私たちは、もうパッチを当てることはできないのに稼働させ続けなければならないレガシーシステムというテクノロジーの負債によって足止めを受けています。重要なビジネスプロセス、レガシーデータの維持、システム知識の欠如、または「ペット」プロジェクトなどが、維持が困難なシステムを使い続けなければならない要因かもしれません。オリジナルの IBM 360 の最初のオペレーティング・システム・アップデートから、最新の Windows 10 アップデートまで、私たちは、システムに完全なパッチを当てて維持するという共通の課題に今でも苦戦しています。
この長年の課題に対して、別のアプローチ方法があるのではないでしょうか?いわゆるガラクタのITシステムを取り除くには、片付けの専門家の哲学、原則、方法論が使えるかもしれないと思いませんか?
パッチを当てるだけでは物事は解決しません。
M&Aは、保守やライフサイクル管理の基準に適合しないシステムをもたらします。"シャドーIT"と、私たち自身の規律の低さは、更に問題を複雑化させています。「モノばかり増えて、できることが減っていく」という問題が継続しているので、優先順位の低いシステムの定期保守は延期せざるを得ない状態になっているのかもしれません。
明確に定義されたプロセス、専門のチーム、よりスマートなツール、より多くの予算、より優れたトレーニングなど、ありふれたベストプラクティスに従えば、状況を改善することができることはわかっています。しかし、ものごとはそれほど単純ではありません。
製造業やヘルスケアなど一部の業界では、計画停止のスケジュールを組むことがほぼ不可能なため、定期的なパッチ適用のスケジュールを組むことが難しくなっています。
コンピュータ科学者のDr.Marianne Winslettがよく知っています。「工場の人たちには、決してパッチを当てず、決してアップグレードしない理由があります。なぜなら、それを行うときはいつでも、システム停止という大きなリスクがあるからです。24時間365日稼働している工場では、コンピュータシステムの故障に伴うダウンタイムの余裕はありません。壊れていなければ直さない」という考え方なのです。
NISTでは、クリティカルサイバーセキュリティハイジーン分野で「企業にパッチを当てる」というプロジェクトが進行中です。
2020年3月に公開されたプロジェクトの説明によると、「このプロジェクトの目的は、一般的なITシステムのパッチ適用方法を改善するための提案されたアプローチを実証することである」とされています。 本研究は一般的なITシステムのみを対象としているため、ビジネスアプリケーションや、IoTデバイスのような特定のトピックに取り組む際には使うことができませんが、参考にはなるかもしれません。
この問題を解決するための他の伝統的なアプローチは、ビジネスアプリケーションのポートフォリオを合理化し、レガシーシステムを近代化することに焦点を当てることです。2018年のガートナーの記事「レガシーシステムを近代化するための7つの選択肢」では、Susan Moore氏が、カプセル化、再ホスト化、再プラットフォーム化、リファクタ、リアーキテクト、リビルド、リプレイスのいずれかを選択する方法を説明しています。しかし、レガシーシステムのことを十分に知らないと、近代化プロジェクトを引き受けることができないかもしれません。"それらのシステムを構築した人たちがいなくなっただけでなく、最初にそれらを構築するように頼んだユーザーもいなくなった"と、William M. Ulrichは「レガシーシステムの変革戦略(Legacy Systems: Transformation Strategies)」で書いています。
新しいアプローチ
もしこの問題に、真のサイバーハイジーン問題としてアプローチしたらどうでしょうか。データセンターがテクノロジーの負債を蓄積するのと同じように、私たちの家やガレージにも「ジャンク」が蓄積されていきます。同様に、システムのアップグレードやトランスフォーメーションプロジェクトは、ビジネスオーナー、財務関係者、エンドユーザー、IT専門家、エグゼクティブリーダーなど、多くの利害関係者が参加するコミュニティプロジェクトと考えることができます。このようにしてパッチ不可能なシステムにアプローチすることで、どのような洞察を得ることができるのでしょうか?
このようなときに使える3つのリソースがあります。「こんまりメソッド」、「ファミリー・ハンディマンからのガレージ整理のヒント」、そして「地域清掃を成功させるためのヒント」です。
近藤麻理恵さんの助け
ここで、近藤麻理恵さんが考案した「場所別ではなく、衣類から始まり、本、書類、雑貨、そして最後に感傷的なものまで、カテゴリー別に整理整頓することを推奨する」という、人気の「こんまりメソッド」を考えてみましょう。
基本的なルールは6つあります。
- ルール1. 片付けに専念する
- ルール2. 理想のライフスタイルを想像する
- ルール3. 最初に不要なものを廃棄する
- ルール4. 場所別ではなくカテゴリ別に片付ける
- ルール5. 正しい順番で片付ける
- ルール6. 「ときめき」を感じるか自分自身に問いかける
ルール1. 片付けに専念する
テクノロジー環境の「片付け」という目標を達成するためには、誰からのコミットメントが必要なのでしょうか?システムのテクニカルオーナー、ビジネスオーナー、予算のオーナー、リーダーシップからどのようなコミットメントが必要か確認する必要があります。
ルール2. 理想のライフスタイルを想像する
テクノロジーの環境をどうしたらいいのか?私たちの環境からパッチが適用されていないOSを100%取り除くという約束は現実的なのでしょうか?多分、そうではないと思います。
おそらく、今後1~2年かけて、特定のオペレーティングシステムや、テクノロジーの負債の一定の割合(30%程度でしょうか)を取り除くといった方が現実的でしょう。「オール・オア・ナッシング」のアプローチでコミットメントを得るために上り坂の戦いを戦うよりも、より小さな「かたまり」にコミットし、より大きな目標に向かって少しずつ前進する方が簡単でしょう。
ルール3. 最初に不要なものを廃棄する
テクノロジーを「廃棄する」とはどういうことなのでしょうか?
実際には、廃棄することはほとんどありません。古いシステムを廃棄する際の最大の障害は、データの保持であり、特にデータのアーカイブです。システムが日常的なプロセスで使用されなくなったとしても、法的、規制上の理由、あるいは「私のペット・プロジェクト」などの理由でデータが必要になることがあります。レガシーシステムの廃止を可能にする効果的なデータアーカイブ戦略とソリューションが必要です。
レガシーデータの問題が悪化しないようにするにはどうすべきでしょうか。新しいアプリケーションのライフサイクル計画の一環として、また、構築した時から継承されているアプリケーションのために、データのアーカイブについて考える必要があります。
データアーカイブとシステム廃止計画は、新規または継承されるシステムのサポートプランに必ず記載すべき事項です。小さな大学の学長が、建設費と、建物を管理するための資金の両方が完全に揃わない限り、新しいキャンパスビルの建設を拒否したという話があります。そのため、いくつかの建物の着工が遅れましたが、このアプローチにより、建築を進めていく中で、大学が管理しきれないほどの借金を背負わないことが保証されました。
新しいアプリケーションをサポートするためにビジネスケースやサポートモデルを構築することはしますが、一方で、アプリケーションの有用なライフサイクルを定義したり、データのアーカイブやシステムの廃棄にかかるコストをビジネスケースに含めることはほとんどありません。
ルール4. 場所別ではなくカテゴリ別に片付ける
ITでは、「カテゴリ別の片付け」とは、同じOSのすべてのインスタンスを見て、1つのプロジェクトとしてそれらに取り組むことを意味するのではないでしょうか(例えば、すべてのWindows 2003 OSシステム)。あるいは、同じプロセス/能力を実行しているすべてのビジネスアプリケーションを見るのでもいいでしょう。これは、ポートフォリオ管理のアプリケーション合理化アプローチに似ており、片付けの手順を体系化するための規律あるアプローチを提供します。
ルール5. 正しい順番で片付けること
と
ルール6.「ときめき」を感じるか自分自身に問いかける
こんまりメソッドは、一旦片付けを完了した後、引き続きその状態を維持することに焦点を当てています。これは、あなたの家に"ジャンク"を導入しないように、「ときめき」を感じるために非常に重要です。 私たちのほとんどはテクノロジーの負債を抱えているので、速やかに片付けを完了させることは想像できないかもしれません。パッチができないシステムへの対応は、短距離走ではなくマラソンと考えるべきでしょう。Mark Twainは以前、「継続的な改善は、時期を逸した完璧よりも優れている」と言ったそうです。 同じ考えを持つべきです。
データセンターは私たちのガレージや倉庫のようなものでしょうか?
ガレージや自分の保管庫を整理することと、パッチが当てられないシステムの問題を関連付けて考えると、Family Handymanの記事からいくつか得られることがあります。
すべてを綺麗にして、「取っておくもの」、「寄付したい/するもの」、「売る/捨てるもの」のカテゴリに分類するということに目標を設定することから始めます。ITでは、各資産の計画(例:維持、統合、廃止)を含む、システムの最新の一覧を作成するということになるでしょう。
完璧なアプローチはありませんが、組織にとって有効で、持続可能で、戦略立案や予算プロセスのデータポイントとして活用できるアプローチが必要です。
記事では、「一週間以内にドネーションセンターに品物を持っていく」ことをアドバイスしていますが、私たちの棚卸し活動は一週間よりも長くかかる可能性があります。
片付けを一定の期間でやりきること、決定プロセスとタイムラインを確認すること、持っているもの(CMDBやアプリケーションインベントリのダッシュボードなど)を簡単に確認できるようにすること、という推奨事項は、私たちが片付けを始める際に役に立ちます。
何を持っているかがわかれば、あとは計画を立て、支援を得て、計画を実行に移すことができます。記事の中で提案されたプロジェクトのいくつかは、効果的なストレージソリューションに関係があります。レガシーデータのために、別のストレージソリューションを検討したことはありますか?それは、リアルタイムで利用可能でなければならないか(例えば、スポーツ用品、カーケア製品)、もしくはオフサイトに移動できるか、それとも、必要となったときのためにアーカイブすべきでしょうか。ストレージテクノロジーをアップデートして、より小さく(または安く)保存することはできないのでしょうか?それは数年ごとに見直すべきでしょう。
このガレージ整理の記事において、すべてのプロジェクトは、こんまりメソッドとキーコンセプトを共有しています ― 整頓され、良い見た目にするために、似たようなアイテムを一緒に置くこといった点で同じことを目的にしています ― こんまりメソッドのルール4「場所ではなく、カテゴリごとに片付ける」。
一人ではできない
最後に、コミュニティプロジェクトのようなアプローチはどうでしょうか。Nebraska-Lincoln大学の記事には、"地域の清掃を成功させるための組織化のヒント"が掲載されています。
課題提起の中で特筆すべきは、ステークホルダー・エンゲージメントと情報調査の2つです。
「地域清掃委員会を結成することは、物事を効率的に進め、同時にオーナーシップを構築するための素晴らしい方法です。」と記事に書かれています。この問題にインフラストラクチャチームだけが取り組むのか、それともアプリケーションオーナー、ITサポート、ビジネスリーダー、マネジメントサポートとの適切なコミュニティを形成するのか。現在のソリューションに誇りを持っている、あるいはこのプロジェクトに誇りを持ち、この取り組みへの支援を約束してくれる人はいますか?抵抗勢力、または、妨害しようとするかもしれないのは誰か。ステークホルダーコミュニケーション計画を作成し、プロジェクトのサポートを構築する必要があるのではないでしょうか。プロジェクトのタスクを詳細な計画にまとめるのは誰でしょうか?誰かに実行をお願いできるのか、それとも今の仕事量と今のスタッフの中で何とかしようとしているのか。
「あなたが片付ける場所を調査することで、必要なサポートのヒントを得ることができます」と記事では言っています。目的(交換、アップグレード、維持、廃止)をどのように進めるかを理解するために、レガシーシステムに関する十分な情報を持っていますか?重要な文書が不足しているのか、それとも専門家が会社を辞めてしまったのか。必要なものを確認するために、「考古学」のプロジェクトが必要かもしれません。あなたの会社でこの取り組みがどのように進められるかを理解するために、他にも似たようなプロジェクトがあったか調べてみましょう。アプリケーション、サイバーセキュリティ、インフラストラクチャの各チームは、このプロジェクトを実施するために十分に協力していますか?「完璧を追い求めれば、最善を得ることができます。」 有名なサッカーコーチのVince Lombardiは「完璧は達成できない。しかし、完璧を追い求めれば、最善を得ることができる。」と言っています。 継続的な改善に向けて推進し、脅威を減らしていきましょう。
仕事の"家"と"ガレージ"を片付けよう
新鮮な目でこの問題に取り組み、「ときめくモノ」を見つける時が来ました。 それに伴って、サイバーセキュリティのリスクと脆弱性に対する姿勢も同時に改善されるかもしれません。
Anita Bateman, CISSPは、テクノロジー、公益事業、石油・ガス、自動車業界での経験を持つITエグゼクティブであり、InfoSecurity Professionalの過去の寄稿者でもあります。
原文記事: https://blog.isc2.org/isc2_blog/2020/11/the-career-changing-magic-of-tidying-up.html
|
|
|
フォローする