毎週発行されているパートナーNewsより選り抜きの記事をご紹介！ 第二十一回　『セキュリティポリシー：システム運用』 ● システム改版時の標準作業方式基準（その1） ■ セキュリティポリシー：システム運用 ● システム改版時の標準作業方式基準（その1） 本来システムは、システムライフサイクルの終了まで、改版無しで動き続ける事が可能なように、設計/開発作業が行なわれるべきですが、稼動時間の経過や環境の変化によって、システムを改版する必要がでて来ます。改版作業は、エンドユーザの要望やアプリケーション/データの陳腐化により発生するもので、システム改版とは、主に機能アップを目的として行われます。 システム改版は、計画的に行なわれるべきものであり、重要なシステムであれば、あるほどシステム改版は必須の要件になってきます。また、システム改版作業に失敗しますと、重要なシステムであればあるほど、その与える影響は大きくなります。 このため、システム改版作業をできるだけ標準化し、システム改版の不備によって起こりうる、企業損失を回避する必要があります。 ● システム改版の申請と認定 ・ システム改版のタイミング システム改版は計画的に行なわれる改版(以下、計画改版と称します)と、必要に迫られて緊急に行う改版(以下、緊急改版と称します。)とに分類されます。 計画改版では、期初に改版を行う必要性の議論、掛かるコストとそれによって得る利益とのバランスから行う判断を、IT担当部門で行い、予算の確保とスケジュールの作成を行います。 従って、システム改版を実施するタイミングは、基本的には予算が確保され、計画で示されたスケジュールに依存します。 また、緊急改版では、プログラムの不良や致命的な欠陥により、明日にでも運用が出来なくなる恐れがあるものを対象とします。緊急修正に備え、期初にある程度想定した予算枠を確保しておき、予算外申請無しで改版作業が行なえるように準備する必要があると考えます。 ・ システム改版作成主体 システム改版は、エンドユーザの要望を受けて、IT担当部門が改版を行う判断をします。従って、全てのシステム改版については、IT担当部門が作業主体となるのが一般的です。 IT担当部門はエンドユーザ要望のヒアリングを行い、要求仕様を纏め、改版作業に適合するソフトウェア開発ベンダーの選定と発注を行います。 ソフトウェア開発ベンダーは、IT担当部門が作成した要求仕様に基づき、改版作業を進めます。 ・ システム改版要望の妥当性 システム改版要望の妥当性については、IT担当部門が検証を行います。 当該システム改版を行うにあたって、開発設計要員のアサイン計画、当該変更の必要最低時期のバランスを見て、改版作業及び、適用時期のスケジュールを決めます。 ・ システム変更の手順 システム変更作業について、予めフロー作成しておく必要があります。 ● 改版/適用標準作業方式の策定 ・ 適用作業手順/適用作業内容のブレークダウン システム改版作業を実施する上で、あらかじめ以下を確立し作業手順を策定する必要があります。 (1)　作業に伴うリスクを事前準備作業によって回避します。 − 作業実施中に発生しうるアクシデントに対し、アクシデントの内容を予測し、想定対応を準備しておきます。 (2)　作業実施時には、正確な進捗の把握と管理を可能にする計画を立て、体制を確保します。 改版適用作業は、改版内容が、アプリケーション改版のみの適用作業と、データ移行を伴う適用作業では、その手順、複雑性において大きく異なります。 データ移行を伴う適用作業の場合、現場のデータ移行方式により、移行が不可能になったり、データ自身の破壊、消失が発生する恐れがあります。データ移行実行前の状態にに戻す手順及び、データの正当性の確認作業が、アプリケーション改版のみの適用作業と比べ、複雑で時間を要するのです。 正しく動作していると判断していても、実は誤った処理を実行し元に戻す事が困難である、という重篤度が高い状態に陥る恐れがあります。 従って、データ移行を伴う適用作業のテスト時には、データを復元するために、DBの再構築からやり直すという、高いリスクを持ち合わせているため、データの整合性チェックを、慎重かつ充分に行う必要があります。 アプリケーション改版のみの適用作業と、データ移行を伴う適用作業とのデータ検証方法の比較を以下に示します。 システム改版作業を実施する上で、あらかじめ以下を確立し作業手順を策定する必要があります。 (1)　アプリケーション改版のみの適用作業 基本的に、データの編集処理や加工処理の改修は行ないません。データの検証については、画面表示やOUTPUTが正しく出力されているかのレベルとなります。 (2)　データ移行を伴う適用作業 従来のテーブル修正等を伴う作業であるため、移行作業が正しく更新/出力されている事を重点的に検証を行う必要があります。 コラム・タイトル一覧 第二十回　『セキュリティポリシー：システム運用』(2)　← 　 →　第二十二回　『セキュリティポリシー：システム運用』(4)