(水)〜14日(金)に開催される「Interop Tokyo 2019」(会場:幕張メッセ)にPOLESTAR Automationを出展する。2019年後半にリリースする新バージョンも、同展示会で初披露する予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ワイドテック
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年5月30日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。