御社の環境で何か不具合が発生したとき、あなたが最初にする質問は何でしょうか。システムがダウンしたのか?サービスが適切に実行されていないのか?スイッチを入れても何も動かないのか?
1988年の11月、ITセキュリティをがらりと変える事件が発生しました。そして、このような質問をすることも急激に増えました。それは、Morris worm(モリスワーム)がインターネット上に最初に放たれた時でした。
そもそもは損害を与える意図を持って書かれたものではないMorris wormは、各コンピュータに複数回に渡って感染しました。感染の都度マシンに負荷を与え、最終的に使用不可能な状態にしてしまいました。
その頃、ジーン・キム(Tripwire の創業者)は偶然 Sun Microsystems でパートタイマーとして勤務をしていました。Morris wormは、その時、彼が直接担当していたシステムに多大な影響を及ぼしたのです。職場でシステムダウンの状況を目にした彼の質問は「何が変更されたか?」でした。前日まで問題なく稼動していたシステムが、その時には使用不能になっていました。
ジーンが注目した「何が変更されたか?」という疑問は、結果として Tripwire製品の基盤となるテクノロジを生み出すきっかけとなりました。
私はこの記事で、特に Tripwire製品について話そうとしているのではありません。むしろ『変更』に関する議論に興味があり、企業が『変更』を ITオペレーションやセキュリティ、コンプライアンスにどのように活用することができるかというところに関心を持っています。
チャールズ・ダーウィンはかつて「生き残ることができるのは、最も強い種でも、最も賢い種でもない。最も変化への対応力を持つ種なのだ」と言いました。
同じことが IT組織にも言えると思います。変化に対応するためには、まず、いつ、どのような変更が発生したか、その変更が組織にどのような影響を及ぼす可能性があるかを理解しなければなりません。
しかし、それは第一歩にすぎません。本当に効果的に対応したいのであれば、どのような変更は許可され、どのような変更は許可されないといった厳密なポリシーを確立する必要があります。「どのような変更は許可されないか?」という問いには単純な答えがあります。すべての組織は、不正な変更をゼロにしなければなりません。
そうです。ゼロです。御社のビジネスには流動性が必要であり、変更チケット発行やあらゆる「プロセス」の提出などで開発者を煩わせたくないという反論もあるでしょう。もちろん、はじめは誰しも厳密なプロセスに従いたくはないでしょう。しかし、厳密な変更管理プロセスをひとたび受け入れて、大雑把な開発者向けにいかなる違反も許さない「ゼロ・トレランス」の文化を作り出せば、御社の環境におけるコントロールと信頼性のレベルは飛躍的に向上します。そうすれば、あなたもその効果を信じるでしょう。
IT Process Institute が公開した調査では、「目先の問題ばかりを気にして、管理者が苛立っている成績の悪いIT企業」と、「ビジネスに価値を生み出そうと奮闘しているIT企業」、および「高い価値と費用対効果を生み出している成績の良いIT企業」の基本的な違いを説明しています。
これらの組織の最も重要な違いとは、「変更を把握しているかどうか」であることがわかります。どうしてそうなのかを考えると面白いでしょう。
「変更を把握すること」はまた、ITセキュリティとコンプライアンスの確保における肝でもあります。なぜなら、他のセキュリティ対策で攻撃者を遠ざけたり、脆弱性に蓋をしても、「何が変更されたのか」という質問には答えることができなければいけないからです。実際、ファイル整合性モニタリング(FIM)の定義は、ファイルの変更の把握が元となっています。そのため、PCI DSS の最初の公開の際には、ファイル整合性モニタリングのための要件として Tripwire製品が挙げられました。
なぜそれが重要なのでしょうか?これまでのITセキュリティの軌跡を見て、今後どうなっていくのかと考えを巡らすのは楽しいことです。
ITセキュリティ業界は、過去 10~15年の間に爆発的に拡大しました。そして、この勢いはすぐには止まりそうもありません。毎年、新たな企業が出現し、新たな投資が行われ、新たなテクノロジが開発されます。そして、人々は新しいテクノロジに気を取られがちです。
しかし、ジーン・キムが最初から提唱していた「変更を把握する重要性」は変わっていません。テクノロジが今後どのように変化しようと、変更の把握は、常に健全なセキュリティ対策と優秀な IT企業の胆となり続けます。
私はこれまで、金融業界からヘルスケア業界、小売業まで幅広い業種の企業と関わってきました。IT機能に対するニーズや要件は各企業ごとに異なります。しかし、結局、どのような企業も、ビジネスに価値を加えることを最優先としています。また、業界に関わらず、ITのベストプラクティスは一貫しています。
最後に 1つ言えるのは、ファイル整合性モニタリングと変更管理を IT組織の基盤と考えるべきだということです。素晴らしい製品を作りたい。最新鋭のテクノロジを使いたい。あらゆる「楽しい」ことをしたい。それは大いに結構です。しかし、確固たる基盤を築かなければ、他のテクノロジの効果は薄れてしまいます。
まずは、御社の基盤を確固たるものにしなければなりません。修練が必要となりますが、変更事項を正確に把握し、厳密な変更管理プロセスを実現するために時間と努力をつぎ込めば、その基盤の上に構築するものは、強く、長続きするものとなるでしょう。
御社ではどうでしょうか?不正な変更による影響を感じますか?まだ変更管理を実現していなくても、それは御社だけではありません。これは、どの組織も通る道であり、完全に実現している企業はまれです。しかし、ゼロ・トレランスのゴールに向けて、その文化を作り出し、努力することに価値があります。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
