「絶えないどころか加速するIT運用現場のひっ迫、その有効な打ち手とは」
「IT運用者の負担増加」。既に皆さんも"耳タコ"かと思いますが、具体的な改善策が打たれていないと感じられている方も多いのではないでしょうか。
そこで、テレワークの導入が急速に進んだ2020年6月頃を起点に改めて企業のテレワークの普及とIT運用負荷の増加について、加えて、考えられている打ち手の一つITやセキュリティ「運用の自動化」について考察なども交えてまとめました。
企業のテレワーク導入と加速するIT人材不足
2020年以前のテレワーク推進要因は働き方改革が中心でした。しかし、2020年に入って新型コロナウイルスの影響により、急速な普及を続けています。
2020年9月に東京都が公表した令和2年度のテレワーク導入実態調査結果(調査時期は2020年6月30日)からも、都内の企業の57.8%が既にテレワークを導入しております。令和元年時点では25.1%であったのに対して1年足らずで倍増している状況です。(下図参照*1*2)
また、同調査結果の中ではテレワークの維持・拡大意向についても触れられており、テレワーク導入企業のうちの80.4%は「継続・拡大したい」もしくは「継続したいが、拡大は考えていない」と回答しており、今後もテレワークの利用を継続する意向を持つ企業が多いといった調査結果となりました。(下図参照*1*2)
そしてテレワークの普及・定着に伴い、VPN、Web会議ツール、グループウェアなど新たなシステムやサービスの導入が急速に進みました。
このように、新たなシステムやサービスが増えることで運用や保守が増える中、それらのアウトソーシングを併用するもIT部門の業務の増加が避けられない実態もあります。
"デル・テクノロジーズは2020年8月4日、日本の中堅企業を対象にした「IT投資動向調査追跡調査」の結果を発表した。テレワークを実施した企業は63.9%で、それらの企業ではヘルプデスクやパソコン、ネットワーク管理などテレワーク支援に割くIT担当者の業務時間が10.3%増加したと分かった。"
~中略~
"テレワーク支援に割くIT担当者の業務時間増については、従来業務が置き換わったわけではなく「純粋にIT担当者の残業時間が増加したと捉えている」(デル・テクノロジーズの木村佳博広域営業統括本部デジタルセールス&広域営業本部長)という。"
(引用元:*3)
この記事で言われるところの"業務時間増"の主な要因は外部レポート交えて後述しますが、企業が抱えるIT運用にまつわる他の問題として無視できないのは、従前から懸念・危惧されている通り、IT人材不足は今でも継続しているということです。
"独立行政法人情報処理推進機構(IPA)が8月31日に発表した「IT人材白書2020」で、IT人材の「量」への過不足感を聞いたところ、最新となる2019年度は「大幅に不足している」が前年比1.9%増の33%、「やや不足している」が同1.7%増の56%と、人材不足が継続していることが分かった。
また、人材の「質」について聞くと、最新となる2019年度は「大幅に不足している」が前年比5.7%増の39.5%、「やや不足している」は51%となり、質で見てもIT人材が不足していることが見えてきた。特に、1001人以上の企業に限ると、質に対する不足感がさらに増している。「大幅に不足」が48.3%で、2018年度の38.1%から10.2ポイント上昇となっている。" (引用元:*4)
過去振り返って2018年に経産省が警告した「2025年の崖」でも言及があった人材不足や人員のひっ迫の加速、いまだに有効な打ち手を考え、講じられている企業はそう多くはないのが現実なのではないでしょうか。*5
具体的にどのような負担が増加したのか
よく耳にする企業のIT部門の負担増加ですが、具体的にどのような業務が増えているのか、あまり多くの情報は公開されていません。
もちろん、現場の生の声に勝るものはないのですが、本件について米国社が調査レポート年月を公開していたので、その調査結果から以下抜粋します。
同社レポートによると、以下5つのトラブルがテレワーク導入後3ヵ月間でIT部門における業務増加に最も影響を与えているものとして挙げられています。(以下原文レポート抜粋の日本語訳*6)
1位 74% VPNにおける問題
2位 56% ビデオ会議システム
3位 48% ネットワーク帯域の制約
4位 47% パスワードリセット
4位 47% 通知/コミュニーションにおける問題
加えて、セキュリティリスクのうち、テレワーク導入以降で最も高まったとされる3つを挙げています。(以下原文レポート抜粋の日本語訳*6)
1位 58% 不審メール受信
2位 45% 従業員の不正操作、振る舞い
3位 31% ソフトウェアの脆弱性増加
また同社レポートを取り上げた海外記事を日本向けに編集されたものも公開されています。ご参考として記事の末尾にリンクを記載します。*7
このレポートにおいて列挙されている、業務増加に影響を与えているとされるものには、以下特徴を持つ作業が必ず含まれています。
これらはGoogleが提唱するエンジニアの役割の一つで、システムの信頼性に重きを置いたベストプラクティス、SRE(Site Reliability Engineering)に記載のある"Toil"(以下トイル、直訳:労苦)の定義です。*8
- 手作業である
- 繰り返し発生する
- 自動化可能
- 戦術的である(割込み発生する)
- 長期的な価値を持たない
- 企業・サービスの成長に比例して増加する
これらトイルの定義のうち、解決策のヒントともとれる項目「3. 自動化可能」について、どのようなものが該当し得るか、例を挙げながら掘り下げてみたいと思います。
トイルは「自動化」できる
前述のトイルの定義に「自動化可能」とあるように、ほとんどのトイルは単調(だけど煩雑)といった特徴が挙げられます。
私の身の回りで行われているトイルを内包する業務のほんの一例を以下に挙げてみます。
- ADや業務アプリ等のユーザアカウントのパスワード初期化、変更
- 社内サーバ、端末、ネットワーク機器などの定常・緊急再起動
- サービス、プロセスの起動、停止、再起動
- マルウェア、ウィルス検知の際の外部脅威DB、VirusTotal等のスレットインテリジェンスへの脅威情報照会
- ファイアーウォールやゲートウェイへのブロックサイト登録と適用結果確認
- 業務アプリサーバのCPU,メモリ過負荷があった際の復旧対処
- ネットワーク装置の過負荷があった際の復旧対処
- 新規仮想マシン、VDIキッティングや再構成、スナップショット管理(作成、削除等)
- オンラインストレージやNASのバックアップやバックアップの世代管理(棚卸なども)
トイルは定義こそされていますが、人によって解釈は異なるものかと思います。
上に挙げた業務例が必ずしもトイルであるとは言い切れませんし、組織ごとの運用方法によっては同じ業務カテゴリでも自動化が難しいのも事実です。
とはいえ、煩雑で生産性の低い(しかし運用上必要でもある)トイルを常に人力で回そうとする体制は組織の成長を妨げる要因の一つになり得るとも考えます。
自動化できるものは自動化し、限られた時間と人的リソースのなかで(割込み的に)増え続けるトイルに振り回されることなく、より高付加価値(運用自体の質が上がりユーザの満足度向上につながるよう)な"仕事"に時間を充てることができる体制を持つことは企業の経営や運用現場にとっても有効な打ち手と考えられるのではないでしょうか。
直接トイルの話の流れとは強い関連性はないのですが、セキュリティに特化した自動化のお話として、米国SANS Instituteが作成したガイドラインCIS Controls(旧称:SANS Top20 Critical Security Controls)において従来のセキュリティインシデント対応の自動化に加え、その他セキュリティオペレーションも自動化を前提に考えることを推奨するガイドライン項目が公開されています。ご参考までに末尾にリンクを記載します。*9
運用の自動化を有効な打ち手として始める、続けるために
本コンテンツの最後に、既に運用自動化に取り組まれている方、もしくはこれから取り組まれようとされる方に向けて、運用自動化に取り組むうえで重要と思われるポイントを記載します。(主に個人的な考察を含みます)
企業によっては、バッチやスクリプト、クライアントデスクトップ画面操作の自動化ツールなどにより内製で自動化プログラムを開発することで、レガシーシステムやAPIなどを有さないWebアプリなどに対して、部分的な最適化を図っています。
ただ、そのようなプログラムを作り込んでの自動化は、以下のような要因で維持すること自体に労力・コストを要します。
- 自動化スクリプトのメンテナンス
- 自動化プログラムのソースコードの引継ぎ
- 対象システムのバージョンアップ等による画面設計の変更
- 対象システムの更改、リプレイス
特に変化の激しい運用現場において、対象システムの環境追随のための自動化プログラムのチューニングやメンテナンスにおいて、都度プログラムのソースコードを書き換え、且つ無停止で自動化を運用し続けることは相当大変なことです。
ただ、自動化プログラムを設計、実装、運用するのに最適なのはやはり現場のIT運用部門で取り組むことが望ましいとも考えます。
しかし、自動化を進めるやり方としてソースコードを維持メンテナンスするような手法ではなく、開発経験のない方でも設計した運用手順をもとに、例えばGUI操作のみで作成や変更が行えるIT運用に特化した自動化ツールなどを活用することで、ある程度は無理なくIT運用の現場で自動化を完結させる仕組みを持ちやすくなるのではないでしょうか。
新型コロナウイルスの流行によるテレワークの普及に限らず、今後も社会情勢や環境の変化に伴って企業のITへの投資も変化し続けると思われますが、増加し続けるトイルを少しずつ自動化し始めておくことで、環境変化に耐えられる体制の構築に近づけるのではないかと考えます。
以下、弊社から提供させていただいている、情報システム会社さまやマネージド(セキュリティ)サービス提供者さま、システムインテグレータさまなど、国内複数社様で導入実績のあるIT運用自動化製品のご紹介です。大きなブランドに属さない独立系ITPA(IT Process Automation)製品です。
自動化連携対象範囲も広く、高い汎用性が特長です。また、スクリプティングを排除したGUI操作のみで自動化シナリオ設計が可能です。
利用者のスキルに依存せず組織として継続・定着利用がしやすく、業種問わず幅広いお客様の現場にてご活用いただいており、それら実績をもとに弊社が用意したデフォルトのテンプレートなども導入初期からご利用いただけます。
業務改善プロセスをご検討される中で、「自動化」を一つの手段としてご検討される方には是非一度内容ご覧いただけたら幸いです。
Ayehu NGについてはこちら
セキュリティニュース(国内編)「カプコン、顧客ら情報35万件流出か サイバー攻撃公表」
11月に入ってから情報漏洩事件が相次いで発生しています。
カプコンをはじめ、東建コーポレーションの最大65万件情報流出、Peatixの最大677万件情報流出と騒がしい月でした。特に気になったニュースに関してまとめました。
カプコン、顧客ら情報35万件流出か サイバー攻撃公表
バイオハザードシリーズでおなじみのゲームソフトメーカー、カプコンがランサムウェアによる攻撃を受け、情報流出が発生しました。*10
今回の犯行は、"Ragnar Locker(ラグナロッカー)"というマルウェアを使った標的型攻撃でした。このマルウェアは、最近のトレンドである二重恐喝と呼ばれる特徴を持っています。
これまでのランサムウェアはファイルを暗号化した後、「ファイルを暗号化した、解除してほしければビットコインでここに入金しろ」といったメッセージを表示するだけのものが多数です。
ただし、入金したところで本当に有効な復号キーを提供してくれる保障もないため、入金しないことが推奨されていました。
一方、二重恐喝では「ファイルを暗号化した、解除してほしければビットコインでここに入金しろ、ちなみに入金しないと盗んだファイルを公開しちゃうよ?」というおまけが付いてきます。しかもファイルの公開は時間経過と共に小刻みに行われます。被害者を心理的に追い込み、入金率を上げる作戦ですね。狡猾です。
しかし、カプコンは恐喝に屈しない選択をしました。「日本の企業はランサムウェアに屈しない」という姿勢を見せ、今後の日本国内における被害拡大を助長しないという意味では評価するべき選択であったという声も多いです。
ただ、結果として最大で35万件もの個人情報が流出した可能性のある大事件となってしまいました。*11
ヒカル&ラファエル「総額2億円プレゼントします」ツイートは公式マーク付きだが偽者
11月6日、有名YouTuberの公式Twitterアカウントを装った偽アカウントがバズってしまう騒ぎがありました。*12
TwitterやInstagramといったSNSにはご存じのように、公式アカウントであることを証明する仕組みとして公式マーク(認証バッジ)というものがあります。プロフィールの欄に認証バッジがついているアカウントは、運営側が本人であると認めたアカウントです。
この仕組みによって人々はアカウントが発する情報を当事者が発しているものである、正しいものだ、と判断することができます。
しかし、近ごろは「認証バッジがついているのに偽物のアカウント」という事例が流行っています。
IDとパスワードが抜き取られてアカウントを乗っ取られてしまえば今回の件のようになりすましが成立してしまいます。なんだそれは、認証バッジの意味ないじゃんという話になるのですが、意味がないのです。
企業アカウントも個人アカウントも一律のバッジが付与されるため、自由自在になりすますことができます。今回の件でヒカルさんやラファエルさんのアカウントが乗っ取られたわけではありませんが、オバマ元大統領もアカウントを乗っ取られてしまう時代なのですから個人のインフルエンサーやセキュリティ意識の低い組織が運営しているアカウントが乗っ取られるなんて事態は十分に起こりうるでしょう。
また、認証バッジ付きアカウントが販売されているなんて話もあります。ネットで調べればすぐに出てきますし、ブラックマーケットが存在するという話まであります。本当に買えるかどうかは微妙ですが。*13
認証バッジの付いた偽アカウントから発信される情報に我々は容易に騙されてしまいます。
だってプロフィール画像も自己紹介文も本人のもので認証バッジがついているのですから。アカウントIDやフォロワー数、誕生日まで入念に確認した上で過去のツイートを読み漁り、本人かどうか確認する人なんてほんの一握りです。
「おめでとうございます、100万円が当たりました!」というダイレクトメッセージから得られるものは棚ぼたの大金ではなく、個人情報を抜き取るために用意されたフィッシングサイトへのURLだけです。
セキュリティニュース(海外編)「医療機関に対するランサムウェア活動の警告」
Emotetの流行やその他標的型ランサムウェアの被害が世界各国の様々な業界から報告されていますが、医療機関に対してのランサムウェアに対するアラートがFBIをはじめとした組織から発令されました。
内容を簡単にまとめましたので、是非ご覧ください。(他記事1本)
医療機関に対するランサムウェア活動の警告
2020年10月28日、米国のCISA、FBIおよびHHSの協同で、医療機関や公衆衛生分野に対するランサムウェア活動に関するアラートを発令しました。*14
2020年5月にも英国と米国が共同で医療機関に対するサイバー攻撃の注意喚起を発令していましたが、この時点ではパスワードスプレー攻撃に限定した注意喚起でした。*15
しかし、最近になりCOVID-19ワクチンの開発が進んできていることから、他国のワクチン開発の情報を盗む、あるいは妨害するといったことを目的とするサイバー攻撃のバリエーションが増加しました。
また、COVID-19の渦中のため、医療機関に対してランサムウェア攻撃を行うと身代金が手に入りやすいと睨んだのか、医療機関へのランサムウェア攻撃も増加傾向にあります。*16
米国の今回のアラートでは、以下のランサムウェア活動に用いられるマルウェアに対して、詳細に注意喚起が行われています。
- TrickBot(特に、Anchor DNSモジュール)
- BazarLoader(マルウェアローダー)
- Ryukランサムウェア
その他の事例として、2020年11月13日には、オーストラリアのサイバー政府機関(ACSC)からは医療機関に対して、SDBBotおよびSDBBoTから呼び出されるClopランサムウェアのアラートが発行されています。*17
また、アラートとは別の話ですが、ドイツの病院を襲ったランサムウェアにより、緊急搬送される予定だった患者の受け入れを行うことができず搬送が遅れ、別の搬送先の病院で死亡した事例も最近報告されました。*18
今回は患者が搬送時には重傷であったことから、患者の死亡とランサムウェアに関連性は薄いとされています。しかし、病院へのサイバー攻撃によって不幸な事故が起きるのも、遠くない話だと思われます。
各国の政治および経済的利益を目的とした背景もあるのかもしれませんが、COVID-19に対して医療従事者が活動する中、このような攻撃でワクチン開発などに遅れが出てしまうのはなんとも嘆かわしいものです。
フィッシング詐欺を誇張表現したデマにご注意を!
SMSを利用するフィッシング詐欺が欧州でも流行しているのですが、このフィッシング詐欺に対する一般の注意喚起がデマとして拡がる事態が発生しています。*19
流行しているフィッシング詐欺は、SMSを通じて銀行を利用するユーザを偽の銀行のページに誘導し、ユーザIDとパスワードを不正に盗み取るといった、よく見る内容となります。
今回問題となっているのは、このフィッシング詐欺に対するデマがSNSで広範囲に拡散していることです。デマの内容自体はフィッシング詐欺に対する注意喚起であり、以下の内容が含まれています。
- この注意喚起はロンドン市警から直接発行されたものである。
- 全ての銀行や携帯会社を巻き込んだ、洗練された詐欺が発生。
- リンクをクリックすると、すぐに被害に遭い金銭的損失が発生する。
- このメッセージをみんなに知らせ欲しい!
このうち、以下の内容が間違いとして指摘されています。
- ロンドン市警は注意喚起を発していない。
- 携帯会社の詐欺は発生していないはずだが、注意喚起の文章に追加されている。
- リンクをクリックしたからと言って、すぐに何かが起きるわけではない。(IDとパスワードを入力しない限り、基本的には問題ない)
大体の内容に誤りがありますね。
フィッシング詐欺に明るくない人にとっては貴重な情報となり、すぐさま知人に共有するでしょう。もちろん、フィッシングサイトで情報を入力することを抑止するといった面では、デマとはいえどある程度の効果があると言えます。
ただし、このデマに致命的な誤りがあった場合、真っ先に矛先がロンドン市警に向いたり、予期しない被害が発生したりする可能性もあります。
勝手に名前を使われた上に関係ない事柄に対応しなければいけないのは、対応する側としてはたまったものじゃないです。
やはり、このようなデマに振り回されないためにも、フィッシング詐欺に対する正しい知識を個々人が身に付けることが重要ですね。
プレスリリース「マイクロソフトのセキュリティパートナーとして、Windows Defenderと連携する「Morphisec(モルフィセック)」ソリューションを本格展開」
2020年11月24日、株式会社インテリジェントウェイブは以下のプレスリリースを公開いたしました。
「マイクロソフトのセキュリティパートナーとして、Windows Defenderと連携する「Morphisec(モルフィセック)」ソリューションを本格展開」
本件に関するお問い合わせは、下記までお願いいたします。
株式会社インテリジェント ウェイブ
営業本部営業第三部
TEL:03-6222-7100
FAX:03-6222-7301
Email:iwi_security@iwi.co.jp
また、IWI Security YouTube公式チャンネルでは、過去のウェビナー動画やデモ動画を随時、公開しています。是非、チャンネル登録の上、ご視聴いただければ幸いです。
【Morphisecの最新動画はこちら】
・ウェビナー動画
今のままで本当に大丈夫?これからのエンドポイントセキュリティは「攻撃の無効化」
・デモ動画
Morphisec Demonstration
■ 関連リンク・引用
*01: テレワーク導入実態調査結果, 東京都公式ホームページ, 2020/11/20
*02: テレワーク導入実態調査結果, 東京都公式ホームページ, 2020/11/20
*03: IT担当者のテレワーク支援業務時間が1割増、デルの調査で判明, 日経クロステック(xTECH), 2020/11/20
*04: IT人材不足が継続、DXに取り組む企業は内製化へ, ZDNet Japan--CIOとITマネージャーの課題を解決するオンラインメディア, 2020/11/20
*05: https://www.meti.go.jp/shingikai/mono_info_service/digital_transformation/pdf/20180907_03.pdf, 経済産業省, 2020/11/20
*06: Survey: 66% of IT Professionals Report an Increase in Security Issues in the Past Three Months , IT Asset & Service Management Software
Solutions | Ivanti, 2020/11/20
*07: https://japan.zdnet.com/article/35155732/, ZDNet Japan--CIOとITマネージャーの課題を解決するオ
ンラインメディア, 2020/11/20
*08: Eliminating Toil , Google Site Reliability Engineering , 2020/11/20
*09: 【解説】セキュリティ業務の自動化におすすめなガイドライン「CIS Controls」とは?, 情報セキュリティのNRIセキュア, 2020/11/20
*10: https://www.asahi.com/articles/ASNCJ5FHZNCJPLFA004.html, 朝日新聞デジタル:朝日新聞社のニュースサイト, 2020/11/20
*11: 不正アクセスによる情報流出に関するお知らせとお詫び, 株式会社カプコン:CAPCOM WORLD JAPAN, 2020/11/20
*12: ヒカル&ラファエル「総額2億円プレゼントします」ツイートは公式マーク付きだが偽者。写真は転載したもの(篠原修司) , Yahoo!ニュース,
2020/11/20
*13: https://gigazine.net/news/20170906-sns-verification-black-market/, 2020/11/20
*14: Ransomware Activity Targeting the Healthcare and Public Health Sector | CISA, Homepage | CISA, 2020/11/20
*15: Cyber Warning Issued for Key Healthcare Organizations in UK and USA , Homepage | CISA, 2020/11/20
*16: Hospitals Targeted in Rising Wave of Ryuk Ransomware Attacks, Check Point Software - Blog , 2020/11/20
*17: SDBBot Targeting Health Sector | Cyber.gov.au, ACSC | Cyber.gov.au, 2020/11/20
*18: ランサムウェア攻撃に起因する初の死亡例が発生か--ドイツの大学病院で, ZDNet Japan--CIOとITマネージャーの課題を解決するオンラインメ
ディア, 2020/11/20
*19: "Instant bank fraud" hoax is back ? don't spread fake news! ? Naked Security, Naked Security ,Computer Security News, Advice and Research,
2020/11/20
