毎週発行されているパートナーNewsより選り抜きの記事をご紹介！ 第十七回　『セキュリティポリシー：セキュリティ運用維持』 ● 稼動監視と障害管理（その1） ■ セキュリティポリシー：セキュリティ運用維持 経営基盤の中核となりつつあるITインフラを停止せず、業務遂行のためにシステムを提供し続ける事、もしくは停止時間を最小限に抑える事は情報システム担当部門の責務であると言えましょう。その責務を果たすために、システムの稼動状況の把握と障害発生時にダウンタイムを短縮するといった仕組み作りは、能動的に損失の発生をコントロールする事を意味し、必要不可欠な事前準備と言えます。 稼動監視を進める上で、「何をどのように監視すれば良いのか。」という漠とした問題に直面しますが、システム停止時の影響度とシステムが抱えるデータの価値、両者を勘案した重要度により、稼動監視と障害管理方式を分類する必要があります。 また、稼動監視の前提として、監視対象に何のハードウェアを搭載し、どのネットワーク機器に収容され、障害発生時には、どのような影響をおよぼすのか(例：ハードウェアの交換が必要でダウンタイムが長引く等)を予測するために、監視対象の構成を管理する必要があります。 ここでは、システム/ネットワークの重要度を規定し、その重要度毎に稼動監視方式の定義と、それに伴う障害管理方式を規定することにより、システム利用者が快適に業務をこなせる環境を提供し続けます。 ● 稼動監視が必要なシステム/ネットワーク システムが稼動している以上、稼動監視は必要になるが、システムが提供するリソースの価値と、それを取り巻くネットワークにより重要度は異なってきます。単純なI/F監視のみで済む対象もあれば、断片的な障害でも事前に回避する対象もあります。システムの使用範囲とシステムが抱えるデータの特性から、監視方式を統一する事は運用とシステムリソース利用両面で非効率が生じる場合があります。 システム/ネットワークの監視方式を定義する上で、以下の重要度を設け、重要度に適合するシステム/ネットワークの要件を定義する必要があります。 （１）DoS攻撃 Webサーバなどが正規のサービスを提供出来ないように、外部から仕掛ける攻撃をDoS(Denial of Service)攻撃と呼ぶ。主に、サイトのリソースを食いつぶし、サービスを提供出来ないようにしたり、サイト自体を停止させる他、サーバに再起動を繰り返させる手法を取ります。 Dos攻撃の分類と影響度とその対策を以下に記します。 重要度４ システム/ネットワーク停止時には重大な損失を招き、影響が著しく大きく、計画停止以外の停止は許されない監視対象。 重要度３ システム/ネットワーク停止時には損失を招くが、30分以内のリカバリにより、停止の影響を取り戻せる監視対象。 重要度２ システム/ネットワーク停止時には損失を招く恐れがあるが、3時間以内のリカバリにより、停止の影響を取り戻せる監視対象。 重要度１ システム/ネットワーク停止時には損失を招く恐れがあるが、即日内のリカバリ(保守契約内のリカバリ)により、停止の影響を取り戻せる監視対象。 重要度０ システム/ネットワーク停止時の影響はあるが、ベストエフォートなリカバリ(保守契約内のリカバリ)により、停止の影響を取り戻せる監視対象。 ● システム/ネットワーク毎の稼動監視方式 システム/ネットワークの稼動監視には、監視システムの導入が効果的です。 監視システムが提供する監視方式を定義し、重要度単位のシステム/ネットワークの監視方式を規定する必要があります。 ・ 監視方式の定義 監視システムが提供する監視方式の代表的なものとして以下があります。 I/F監視(死活監視) 監視システムから監視対象のLAN I/Fに対しPINGを実行し、応答が無い場合は、停止と見なしアラームを上げる。 ログ監視 ログに出力された文字列から、システムの状態を確認すべき特定の文字列を検索し、ヒットした場合はアラームを上げる。 コマンド実行監視 プロセス/ディスク容量/メモリ使用量/CPU使用率といったコマンドの実行結果から、停止や閾値オーバを判定する。 MIBの状態監視 ファームウェア/アプリケーション固有で提供するMIBの状態変化を検知する。 例】クラスタMIB、UPS MIB、ウィルス検知MIB ・ 重要度毎の監視方式 重要度毎の採用監視方式の例を以下に記述します。 重要度 システムの採用監視方式 ネットワークの採用監視方式 重要度４ I/F監視(死活監視) ログ監視 MIBの状態監視 コマンド実行監視 I/F監視(死活監視) ログ監視 MIBの状態監視 重要度３ I/F監視(死活監視) ログ監視 MIBの状態監視 コマンド実行監視 I/F監視(死活監視) ログ監視 MIBの状態監視 コマンド実行監視 重要度２ I/F監視(死活監視) ログ監視 MIBの状態監視 I/F監視(死活監視：SNMP) 重要度１ I/F監視(死活監視) ログ監視 I/F監視(死活監視：SNMP) 重要度０ I/F監視(死活監視) I/F監視(死活監視：SNMP) ● ネットワークの管理手順 稼動監視を行う上で、以下の情報を把握する必要があります。 -監視対象には、何のハードウェアが搭載されているのか。 -監視対象は、何処のネットワーク機器に接続されているのか。 -監視対象は、どのように設定されているのか。 また、成長し進化を続けるシステム/ネットワークに対して、拡張毎にその管理情報をUpdateし、変更履歴を管理する必要があります。これにより、障害発生時の切り分け/影響範囲の把握、ウィルス等の感染エリアからの切り離しに即座に対応が可能となります。 当該項では、ネットワーク管理を例に、構成管理/変更管理/障害管理の方式について説明します。尚、監視とは「対象となるものが、状態変化を即座に把握する必要があり、リアルタイムで動的管理を必要とするプロセス」、管理とは「対象となるものが、利用期間において、どのような状態であったかを、必要時に確認するプロセス」と定義しています。 ・ 構成管理 構成管理は、ネットワーク管理において最も基礎となる部分です。複雑化したネットワークの中で、ネットワーク構成図から管理対象機器の正確な設置場所、接続形態を知り、「障害管理」、「変更管理」の基本情報とします。 物理的に「どのデバイスがどの様に接続されているか」、「アドレスはどうなっているか」を把握し、障害管理、変更管理を行う上での、最低限の情報を提供します｡ ・ 変更管理 変更管理は、システム定義変更/構成変更といった、作業の履歴を管理します。 これにより、「いつ？」、「誰が？」、「何を変更したか？」という情報が記録され、システム、ネットワークのパフォーマンス劣化時の原因追求や、設定変更作業の判断材料になるのです。 変更管理は申請制を採用し、原則として所定の予め定められたフローに従って作業を行うものとします。申請書は変更記録として管理する必要があります。 ・ 障害管理 障害管理は、ネットワーク上の障害の検知/通知を行い、どこでどの様な障害が起こったのかを把握し、障害原因の究明と早期復旧を行いダウンタイムの短縮を図ります｡ また、将来のために障害記録と復旧記録を残し、トラブルシューティング集として活用します。これを繰り返す事により、二度と同じミスを起こさない抑止効果と、同じ障害が発生した場合にはダウンタイムが短縮され、障害管理の運用自体の精度を高める事が出来ます。 障害管理では、構成管理情報とパフォーマンス情報を基礎データとし、障害未然防止も図ります。 コラム・タイトル一覧 第十六回　『セキュリティポリシー：セキュリティ運用維持』(3)　← →　第十八回　『セキュリティポリシー：セキュリティ運用維持』(5)