システム監視設計の実践プロセス：セキュリティ強化に必要な項目の見つけ方

システム運用管理において、業務の大きな割合を占めるのがシステム監視です。システム監視を正しく遂行するためには、あらかじめ建設的な設計を実行し、現場の業務に落とし込むことが求められます。

この記事では、システム監視設計において知っておきたい、設計の進め方や具体的なシステム監視の項目について、詳しく解説します。

システム監視設計とは

システム監視は、システム運用管理の一環として必要な業務です。社内で運用しているシステムの安定稼働を維持することが目的で、システムの稼働を妨げる不具合の予兆や、サイバー攻撃の形跡を早期に発見するために行います。

一台のPCの安定稼働を行うだけであれば、常にPCを監視しておくような手間はかかりません。近年はセキュリティソフトやモニタリングソフトが充実しているので、それらに任せておけば監視業務は成立します。

一方、社内全体で運用しているシステムについては、複数のハードウェアやソフトウェアによって構築されているため、一台のPCを監視するよりもはるかに複雑です。そこで必要なのがシステム監視体制の構築で、システムの状態をリアルタイムでくまなく監視できるよう仕組みを整備しなければなりません。

また、システム監視はただツールを導入すれば良いというものではないのも難しいところです。体制の構築には入念な設計が必要であり、準備段階から丁寧にプロセスを組み立てていくことが求められます。

そのため、システム監視に際してはシステム監視設計にも時間をかける必要があることを覚えておきましょう。

システム監視設計の目的

システム監視設計を正しく行うことは、以下の目的を達成する上で重要な工程です。システム監視を設計する意図について理解を深め、質の高い監視体制の構築に役立てましょう。

機会損失の回避

システム監視設計の大きな目的が、機会損失の回避です。高度に業務のシステム化が進んだ現場において、システムの安定稼働が損なわれることは大きな損失をもたらす可能性があります。

システム上で一度障害やサイバー攻撃が発生してしまうと、復旧までには相応の時間を要するのが一般的です。復旧が可能であればまだ良いものの、最悪の場合システムを再構築し直す必要が出てくるケースもあるため、そうなった場合には重大な損失につながることもあるでしょう。

こういった事態を回避する上で重要なのが、システム監視とその設計です。あらゆるリスクに備えた設計構築を実現すれば、インシデントの発生に伴うリスクを最小限に抑えることができます。

サイバー攻撃の回避

システム障害による業務の停止は、機会損失だけで被害を抑えることができます。ただ、サイバー攻撃の場合はシステムの停止だけでなく、それ以上の被害を被る可能性があるため、最大限の対策を施す必要があるでしょう。

近年日本で増加傾向にあるのが、企業を狙った身代金目的のサイバー攻撃や、機密情報を狙った不正アクセスです。

身代金目的のサイバー攻撃は、ランサムウェアと呼ばれるマルウェアを何らかの経路を通じて社内システムにインストールし、システムをロックしてしまうものです。システムのロックを解除する代わりに、攻撃者は身代金を要求するこの手法は、国内企業でも被害が相次いでいます。

また、企業の機密情報を狙った不正アクセスも、機密情報が高額で売買されていることもあり、多くの企業が被害を受けています。

このような攻撃の数々を未然に防止する、あるいは攻撃を受けた際の被害を最小限に抑える上で、システム監視は非常に有効です。攻撃の予兆を早い段階で検知し、本格的な攻撃が始まる前に、脅威を隔離したり排除したりといった、防護措置を実行できます。

DXの推進

システム監視に注目が集まっているのは、多くの企業でデジタル化が進められていることも背景にあります。高度にデジタル化された業務環境を適切に管理するには、システム監視体制の見直しも必要です。

DXは、現場で使用する環境をデジタル化するだけでは不十分です。新たに導入するシステムを含めて、全社的にシステムが正しく稼働するよう、システムの構成の見直しと、監視体制の再設計が求められます。

場当たり的にDXツールの導入を進めていると、システム監視がカバーしきれない範囲が出てくることもあります。このような事態を回避するためにも、DX推進の際にはシステム監視設計にも目を向けることが重要です。

システム監視の主な種類・監視項目

システム監視設計の際、知っておかなければならないのがどのような範囲を監視しなければならないのか、という全体像の把握です。

システム監視は、主にインフラ管理とサービス管理の二種類に分かれます。ここでは、それぞれの監視項目がどのような領域をカバーするのか、詳しく解説します。

インフラ監視

インフラ監視は、システムを構成するITインフラの監視業務を指す項目です。システムを構成するITインフラ基盤は多様で、主なインフラには

• サーバー
• OS
• ネットワーク機器

といったものが挙げられます。インフラ上で発生した障害は、重大なインシデントに発展する可能性があります。そのためインフラ監視はシステム監視業務の中でも優先度が高く、監視設計の際にも丁寧な構築が求められます。

また、インフラ監視においては主に以下の監視手法が現場で採用されています。それぞれの特徴をまとめて確認しておきましょう。

リソース監視

リソース監視は、社内システムを支えるサーバー上のハードウェアのパフォーマンスを確認するための監視項目です。具体的には、CPUやメモリ、ストレージといったハードの動作確認を行います。

リソース監視を通じて、過剰な負荷がかかっていないか、あるいは正しく動作しているかを確認し、システムの安定稼働をサポートします。

Ping監視（死活監視）

Ping監視は、監視端末を通じてPing信号をインフラに対して送信し、正しく信号が返ってくるかを確認する監視項目です。

信号の送信は定期的に実行し、その都度適切な応答があるかを確認します。応答が返ってこない場合にはインシデントの兆候があると見て、より詳細なエラーの確認へと移行します。

ログ監視

ログ監視は、インフラ上の動作をログとして記録した上、それを確認する監視項目です。平常時のログと異常時のログを比較することで、インシデントの兆候を早期に検知することができます。

また、万が一インシデントが発生した場合も、ログを確認することでその原因を早期に把握可能です。日頃のログ監視業務が、システム保守業務にも良い影響を与えます。

SNMP監視

SNSMP監視は、SNMPと呼ばれる共通規格のプロトコルを用いた監視項目です。共通規格を使った監視体制を構築できるので、ハードウェアやソフトウェアの互換性などの影響を受けることなく、監視業務を遂行できます。

パブリッククラウド監視

パブリッククラウド監視は、インフラを構築しているパブリッククラウドサービスのモニタリングを実施する監視項目です。

これまでITインフラは、社内で独自に構築するオンプレミスが主流でした。一方で近年はサードパーティのクラウドサービスを使ってインフラを整備するケースも増えており、業務の効率化やBCP対策の面から評価されています。

インフラ構築に活躍するクラウドサービスには、Google CloudやAWSといったものが挙げられます。パブリッククラウド監視では、独自にこれらのクラウドサービスの稼働状況をモニタリングし、早期に障害の兆候を検知します。

サービス監視

インフラ監視ではカバーしない、サーバー上のソフトウェアの動作を監視するのがサービス監視です。サービス監視項目には、外形監視とプロセス監視の2種類が存在します。

外形監視

外形監視は、システム監視担当者がエンドユーザーと同じプロセスでシステムにアクセスし、実際に利用してみることでパフォーマンスを評価する監視項目です。

システムの内側ではなく、外側から稼働状況を確認することで、想定している速度でページが表示されているか、正しくアプリが機能しているかを評価できます。

プロセス監視

プロセス監視は、システムを支えているアプリケーションの動作を確認する監視項目です。エンドユーザーにサービスを正しく提供するためには、内部でも複数のアプリを実装し、正しく機能するよう管理しなければなりません。

外形監視でシステムの外側部分を、プロセス監視でシステムの内側をカバーするような役割分担です。

システム監視設計に際して検討すべきポイント

どのようなシステム監視体制を構築するかは、実装している社内システムによって千差万別です。そのため、適宜必要な要件を確認しながら、設計は進めなければなりません。

ここでは、システム監視設計に際して検討すべきポイントがどこにあるのか、整理しておきましょう。

どんなシステムを運用しているのか（したいのか）

システム監視設計には、まず社内でどんなシステムを運用しているのか、あるいはこれから運用するのかを明らかにする必要があります。

先に「どんな監視ツールを導入するか」を考えてしまうと、実際のシステムの都合を無視して監視体制を整備してしまい、網羅的な監視効果が得られなくなってしまうからです。

監視ツール導入はあくまで手段であるため、本来のシステム監視の目的を忘れないようにすることが重要です。

想定されるインシデントは何か

システム監視は、どんなリスクからシステムを守るための取り組みなのか、ということを理解しておくのも忘れないようにしましょう。

具体的な脅威が明らかになっていないと、やはり漠然とした監視体制の整備となり、見落としたリスクが発生する恐れがあります。

どんな脅威からシステムを守らないといけないのか、どうすればそれらのリスクを回避できるのか、情報をインプットするべきです。

インシデント発生後のシナリオを想定できているか

システム監視体制をどれだけ高い水準で構築できても、不測の事態が発生するリスクはゼロにはできません。最新のデジタルツールの導入によるシステムの刷新や拡張は、思わぬ干渉や障害を招く恐れがあります。

また、近年はサイバー攻撃が多様化し、想定外の攻撃を受けるケースも増えています。従来では境界防御と呼ばれるセキュリティコンセプト、つまり水際で全ての攻撃を無力化する手法が一般的でしたが、近年採用されているのはゼロトラストのコンセプトです。

ゼロトラストとは、サイバー攻撃を完全に防ぐのは不可能という考えのもと、いつどこから攻撃を受けても良いよう、備えを万全にしておくというものです。

システム監視においても、ゼロトラストに基づいた設計を取り入れる必要があるでしょう。

システム監視設計の流れ

システム監視の設計手順は、主に

1. システム監視の目的を整理する
2. 監視体制の要件定義を行う
3. システム監視ツールを選定する
4. 設計方針を定める

の4ステップに沿っていくこととなります。順序立ててシステム監視の設計を進めていくことで、計画的な体制構築につながるでしょう。

システム監視の目的を整理する

はじめに、システム監視の目的を整理します。そもそもなぜシステム監視設計を行う必要があるのか、監視体制を構築して、どんなゴールを達成するのかを書き出しましょう。

目的の設定は、できるだけ具体的である方が有効です。数値目標を定めるなど、ゴールの設計に工夫を施します。

監視体制の要件定義を行う

目的を設定できたら、それを達成するための要件定義を行います。そのゴールに到達するには、どんな機能がシステム監視の仕組みの中に組み込まれていれば良いのか、何が必要で、何が不要なのかを明らかにしましょう。

要件定義における決定事項は、実際のシステム構築において必ず導入されます。逆に言えば、要件から漏れた機能などについては実装されない可能性があるため、必須要件は全てカバーしておくことが大切です。

システム監視ツールを選定する

定義した要件を満たすことのできる監視ツールの選定を進めます。システム監視は一つのツールで賄えることもあれば、複数のツールを組み合わせて運用しなければならないこともあります。

システム監視ツールを選ぶ際には、まず機能面で要件を満たしているものか、そして予算の都合に適したものであるかを踏まえ、選定しましょう。

設計方針を定める

ツールの選定の後は、それらを用いて設計方針を定めます。設計方針を定めるに当たっては、どのような監視項目を設けるのか、どんな値に基づいて監視を行うのかといった事項の確認が必要です。

障害の監視にはこの監視項目を、性能監視にはこの項目をといったように割り当て、運用のイメージを固める上でも役立てましょう。

システム監視項目の洗い出し方

具体的にどのような監視項目を実装するべきかは、以下のポイントに則って業務フローを進めることをおすすめします。

• システムが提供する機能を確認する
• システムの構成内容を把握する
• システム構成要素の仕組みを理解する

監視項目を決めるには、まずシステムが提供する機能を確認します。どんな機能を有するシステムなのかによって、監視のアプローチが変わるからです。

また、システムがどのようなソフトやハードの組み合わせによって構成されているのか、その内訳にも目を向けましょう。それぞれの構成要素がどんな役割を果たし、どのように相互に機能しているのかが理解できれば、おのずと実装すべき監視項目も割り出せるようになるでしょう。

まとめ

この記事では、システム監視設計の進め方について、具体的な監視項目やその洗い出し方なども含めて解説しました。

システム監視設計において、重要なのはまずシステムへの理解を深めることです。どれだけ優れたツール導入を予定していても、そのツールが実装先の環境や潜在リスクを踏まえていないと、十分な監視効果が得られません。

監視設計の段階では、そのようなシステムの都合を踏まえ、どんなゴールを達成したいかを先に考えることで、計画的かつ質の高い監視体制の構築が実現するでしょう。