企業コンプライアンスを支える システム運用管理を実現する 「Systemwalker」

　日本版SOX法対応へのリミットが着実に近づいている。

　少し前までであれば、「ガイドラインが発表されていないから、具体的な対応のしようがない」といった言い訳もできたが、11月6日に日本版SOX法のガイドラインである実施基準案が公開され、2007年1月中にも金融庁が実施基準を正式決定する方針を決めるなど、行政側の準備が整いつつある現状では言い訳もできなくなってきた。

　その日本版SOX法では、財務諸表の作成プロセスに不正がないことを証明することが求められる。ほとんどの企業では、財務諸表の作成プロセスにITを利用しているだろう。つまり、IT運用を適正に行っていることの証明が、経営における必須課題となるのだ。

　そこで注目が集まっているのが「ITIL（Information Technology Infrastructure Library）」だ。ITILはITに関連する運用プロセスのベストプラクティス集で、2005年末にはITILをベースにしたITサービスマネジメントの国際規格「ISO/IEC 20000」も制定された。

　第三者認証機関としてISO 20000の認証を行っているBSIジャパンの鎌苅隆志氏は、数多くの顧客に対してITILによるIT全般統制を提案している経験から、「現場は切羽詰っているといえるでしょう。一刻も早いITサービスに関するマネジメントシステムの導入が必要とされています」と警告する。

　ITサービスマネジメントでは、ビジネスの各プロセスで必要とされる「サービス」がきちんと提供されているかという視点でとらえる。しかし、運用管理の現場が利用しているほとんどの管理ツールはITを「システム」の単位で管理しており、「サービス」単位で管理していない。つまりこれからの運用管理では、システムの個別要素、サービス、そして全体最適のマネジメントシステムという、それぞれのレベルの管理が相互連携できることが不可欠になるのだ。

　このような要求を満たし、サービスサポートをITILに準拠した形で管理できる数少ない統合管理製品が、富士通の「Systemwalker V13.1（以下、Systemwalker）」だ。

ITIL対応を強化し、企業コンプライアンスを支えるSystemwalker

　Systemwalkerは、企業のコンプライアンスを支えるシステム運用管理製品群だ。Systemwalkerは、1995年にV1をリリースして以来、10年以上にわたって企業のITシステムを支えているロングセラー製品だ。

　いかにユーザーから信頼を勝ち得ているか、という点については、2006年9月末時点での累積ライセンス数が約500万本に至っている点からも分かるだろう。さらに前バージョンからITILへの対応を強化し、ITILに基づくベストプラクティスの効率的な導入と運用を強力に支援する。

　なぜ、SystemwalkerはITIL対応を強化するのだろうか。日本版SOX法を代表とするコンプライアンスに対応するための“統制された運用”では、「運用プロセスの見える化」や「インフラの見える化」「正しい運用の監査」などが正しく実施されている必要がある。一方で、これらはITILにおける「サービスサポート」「ICTインフラストラクチャ管理」「サービスデリバリ」でそれぞれ定義されている。このように、ITILに沿った運用をすることこそが、コンプライアンス要求への対応につながるのだ。

システム管理者はどんな問題で苦しんでいるのか？

　では、Systemwalkerを支持する多くのシステム管理者は、実際にどのような問題に苦しんでSystemwalkerの導入を決意したのだろうか。以下にいくつかの例を挙げてみよう。

●常に大量のインシデントに悩まされている

　通常ITインフラは、ネットワーク管理やサーバ管理、ストレージ管理など多様なツールで管理されている。これらのツールはそれぞれがイベントを管理者に報告するため、何らかの異常を検知すると、報告が一度に大量に送られてきたり、数分おきに何度も送られてきたりする。

　問題なのは「そのイベントは致命的なものか？」という点だ。原因を調べると大きな問題ではなかったということはよくあるが、大量のイベントに慣れてしまって、報告を受けても「あぁ、またか」などと感じてしまう管理者は多い。その結果、本当に致命的な障害の検知が遅れてしまうこともある。

●属人的な運用になっている

　技術スキルの高い担当者の存在は非常に重要だが、特定の個人に頼った属人的な運用プロセスは危険だ。例えば「インシデントの発生→情報収集→Aさんにエスカレーション」といった個人を特定する運用プロセスでは、Aさんは休暇も取れなくなってしまう。

　この場合、エスカレーション先はAさん個人ではなく、「エスカレーション先の担当者」という“役割”でなければならない。この役割を引き受けられるのは、一定レベルの技術スキルを持った人ということが明確になり、将来にわたって企業が人材育成に投資しなければならないコストも明らかになる。

●運用マニュアルはあるが、ずっと修正されていない

　大抵の企業では、システムの運用マニュアルを作成している。しかし、その質には大きな差がある。「ずっと前に作成して、印刷したファイルがキャビネットに収められているだけで、まったく修正されていない」「通常の運用方法しか規定されていないので、障害の対応方法は場当たり的」「承認プロセスがあいまい」といった問題を抱えてはいないだろうか？

　通常の運用プロセスやインシデント対応のプロセスは、事前に明確にしておかなければならない問題だ。しかも、状況に応じて頻繁に更新し、承認のプロセスや責任の所在を明らかにしなければ、ITの全体統制はできない。

　では、ここまでに挙げたさまざまな問題を、Systemwalkerはどのように解決していくのだろうか。

“インフラの見える化”を「監視」と「操作」の面から実現する 「Systemwalker Centric Manager」

　Systemwalker Centric Managerは、コンプライアンスに対応した運用を実現するために必要な「インフラの見える化」を実現するITインフラ全体の統合管理製品だ。

　先述のように、日本版SOX法ではIT運用を適正に行っていることの証明が必須となる。しかし、多くの企業では異なるシステムやプラットフォームと同じ数だけ、異なるツールを使わざるを得ない場合が少なくない。このため、運用上のデータがツールごとに異なったフォームで届くなど、管理者の負担が高く、判断ミスも誘発しやすい。このような状況ではシステム全体のIT運用を適正に行えず、統制が非常に困難だ。

　しかし、Systemwalker Centric Managerでは富士通の製品のみならず、そのほかの多くのベンダーの運用管理ツールと統合できる点が特徴だ。企業内に存在するあらゆるシステムのインシデント情報や、システム構成情報のフォームが統一される。これにより、運用プロセスを統合できるだけでなく、システム監視面においてのインフラの見える化も実現する。

　さらにSystemwalker Centric Managerでは、インフラ操作の見える化を実現するための機能も備えている。例えば、許可されたユーザーだけがサーバにアクセスできるようにする「サーバアクセス制限」機能である。この機能により、不正なアクセスを抑止できるだけでなく、許可されたユーザーが行った操作も記録・再生ができるので、正しい操作を行ったことの証明が可能になる。

　こういった機能によって、Systemwalker Centric Managerはインフラの見える化を「監視」と「操作」の両面で可能にし、ITシステムの適正な運用を支援する。

運用管理者の視点でシステムを一括管理できる 「Systemwalker Availability View」

　Systemwalker Availability Viewは、Systemwalker Centric Managerが監視するシステムの情報や、Systemwalker Operation Managerの監視するジョブの情報などを集約し、システム全体が提供するサービスが計画通りに稼働していることを証明するための管理製品だ。

　具体的には、サービスを構成する複数のサーバ、その上で稼働するオンラインまたはバッチアプリケーションの監視を集約し、あらかじめ立てた計画（稼働予定）と実績を比較した監視ができる。稼働管理のインターフェイスは、時間軸に沿って色分けされたグラフで可視化されるため、管理者は直感的に遅延などを把握することが可能だ。さらに、稼働率やキャパシティレポートから、さまざまな分析ができるようになっている。

　これらの機能によって、システムが計画通りに動いていることを直感的に管理者に知らせることができるほか、システムが正しく運用されていることの監査証明にもつながる。

「Systemwalker Availability View」の画面イメージ。サーバの運用実績が右側に色分けされて表示されているのが分かる（クリックで拡大）

運用プロセスが見えるようになる 「Systemwalker IT Process Master」

　前述の例ように、「属人的な作業になってしまって作業状況が把握できず、システムが正しく運用できないケース」や、「運用マニュアルが更新されていない、正しく実施されないといった理由で、システムが正しく運用されているか把握できない」といったことで悩んでいるシステム管理者は多いだろう。

　このような問題を解決するのが、Systemwalker IT Process Masterだ。Systemwalker IT Process Masterは運用フローと電子帳票によって、運用プロセスと運用作業履歴を可視化できる製品だ。運用プロセスを統制するフレームワークはITILに従っている。

　IT Process Masterでは、多くの人がかかわる運用プロセスをフロー化して管理し、それぞれの役割や責任、作業手順を明確化できる。例えば、きちんと承認をしなければ次のプロセスに進めないなどの承認フロー管理や、変更の記録を電子帳票として保存することが可能になる。

　このように、運用作業履歴を可視化することで、システムが正しく運用されていることを証明することができるようになる点が、コンプライアンス対応の面では大きい。

運用プロセスをワークフロー化している「Systemwalker IT Process Master」の画面イメージ。この部分は最もノウハウが必要とされる部分で“ノウハウの塊”とも言われている。富士通は自社で培ったこの部分のテンプレートも提供する（クリックで拡大）

　さらに富士通は、同社がアウトソーシング事業などで培った運用ノウハウを運用プロセステンプレートとして提供する。このテンプレートをカスタマイズして適用することで、ノウハウが蓄積できていない企業においても、導入の負担を大幅に軽減できる。

日本版SOX法に必要な“証明する仕組み”を実現する Systemwalker

　Systemwalkerは、運用プロセスから実システムの操作までをトータルに統制し、正しく運用されていることを証明できる統合管理製品だ。従来の多くの管理ツールでは、ITを「システム」の単位で管理していたが、Systemwalkerでは「サービス」の単位で管理し、サービスサポートとサービスデリバリーをITILに準拠した形で管理できる点が特徴だ。

　また、ITIL発祥の地、英国でアウトソーシングサービスを手がけている英Fujitsu Servicesが培ったITILのノウハウに、富士通が社内システムで実践してきたノウハウを組み合わせ、運用プロセスのテンプレートとして惜しみなく提供する点も特徴だ。このテンプレートをカスタマイズして自社に適用することによって、“ノウハウの塊”といわれている運用プロセスのワークフロー化作業を大幅に軽減できるうえに、高いレベルで実現できる点は大きい。

　そして、最も重要なことは、Systemwalker を導入することによってITにかかわるプロセス全体を明確化し、正しく運用されていることを証明できることだ。施行が迫っている日本版SOX法をはじめとしたITにかかわるさまざまな法規制にも対応するには、Systemwalkerのように標準的なガイドラインに沿ってIT全体を統制し、証明する仕組みが必須なのは明らかだ。

富士通では、「ITILに基づくプロセス指向の運用管理実践」をご紹介するセミナー (無料)を開催している。今すぐに申し込みを！   Systemwalker V13.1特集ページ

アプリケーションサーバと運用管理ツールの新しい選び方を富士通が提案