「セキュアな運用」を考える

第4回 自分たちの運用を知る(把握する)

概要

ここ近年、サイバー攻撃の巧妙化やセキュリティインシデントの複雑化が進み、その発生を完全に防ぐことはほぼ不可能となってきたと言われています。 企業や組織も従来とは「セキュリティ」の考え方を根本から改めることが求められており、「インシデントは起こるもの」という事故前提での業務設計が必要になってくると考えられます。 本コラムでは、今後求められる「セキュアな運用」について、現場の視点を中心に考察していきたいと考えています。

前回のコラムでは、「運用設計」とは何か、「運用」とは何か、についてお話をしました。 「運用」を「サービスデリバリ」と捉え、自分達の業務の「サービス価値」や「デリバリ価値」を向上させることにより、運用現場自体の価値を他者に認知させていくべきである、と考察しました。
 
ここからは、「運用とはサービスデリバリである」ことを前提に、「セキュアな運用」の実現を考える上で重要なトピックを数回にわたって取り上げていきたいと思います。
まず、セキュア運用を実現する上で大前提となる「自分達の運用を知る(把握する)」ことについて、考察していきます。 大きな論点として、以下の3つを取り上げていきます。
 
 1. 運用への「期待」の把握
 2. 自分達の「価値」の把握
 3. 起こりうる「リスク」の把握
 
自分たちの運用を知るためには、最初に自分達の運用業務に対してどのような期待があるかを把握する必要があります。
 
「運用」のステークホルダーを知る
まず、「運用」は何のために行なわれているかを考えてみましょう。 前回のコラムで「運用とはサービスデリバリである」とお話ししました。 そして「サービス」とは「何らかの価値を提供すること」であり、「デリバリ」とは「継続的に提供すること」と表現しました。 この表現は、「事業」という言葉と非常に近いものと考えてよいと思います。
 
「事業」とは、一般的に「(営利か非営利かを問わず)対価を得て、社会的意義のある価値を提供すること」とされています。 そして、運用現場で働く人は(ボランティアの場合を除いて)何らかの報酬を得て活動しています。 つまり、「運用」は「事業(ビジネス)を継続するために行なわれている」と言うことができるでしょう。
 
運用業務が「事業(ビジネス)を継続するために行なわれている」ということは、運用業務は企業経営の一部もしくは企業経営そのものと考えることができます。 「運用」を「企業経営の一部」と大きく捉えた場合、運用現場には以下の主要なステークホルダーがいることになります。
 * ユーザ (事業価値を評価して対価を支払う人)
 * 経営者 (事業戦略を考える人)
 * 従業員 (事業戦略を遂行し、ユーザに事業価値を提供する人)
 
 
「運用」のステークホルダーが求めるもの
企業経営の一部としての運用現場に関与する各ステークホルダーはそれぞれに何を求め、求められているのでしょうか。
 
1. ユーザが求めるもの (ユーザ視点)
まず、事業価値を評価して対価を支払う人である「ユーザ」は、その需要によって潜在的もしくは既存の市場を形成し、自分達の需要に合致するサービスを探し出して利用しています。
かつては、その需要の変化はゆるやかでしたが、新規技術や新規サービスが頻繁に登場する今日においては、「ユーザの求めるもの」自体が変わり続けており、かつてはお得と考えられていた長期契約が「むしろ時代の変化に対応しづらくなる」とデメリットに感じる人達も出始めています。
今後、「ユーザが求めるもの」は「常に変わり続けていく」ものとなっていくでしょう。 従来は安定した固定客が見込めた業界においても、サービスの離脱率が上昇傾向になる可能性が高いと考えられます。
 
このときに企業に求められるものは、ユーザの需要を先取りして新たなサービスを提供することができる「ユーザ視点」となっていくでしょう。 最近のサービス動向を見ると、「自分達が実際に使ってみて、ユーザとして良いものだと思うから、広くユーザに提供する」という、本当の意味での「ユーザ視点」で作られたサービスがやはり力強い成長を遂げています。
 
2. 経営者が求めるもの (スピード)
次に、事業戦略を考える人である「経営者」は、潜在的もしくは既存の市場における需要を予測して、その需要に合致するであろうサービスを創り出して供給しようとしています。
 
かつては、今ほど新規技術や新規サービスの登場が頻繁ではなかったため、市場とその需要変化の予測精度が高く、いわゆる「長期戦略」が有効とされていた時代でした。 しかし、前述したようにユーザ需要がきまぐれに変化する時代となり、供給側の都合には付き合ってくれなくなったことで、需要と供給の乖離が簡単に発生するようになってきました。 これは、戦略が変わり続けることを意味し、市場に対する長期戦略が意味を持たない時代になったことを示しています。 (自社のコアコンピタンスに対する長期戦略に意味が無くなったわけではありません。)
 
市場の変化に対応できない企業は市場からの退場を余儀なくされる(引いては潰れる)ことから、経営者としては市場への最適化を図るために、市場での小さな需要や変化を捉えて「小さな失敗を織り込んだ短期戦略」を常に繰り出していく必要に迫られています。
 
仮に戦略だけ変更しても、その遂行が伴わなければ意味が無いため、今後、「経営者が求めるもの」は「常に変化に耐えうるアジリティ(俊敏性)と柔軟性の高い従業員が揃っている事業現場」となっていくでしょう。 今日においては、経営者の立てた仮説(短期事業戦略)を直ちに検証(事業遂行)できる、つまりスピード感を伴った事業オペレーション(運用)の可否が企業の命運を握ることになる、と言ってよいのではないかと思います。
 
このときに従業員(事業現場)に求められるものは、経営者の戦略を先取りして事業遂行の下準備ができる「経営者視点」となっていくでしょう。 と言うことは簡単ですが、実現することは容易ではありません。 経営者は、自身が考える事業戦略と従業員が持つコアコンピタンスとを合理的に関連付け、従業員がどのように活動すれば経営者の考える事業戦略を実現できるのかを客観的定量的に示す必要があります。
 
3. 従業員が求めるもの (安定性)
事業戦略を遂行し、ユーザに事業価値を提供する人である「従業員」は、一般的に業務の安定性、地位の安定性、評価基準の安定性を求める傾向が高いと言えます。
終身雇用があたりまえと考えられていた時代においては、この3つの安定性を鼎立させることは可能だったようですが、事業環境の変化が激しい今日においては特に業務の安定性や地位の安定性については相応の努力を払わないと難しくなってきたと言えるでしょう。 従来は許されていた社内力学によるポリティカルゲームや、データがあることを理由に目的もなく解析するような「手段を目的化」したような活動など、その組織のリソースを内部で消費するような行動をする余裕は徐々に無くなってきています。
 
経営者から割り当てられた自分達のリソース価値を減殺させずにユーザ価値に転換できるかどうかが、今後の組織の存立にかかわる重要なポイントとなっていくと考えられます。
 
リソース価値を減殺させずに、経営者の定めた短期戦略に合せて、敏捷性と柔軟性を持って事業遂行し、ユーザに評価される価値を提供し続けること、が特に事業継続性の面から今後の事業現場においては強く求められていくようになるでしょう。
 
 
 
図:「運用」のステークホルダーが求めるもの
 
 

2.「期待を知る」ということ

なぜ、セキュア運用を考える上で、運用への期待を知る必要があるのでしょうか。
 
それは、運用現場における優先順位を決めるためです。 運用現場には無限のリソースがあるわけではありません。 無限のリソースが無い状況で、ひとつずつ確実に任務をこなしていくためには、何らかの形で優先順位を決める必要があります。
 
従来は、現場の業務における優先順位は現場の視点で決めてきました。 しかし、業務が複雑化し、またその処理量が増えると、徐々に各運用現場、事業現場において局所的な最適化が進んでいきました。 まだ牧歌的な時代にはセキュリティは事業の本筋の扱いではなく、あくまでも追加オプション扱いであり、事業設計や運用設計とは別に独立して議論されてきました。
 
各現場での局所最適化に加えてセキュリティは別建てかつ追加オプション扱いで設計されているため、ポリシと現実の乖離があらゆるところで発生し、追加オプションであるはずのセキュリティが本筋の事業価値に対する重荷になっているのが現実です。
このような現状から脱却するためには、「運用」のステークホルダーが求めるもの、つまり「期待」に基づいて、事業における価値や業務の価値の軽重を基に、優先順位を付けて、セキュリティを考える必要があるのです。
 
 

3. まとめ

今回は、セキュア運用を実現する上で大前提となる「自分達の運用を知る(把握する)」ことのうち、運用への「期待」の把握について考察してきました。
次回は、自分達の「価値」の把握、について考察していきたいと思います。

連載一覧

コメント

筆者紹介

筆者紹介
波田野 裕一 (はたの ひろかず)
運用設計ラボ合同会社
シニアアーキテクト

キャリア、ISP、ASPにてネットワーク運用管理およびサーバ、ミドルウェア、障害監視センタの構築や運用に従事。
システム運用の苦労がなぜ軽減されていかないのか?という疑問をきっかけに2009年より運用業務に関する研究活動を開始し、エンジニア向けイベントでの講演や各種媒体での執筆の他、情報関連の学会や研究会などにおける論文発表なども行っている。

バックナンバー