データ駆動型 DevOps パート 5: アライメントとガバナンス

2020/10/19 - 読み終える時間: 3 分

Data-Driven DevOps Part 5: Alignment and Governance の翻訳版です。


データ駆動型 DevOps パート 5: アライメントとガバナンス

2020年10月15日

著者: Steve Boone / HCL Software DevOps Head of Product Management

画像の説明

多くの点で、データ駆動型のDevOpsは、ソフトウェア・ビジネスがどのように運営されているかを詳細に把握することを可能にします。この種の戦略は、製造工場の上の産業用キャットウォークのようなものだと考えてください。データは、アイデアからクライアントに至るまで、ソフトウェアのデリバリー・ライフサイクル全体を網羅することで、驚くほどの可視性を提供します。この可視性は非常に有益です。組織内で何が起こっているかを知ることができるだけでなく、再作業を減らし、コストを削減し、ビジネスにガバナンスを提供してリスクを軽減する機会を提供してくれます。

データ駆動型のDevOpsとバリュー・ストリーム管理は、「あったらいいな」と思う機能セットではないことを理解することが重要です。以下の問題解決に真剣に取り組みたいと考えている企業にとっては、「持っていなければならない」機能です。

ビジネスの整合性

まずは、いくつかの質問から始めてみましょう。顧客を喜ばせ、収益を向上させる機能は、積極的に取り組んでいますか?それらの機能はバックログに残っていますか?予定より早く、あるいは遅れていますか?いつになったら、クライアントに約束した価値を提供できるようになるのでしょうか?

簡単に言えば、ビジネスの整合性とは、エンジニアリングチームが行っている開発作業が、全体的なビジネス目標に可能な限り整合しているかどうかを確認することです。開発とビジネス目標が一致している企業は、より高品質なソフトウェアをより早く提供することができます。なぜでしょうか?それは、ビジネスの主な優先事項が明確だからです。個々のコントリビュータは、一日に何度も「すべきか、すべきでないか」の決断を迫られることはありません。

多くの企業は、エンジニアリングチームがどのような開発ツールやプラクティスを使用するかを強制しなくなっています。開発組織が毎日使いたいツールを選べば、より幸せで生産性の高いものになるという願いが込められています。これは必ずしも真実ではありませんが、ビジネスにとっては真の課題となります。実際にどのような作業が行われているかを可視化することは、すでに非常に困難な問題です。また、それぞれが独自のプロセスやツールを使用している何百もの開発チームのデータを集計しようとすると、さらに困難な手作業になってしまいます。

データ駆動型のDevOpsは、ビジネスの連携にこれまでにない機能を提供します。バリューストリームを流れる作業を可視化することで、開発マネージャ、プロダクトオーナー、リリースエンジニア、エグゼクティブなど、誰もがそれを見る必要がある人は誰でも、現在何に取り組んでいるのかを知ることができます。進行中の作業とまだ開発されていない作業(バックログ)の両方を検索して、実際のビジネス価値がどこにあるのかを明確にレポートすることができることを想像してみてください。

私の経験では、開発チームは正しいことをしたいと思っています。開発チームは、価値を提供してくれる機能に集中したいと考えています。多くの場合、最高の貢献者はいくつかの方向に引っ張られ、顧客を喜ばせ、真のビジネス価値を提供することに最も近い仕事から遠ざかってしまうことがあります。このような仕事は、時には無計画であるために、さらに困難を伴うこともあります。無計画な仕事は生産性を窒息させ、ビジネス価値を期限内に提供する組織の能力に大きな負担をかけることになります。

無計画な仕事

無計画な仕事を完全に払拭することはできませんが、それを管理できるかどうかは非常に重要です。計画外の仕事には多くの課題があります。

  • それは計画された優先順位のある仕事から焦点を奪う
  • 完成までの労力は不明
  • 成功の明確な定義がないことが多い
  • それは「スコープ・クリープ」の扉を開く。

企業は、計画していないことに対して、どのようにリソースと時間を配分しているのでしょうか?さらに重要なのは、どのようにして計画外の仕事を積極的に減らしていくかということです。その答えは、お察しの通り、私たちが毎日使用しているツールのデータの中にある。計画された作業を追跡するためにコードのコミットや作業項目を追跡するのと同じように、サポートツールや作業項目管理ツールからのデータを使用して、計画外の作業とそれがビジネス価値を提供する能力に与える影響を可視化することができます。

画像の説明

組織の最高の貢献者は、通常、予定外の作業に最も苦しんでいる人たちです。彼らは最も知識が豊富で、重要なサポート問題を支援するのに最も適していると考えられており、困難なシナリオでクライアントを支援した経験が最も豊富です。トップパフォーマーだけに頼ることの問題点は、同じ貢献者であっても、価値の高い非常に重要なビジネス上の成果物の大半を担っている可能性が高いということです。そのため、もしあなたのデフォルトの動きが、火事を消すために常に最も熟練した従業員を連れてくることであるならば、計画された仕事は苦戦を強いられることになります。

このような状況を改善するには、個々の貢献者がどの帯域幅を持っているかを可視化することで、余分なキャパシティを確保することができます。これにより、チームが一時的にフォーカスをシフトしている間に、ビジネス価値を牽引している余分な計画的な仕事を引き受けてくれる個人を特定することで、他のチームメンバーがそれぞれの役割で成長する機会を提供します。

計画外の仕事は予期せぬことであり、困難であり、主要なビジネスの専門家から労力を奪い、おそらく何よりも組織の文化を損なってしまう。計画外労働は、持続不可能な労働慣行と不健全な文化につながる可能性があります。計画外労働を根絶することはできませんが、データを利用してその影響を軽減し、組織の文化と生産価値を維持することはできます。

品質とセキュリティの取り組みを検証する

セキュリティと品質への取り組みが枯れてしまったり、早期に失敗したり、実を結ばなかったりするのを防ぐにはどうすればよいのでしょうか。個々のチームやビジネスユニットにとってはそれほど大変な作業ではないかもしれませんが、組織全体で管理することは非常に大きな作業です。

先に述べたように、多くの企業が生産性の向上を期待して、開発組織に自分たちが最も使いやすいと感じるツールを選択させています。これにはいくつかの利点がある一方で、全く新しい課題も発生します。組織は、何十ものツールセットと何十年もの技術にまたがるセキュリティと品質の取り組みをどのようにして追跡し、実施することになるのでしょうか?組織のすべてのアプリケーションとチーム全体の品質とセキュリティの結果を集約することで、企業はどの取り組みが健全で、どの取り組みにさらなる育成が必要なのかを見極めることができます。

リスクを軽減する自動化されたガバナンス

組織は、特定のリリースの「準備ができているかどうか」を計画し、検証するための会議にかなりの時間を費やしています。リリースエンジニアと変更諮問委員会 (CAB) のメンバーは、健全な量のチェックとバランスを提供していますが、これは大部分が長く、手動で行われるプロセスです。10年にわたる DevOps のベストプラクティスから何かを学んだとすれば、長くて手間のかかる手動の作業は、自動化されることを切望しているだけだということです。経験上、手動プロセスはエラーが発生しやすいことがわかっています。

品質とセキュリティのメトリクスの可視性を提供することは、最初のステップに過ぎません。次のステップは、ビジネスと顧客を保護するためにデータを使用することです。そのための最良の方法は、バリューストリームから送られてくるライブデータの定常的な流れを管理し、特定のビルド、デプロイメント、リリース、コンポーネント、機能、またはビジネスイニシアチブのセットがテストおよびスキャンされたかどうかに基づいて、インテリジェントな決定を下すことができるインテリジェントなゲーティングメカニズムを設定することです。

最高情報セキュリティ責任者 (CISO) は、組織内のすべてのバリューストリームを簡単に見ることができ、誰が会社で実施されているベストセキュリティプラクティスに従っているかを知ることができるので、コスト削減につながることを考えてみてください。また、リリースエンジニアが顧客に悪影響を及ぼす可能性のある品質リスクを簡単に特定できるようになれば、リリースエンジニアにとってのメリットを考えてみてください。

リスクを軽減し、セキュリティと品質を一貫して向上させる最善の方法は、これらを常にビジネスの優先事項とすることです。バリューストリームマネジメントは、お客様がこれらの取り組みを日々のタスクの最前線に置いておくことができるように支援します。

ベストプラクティスの特定

ベストプラクティスを見極めることは、重要なスキルです。ベストプラクティスは、問題を解決するための最も効果的な方法を伝えるのに役立ちます。組織のバリューストリーム全体のすべてのデータを見ることで、企業は単なる推測ではなく、何が本当にベストプラクティスなのかを特定し始めることができます。チームリーダーやその他の利害関係者は、パフォーマンスに関する重要な質問に答える機会を得ることができます。なぜ、あるバリューストリームの品質とセキュリティ(またはその他の技術的な側面)が他のバリューストリームよりも優れているのか?トレーニングの不足が原因なのか?適切なツールを使用していないのか?これらの質問に答えて質問することで、組織は社内で機能していることの根本原因を突き止め、それを組織全体で再現し、改善が必要なことは何かを迅速に対処することができるようになります。

データを使用してベストプラクティスを特定することのもう一つの大きな利点は、どのバリューストリームが高いパフォーマンスを発揮しているかが非常に明確になることです。高いパフォーマンスを発揮しているチームは、適切に定義されたDevOpsのベストプラクティスの結果である。組織内で高いパフォーマンスを発揮しているチームが特定されたら、そのチームの仕事を称えることは文化的にも重要です。彼らの努力は高く評価され、拍手喝采され、他のチームのベンチマークとして活用されるべきです。 データドリブンDevOps ebookデータドリブンDevOps eBookを入手する

私の新しいeBookで、データとDevOpsの関係について学び続けてください。ダウンロードはこちらから。


ケーススタディ- Unica Deliverでの成功への準備

2020/10/15 - 読み終える時間: 2 分

Case Study- Preparing for Success with Unica Deliver の翻訳版です。


ケーススタディ- Unica Deliverでの成功への準備

2020年10月14日

著者: Gordon Patchett / Product Manager for Unica Deliver

画像の説明

Unica に入社して 14年以上になりますが、私は幸運にも、Unica のソフトウェアを使用して素晴らしい成果を上げたいくつかの驚くべきプロジェクトに携わることができました。個人的に一番好きな例は、あるお客様が、新聞社の個別出版物の 200 以上のニュースレターキャンペーンを1つのキャンペーンに統合した時のことです。繰り返しになりますが、200 の個別キャンペーンを 1 つにまとめたのです。これは、毎週、毎週、毎週、かなりの時間と費用を節約したことになります。

私のお気に入りのもう一つの例は、英国の大手小売業者が、完全に新しいデータウェアハウスの構築と Unica の導入に数百万ドルを投資したときのことです。最初のキャンペーンでのクーポン交換による利益が、プロジェクト全体の費用を賄うことができました。これらのツールが正しく実装されていれば、その報酬は観察可能で目に見えるものだけではなく、目に見えるものでもありません。そして、私の経験では、多くのケースで圧倒的にポジティブな結果が出ています。

しかし、私がこの記事で話したいのは、これらの結果を達成するための障害のいくつかです。最善を尽くしたにもかかわらず、スイートの採用が部分的にしか成功せず、最終的にいくつかのモジュールが置き換えられてしまうという状況に遭遇したことがありました。なぜでしょうか?なぜなら、これらの状況を認識していることで、将来のマーカーに気を配り、うまくいけば時間内に介入することができるからです。歴史を学ばない者は、それを繰り返す運命にあります。失敗は、そこから何も学ばないときだけ、絶対的なものです (Failure is only absolute when we learn nothing from it.)。

では、この特定のケースでは何が違っていたのでしょうか。Unica のデリバリーチームは同じでした。ソフトウェアも同じでした。導入を成功させようとする顧客の上級管理職チームの意欲はそこにあり、彼らは積極的に存在していました。ユーザーからのプロジェクトを成功させようという意欲もあった。ユーザーチームの主な代表者は、熟練していて、知的で、創意に富んでいました。パートナーチームは、才能があり、献身的で、親しみやすい人たちでした。

このプロジェクトを成功させるために必要な要素はすべて揃っていましたが、そうではありませんでした。デジタルメッセージングモジュールの採用という重要な 1 つの分野では、それは絶望的な失敗でした。私はこのことについて 5年以上考えてきましたが、いくつかの要因があります。それぞれの当事者が、それぞれの分野で微妙な方法で失敗に貢献したのです。最初の実装は順調に進み、ソリューションは計画通りに稼働しました。私の役割はテクニカル・アカウント・マネージャーとして、週に最低1日はこの顧客の成功のために数年かけて時間を割いていました。

画像の説明

ソリューションは、パートナー組織によってリモートでホストされ、管理され、管理されていました。パートナー企業は、データのインジェストと変換を担当し、Unica Campaign 内でキャンペーンを作成する顧客のデータチームがデータを利用できるようにしました。パートナーの問題は、そのサービスの障害点が1つだけあったことでした。彼らのチームの中でも特に優秀な個人が、データの読み込みと問題の修正を担当していました。彼がコンサルティング事業を立ち上げるために退職することを決めたとき、ソリューションの ETL とデータ層の技術的な知識は彼の手元に残っていました。

顧客ユーザーチームは、新しい働き方の実装に加えて、日々の生産キャンペーンを実施しなければならないという厳しいプレッシャーにさらされていました。時間が経つにつれ、新しい働き方を採用することが難しくなってきました。自動化のための大きなチャンスがあったにもかかわらず、彼らはしばしば物事を行う方法を見つけ、その方法に固執していていました。私が、自動化の機会を最大限に活用する方法について明確な提案をしたレポートを書いたとき、データマネージャーは、彼らは「まだそこにはいない」と主張しました。デジタルメッセージングソフトウェアのいくつかの欠陥は、チームに否定的な印象を与えました。これらの欠陥はすぐに修正され、簡単な回避策が提供されているにもかかわらず、最初は理解できたが、時間が経つにつれて理解するのが難しくなる製品について否定的な空気がありました。

発売後すぐに、新しい最高マーケティング責任者が任命されました。彼のマーケティング戦略は理解しやすく、達成可能なものであり、イノベーションはこの戦略の重要な要素でした。彼は成功の結果に影響を与えるために人々を引っ張っていきましたが、マーケティングオートメーションの領域は彼にとって新しいものであることがすぐに明らかになり、彼は詳細に悩まされることなく、チームへのプレッシャーやテクノロジーの可能性を完全に理解することなく、ただそれが機能することを望んでいるという印象を与えました。私自身の個人的な失敗は、最も強力な生産性機能を採用するためのバイインを得ることができなかったことでした。顧客のリーダーシップチームは、ソフトウェアを革新的に使用したいという意欲を持っており、適切な提案をしていましたが、データマネージャーはその提案を実行することを単に拒否し、最終的には経営陣に新しいデジタルメッセージングツールを探すように影響を与えていました。

画像の説明

適切なビルディングブロックが配置され、適切な勧告が出され、適切な戦略が伝達されたにもかかわらず、そのモジュールについての書類は壁に残されたままでした。では、この場合の鍵となる要因は何だったのでしょうか?5年以上このことを考えてきた結果、私はモルタルが答えだと考えています。この場合、欠けていたモルタルは戦略の実行でした。

マーケティング戦略には正しい言葉が含まれていた。ソフトウェアは、ビジネスが達成したいと思っていることを実証的に達成することができました。ユーザーは明らかに可能であり、それが動作するようにしたが、実際に製品が生き生きとした最も強力な自動化機能を実装するために必要な時間を投資することができませんでした。何が欠けていたかは、戦略の実施の監視であった。これが、上級管理者とユーザーの間にギャップを生み出していた。

戦略的実施の一部は、戦略目標の継続的なモニタリングである。あなたのチームが革新的であることを望んでいますか?それをどのように測定する計画ですか?あなたのチームに顧客を理解してもらいたいですか?それをどのように測定する計画ですか?競争より速く成長したいか。どのようにしてそれを測定するつもりですか?もしあなたが戦略の実施に投資し、それを監視する気がないのであれば、そもそも戦略を書かない方が良いかもしれません。

画像の説明

どんなソフトウェアツールも完璧ではありません。どんなツールにも長所と短所があります。Unica Deliver の中核となる強みは、自動化と生産性向上の機能です。これらの機能を活用すれば、コストを節約することができます。Unica Deliver の詳細については、Unicaチームまでお問い合わせください。


HCL Accelerate を Linux と Docker-Compose を使ってクイックスタートする

2020/10/15 - 読み終える時間: 5 分

HCL Accelerate Quick Start with Linux and Docker-Compose の翻訳版です。


HCL Accelerate を Linux と Docker-Compose を使ってクイックスタートする

2020年10月14日

著者: Daniel Trowbridge / Technical Lead

画像の説明

HCL Accelerate の無料の Community Edition を使えば簡単に始められます。このクイックスタートは Linux 上の Docker-Compose を対象としていますが、他のオーケストレーションプラットフォームにも対応しています。Mac や Windows 用のクイックスタートもありますが、コンテナ化されたアプリケーションなので手順は非常に似ています。詳細については、詳細なドキュメントを参照してください。

始める前に必要なものは以下の通りです。

  • Docker Composeがインストールされ、実行されていること
  • HCL Accelerate User Access Key (ここで入手できます)

画像の説明

1. インストーラのダウンロード

以下のリンクをクリックして、HCL Accelerate Linux インストーラをダウンロードしてください。

最新バージョン https://hcl-velocity-binaries.s3.amazonaws.com/accelerate-hcl-install-latest-linux

2. インストーラの実行

インストーラが実行に必要なパーミッションを持っていることを確認してください。

sudo chmod +x accelerate-hcl-install-latest-linux

インストーラーを実行します。

./accelerate-hcl-install-2.6.0-linux

以下の設定値を入力するように求められます。

  • アクセスキー: アクセスキー:製品版に応じたアクセスキーを入力してください。
  • ライセンス: ライセンス: ライセンスの承認が必要です。ライセンスを読んだ後、再度プロンプトが表示されたくない場合は、インストーラーに ?license=accept 引数を渡してください。
  • プラットフォーム: プラットフォーム: "Docker Compose" をプラットフォームとして選択してください。
  • インストールディレクトリー: Installation Directory: インストールフォルダーの親ディレクトリーーへのパスを指定します。インストールファイルは親ディレクトリーの下のバージョンフォルダーに配置されます。これにより、同じ親ディレクトリーを将来のアップグレードに使用することができます。
  • ホスト名: HCL Accelerate のホスト名を指定します。デフォルトは localhost です。ホスト名は、DNS 解決または hosts ファイルなどで、すでに構成されている必要があります。
  • ポート: ポート番号を指定します。デフォルトは 443 です。
  • Startup (起動): インストーラから HCL Accelerate を起動するか、以下の「HCL Accelerate の起動」を参照してください。

インストーラのオプション: インストーラには多くのコマンドラインオプションがあり、完全に自動化することができます。-help を付けてインストーラを実行して、何をサポートしているかを確認してください。

settings.json: アプリケーションの重要な一意のキーは、ユーザー固有のもので、[ユーザーホームディレクトリー] /.ucv/settings.json に保存されていることに注意してください。このファイルは、将来の再インストールやアップグレードで使用するために、インストーラーの入力も保存します。値は、必要に応じてバックアップおよび/または移動してください。

画像の説明

3. HCL Accelerate の起動

インストーラから直接 HCL Accelerate を起動するか、インストールされたバージョンのディレクトリーに移動して docker-compose up -d を実行します。この時点で HCL Accelerate イメージがDocker Hub からプルされているはずです。Docker Hub からプルできない場合は、圧縮されたイメージを含むオフラインインストーラも利用できます。

Docker Compose を学ぶには: Docker Compose CLI については、docker.com で詳しく説明しています。

4. 最初のログイン

ブラウザー(ChromiumベースまたはFirefoxを推奨)を開き、インストーラーに提供されたホスト名とポートに従って、HCL Accelerate のアドレス(https://<ホスト名>:<ポート>)に移動します。有効な証明書を設定していない場合、デフォルトの証明書は自己署名されているため、証明書の警告が表示されます。この警告を過ぎて進むと、HCL Accelerate ログイン画面が表示されるはずです。ユーザー名とパスワードの両方に「admin」を使用して、最初にログインすることができます。

5. 次のステップ

ナレッジセンター


HCL Domino Early Access Program: 2020年10月リリース版

2020/10/14 - 読み終える時間: 7 分

New October Release: Domino Early Access Program の翻訳版です。


HCL Domino Early Access Program: 2020年10月リリース版

2020年10月14日

著者: Thomas Hampel / Director of Product Management, Domino, HCL Software

画像の説明

先月、私たちは HCL Domino V12 Early Access Programを導入し、お客様に新製品の機能を開発サイクルの早い段階でテストする機会を提供しています。本日、HCL Software の開発チームは、「October 2020」と名付けられた新しいコードドロップをリリースしました。現在ご利用中のすべてのお客様は HCL Software License Management Portal からダウンロードしていただけます。

以下に提供されている機能について、皆様からのフィードバックを募集しています。そのために以下のことをお願いします。

  • 早期アクセスコードのテストを開始: はじめるにあたっての詳細はこちらをご覧ください。
  • 参照したアイデアに投票するか、コメントを残してください。
  • 議論に参加したり、こちらのフォーラムでフィードバックしてください。

画像の説明

このリリースで提供されるもの

時間ベースのワンタイムパスワード (TOTP) 認証

ユーザーが Domino Web サーバーにログオンする際に、ユーザー名とパスワードに加えて、時間ベースのワンタイムパスワードの提供を要求できるようになりました。これらのワンタイムパスワードは Authy や Google Authenticator などの認証アプリによって生成されます。

DAOS Version 2

DAOS Version 2 (DAOS V2) は、サーバ上の DAOS オブジェクトをより確実に追跡する方法を提供する DAOS の新バージョンです。

証明書管理の改善

証明書管理に関連する多くの機能強化と改善が提供されています。

  • TLS 1.0 をデフォルトで無効にします。

  • .kyr ファイルフォーマットに加えて、PEM ファイルフォーマットのサポート。 (注: この機能は、将来的にPEM形式の鍵や証明書をサポートするためのテストベッドとして意図されている)

  • サードパーティーの CA 鍵と証明書をインポートするための CertMgr のサポート - このアイデアに基づいたものです (Thanks Martin!)。

  • Let's Encrypt CA で生成された鍵の置き換えをサポート。

Domino ディレクトリーの機能強化

Domino ディレクトリーの設計 (pubnames.ntf) には、管理者の使いやすさを向上させるための多くの改善点があります。そのうちのいくつかは長年の要望でした。気に入ったものがあれば、以下のアイデアに投票してください。

さらに、前回のリリース (2020年9月) で提供した機能についても触れておきたいと思います

参考文献



HCL Domino Notes 11 新機能

2020/10/14 - 読み終える時間: 2 分

HCL Domino Notes Client 11 New Feature の翻訳版です。


HCL Domino Notes 11 新機能

2020年10月9日

著者: Ren Mark Tapang / HCL L2 Notes Support Engineer

画像の説明

2020年1月に、よりクリーンでモダンな UI、ミニマリストメニュー、簡素化されたフォーム、メールのユーザーエクスペリエンスの改善を含むHCL Notes クライアント の新バージョン (V11) を発表しました。

もっと読む

セキュリティー構成管理に BigFix を使用する

2020/10/14 - 読み終える時間: 4 分

Using BigFix for Security Configuration Management の翻訳版です。


セキュリティー構成管理に BigFix を使用する

2020年10月14日

著者: Ben Dixon / HCL

画像の説明

構成管理 (Configuration Management) は 1991年に、特にソフトウェアエンジニアリングの分野における変更の管理として定義されました。2011年までに、米国国立標準技術研究所 (NIST) は、「セキュリティーに焦点を当てた構成管理 (Security-focused Configuration Management,)」という用語を使用しており、ITセキュリティーの必須要素とみなされていました (1)。

セキュリティー構成管理とは、現在では、管理されている項目の機能的、物理的、または状態の変化を識別、制御、監視するための方法とツールを持つ正式な規律となります (2)。

セキュリティー構成管理の目標は、誤った構成を特定し、それを修正し、変更されないように監視することで、システムの攻撃面を減らすことである。その結果、ベースライン構成が組織のセキュリティー標準として施行されます。これにより、時間の経過とともに変更が加えられても、システムが期待通りに動作することを確認できます。構成設定を効果的に管理することで、変化を管理し、変化に管理されないようにします。

BigFix 構成管理を使用することで、組織は、脆弱性に対する継続的な可視性をITセキュリティー・オペレーションに提供し、その脆弱性に対応するために必要なツールをITオペレーションに提供する一連のツールを手に入れることができます。BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持する能力を組織に提供します。

このブログは、システム・セキュリティーの必要性、システムを保護するために取るべき行動、およびこの保護を実施するために利用可能なツールとリソースに対処することを目的としています。その目的は、システムセキュリティーの姿勢を強化し、継続的なコンプライアンスを確保するために役立つ情報を提供することです。

リモートワークがセキュリティーリスクを悪化させる

そう遠くない昔、ほとんどの従業員はオフィスで働き、オフィスのドアはロックとネットワークファイアウォールで保護されていました。毎日のように、悪者がファイアウォールを突破しようとしていましたが、うまくいけば成功することはありませんでした。

今日では、リモートワーカーが使用するすべてのエンドポイントがターゲットになっているため、企業内にはさらに多くのドアがあります。これらのモバイル・エンドポイントは、企業のネットワーク・ファイアウォールでは保護されておらず、常に攻撃を受けています。「モバイルワーカー」は新しい概念ではありませんが、世界的なパンデミックの影響でワーカーが自宅に留まることを余儀なくされているため、2020年の間に大きく成長します。CSO Magazineが実施した調査によると、2020年の初めには、従業員の16.5%が大部分の時間を在宅で仕事をしていました。3月末にはその数は77.7%にまで上昇している (3)。悪質な行為者は悪用から休むことなく、おそらくパンデミックの間に攻撃をステップアップさせ、あらゆる角度から悪用してきたのでしょう。

重要なのは、リモートワークはそれ自体が悪いことではなく、本質的に安全ではないということです。最大の問題は、ホームネットワーク上の時代遅れの機器や設定にあるようです。多くのホームネットワークでは、ISPから提供されたモデムやルーターを使用しており、それらを設定したり更新したりする方法についてほとんど知識がありません。他のホームネットワークでは、一度インストールされても更新されていないコンシューマーレベルの機器を使用していますが、その中には、検索して悪用するのが簡単なデフォルトパスワードも含まれています。日常的に使用されているネットワークの安全性を考えると、それに接続されているシステムを安全なものにすることがより重要になります。

幸いなことに、エンドポイントを安全に保つ方法についての貴重なガイダンスがあります。Center for Internet Security は、コミュニティー主導の非営利団体であり、IT システムとデータの安全性を確保するための世界的に認知されたベストプラクティスである Controls and Benchmarks の発行を担当しています。

CIS コントロールとは?

CIS コントロールとは、組織内での優れたセキュリティー衛生を特定、優先順位付け、実装、および維持するのに役立つ一連のサイバーセキュリティーのベストプラクティスです。コントロールは3つのグループに分けられます。基本的なもの、基盤的なもの、組織的なものです。Center for Internet Securityの調査によると、基本的なコントロールのうち最初の5つだけを導入するだけで、全サイバー攻撃の85%から組織を守ることができるという結果が出ています。

CIS ベンチマークとは?

CIS 統制がベストプラクティスであるのに対し、CIS ベンチマークは、脆弱性をどのように保護するかについての具体的なガイドラインです。ベンチマークの中には、規制上の義務化されたものもあります。各ベンチマークは、パスワードの長さ、ポートアクセス、プロトコルの設定など、悪用されやすい項目について、アプリケーションやOSに特有の一連のチェックを含んだチェックリストです。これらのベンチマークを適用することで、組織は自社環境の脆弱性を特定できます。

基本的な CIS 対策の概要

前述したように、最初の数回のバック・コントロールを実施するだけで、大多数のサイバー攻撃から組織を守ることができる。ここでは、エンドポイントの安全性を確保するための取り組みにおいて、ほとんどの組織にとって重要な基本的な CIS 対策 (最初の 6 つの対策) を列挙する。

CIS Control Number 1

この管理は、ハードウェア資産のインベントリーと管理を扱う。この管理では、ネットワーク上にどのようなシステムがあるかを組織が把握する必要があります。簡単に言えば、組織は、そこにいるはずのない人がネットワーク (有線または無線) にアクセスすることを望まないということです。ネットワーク上の誰かが、ネットワーク上のすべてにアクセスできる可能性があります。組織は、誰がアクセスできるのか、何にアクセスできるのか、そして何ができるのかを管理しなければなりません。

また、コントロールナンバー1では、組織はネットワーク上のハードウェア資産の構成設定をコントロールできるようにすべきだと述べています。この可視性がなければ、組織内のエンドポイントのセキュリティー確保に着手することすら本当にできません。これが、コントロールナンバー1である理由です。

CIS Control Number 2

この制御は、ソフトウェア資産のインベントリーと制御を扱い、「ネットワーク上のすべてのソフトウェアを積極的に管理 (インベントリー、追跡、修正) し、許可されたソフトウェアのみがインストールされて実行できるようにし、許可されていないソフトウェアや管理されていないソフトウェアを発見してインストールや実行ができないようにする」能力を必要としています。

ソフトウェア資産にはお金がかかります。そのため、ソフトウェアライセンスのインベントリーを作成し、使用状況に関する情報を収集しています。しかし、不正なソフトウェアや組織にセキュリティーリスクをもたらすソフトウェアを特定するために、ソフトウェア資産の棚卸しも行っています。ソフトウェアのインベントリーを作成して、何がインストールされているかを確認し、承認されたソフトウェアと承認されていないソフトウェアを識別することができるようにしたいのです。ソフトウェアをホワイトリスト化できれば、それに越したことはありません。ホワイトリストは承認されたもののリストであり、リストにないものは承認されていないということを覚えておいてください。ソフトウェアは、リスクがあるからといって、リスクがあるわけではありません。

CIS Control Number 3

このコントロールは、継続的な脆弱性管理を管理します。これは、脆弱性を特定し、修正し、攻撃者の機会を最小化するために、新しい情報を継続的に取得し、評価し、対策を講じる能力のことです。

第一の要件は、容易に悪用される可能性のある既知のソフトウェアの脆弱性を修正するために、できれば定期的なスケジュールで、オペレーティング・システムとアプリケーションの自動パッチ適用を行うことです。また、同管理では、自動化された脆弱性スキャンツールの使用、脆弱性修正の優先順位をつけるためのリスク評価プロセス、スキャン結果の経時的な比較を推奨しています。

脆弱性管理とは、発見だけではなく、発見と改善を意味するものであることに言及しておくことが重要です。単に脆弱性を発見して優先順位をつけることは、脆弱性評価として知られており、セキュリティー構成管理の貴重な要素ではあるが、継続的な脆弱性管理のすべての要件を満たすものではありません。

CIS Control Number 4

このコントロールは、管理者権限の制御された使用をカバーし、コンピュータ、ネットワーク、およびアプリケーション上の管理者権限の使用、割り当て、および設定を追跡、制御、防止、および/または修正するために使用されるプロセスとツールを含みます。

システム管理者は、時間とエネルギーを節約するために近道をすることがよくあります。なぜシステム管理者は、管理者アカウントに既にログインしているのに、ユーザーアカウントでログインしなければならないのでしょうか?なぜシステム管理者は、何もできないときに私に連絡してくることを知っていながら、ユーザーのアクセスを制限しなければならないのでしょうか?そして、セキュリティーの暴露を引き起こすショートカットのリストは、まだまだ続きます。

管理者は企業内で起こるすべてのことをコントロールできないので、組織が管理者権限の使用をコントロールし、それらを使用する人の行動を監査することが重要です。今日のオペレーティング・システムは、セキュリティーではなく、使いやすさを目的として構築されているため、組織は、管理者権限を持つ者を制限し、どのような行動を取るかを監査することによって、オペレーティング・システムを安全にしなければならない。

CIS Control Number 5

この管理では、モバイルデバイス、ラップトップ、ワークステーション、およびサーバー上のハードウェアとソフトウェアの安全な構成を対象としています。この管理の最初の部分では、構成管理を制御するための変更管理プロセスの実装を義務づけており、次の部分では、攻撃者が脆弱なサービスや設定を悪用することを防ぐためのこのプロセスの実施について説明しています。

最初にプロセスを実装してから、そのプロセスをサポートするツールを見つけてください。システムにパッチを当てたり、ソフトウェアを提供したりするために使用するツールのように、ツールを中心にプロセスを構築すると、ツールの能力を超えてプロセスを調整することができません。

我々のプロセスはビジネスをサポートすべきであり、ツールはプロセスをサポートする能力を持つべきです。

CIS Control Number 6

この管理は、監査ログの維持、監視、および分析に焦点を当てています。組織は、攻撃を検知し、理解し、または攻撃から回復するために、イベントログを収集、管理、分析しなければなりません。

私たちの組織が最初の5つのコントロールを実施している完璧な世界では、監査ログをチェックする理由はありません。しかし、世の中は完璧ではないので、組織は定期的にログを監視し、分析する必要があります。そうしないと、重要なイベントや変更を見逃す可能性があり、組織は同じ問題に繰り返し対応することになる運命にあります。

覚えておくべきことがいくつかあります。第一に、ログはオンにしておく必要があります。第二に、ログのタイムスタンプが一貫しているように、同期化された登米ソースを使用してください。次に、ログを保存するシステムに十分なスペースがあることを確認してください。最後に、定期的にログをレビューして異常を探し、環境で何が通常発生しているかを理解する。この点では、SIEM (System Information & Event Management) やログ解析ソフトが役立ちます。

BigFix によるセキュリティー構成管理

BigFix は、エンドポイントを常にコンプライアンスの状態に保つことで、エンドポイントの保護において、反応しないのではなく、プロアクティブな対応ができるようにします。BigFix は、ITセキュリティー・マネージャが脆弱性を継続的に可視化し、IT運用チームが脆弱性に対応するために必要なツールを提供するソリューションを提供します。BigFix を使用すると、企業ネットワークから外れたエンドポイントであっても、環境内のすべてのエンドポイントに適切な CIS チェックリストを実装できます。これにより、BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持できます。以下に、BigFix がどのようにしてそれを達成するかを示します。

脆弱性評価

BigFix には、CIS ベンチマークを含む数千もの事前設定済みのすぐに使えるチェックが含まれています。チェックが管理されているエンドポイントに適用されると、エンドポイントのコンプライアンス状態を可視化できます。BigFix は、エンドポイントのコンプライアンス状態を継続的に評価し、その状態を BigFix サーバに報告するインテリジェントなエージェントを利用して、環境の脆弱性の可視性を提供します。

脆弱性の修復

すべてのエンドポイントにすべてのパッチを適用することで、すべての脆弱性が確実に対処されていることを確認するというのは、簡単な解決策のように思えるかもしれません。問題は、エンドポイントが脆弱性を抱えているかどうかがわからなければ、それがいつ、あるいはいつ修正されるかわからないということです。それは、薬が対処してくれる症状が出たときのために、必要のない薬を毎日飲んでいるようなものです。第二に、パッチのインストールの中には、その内容が適用されない場合に失敗するものがあります。パッチが適用できなかったから失敗したのか、それとも他の理由で失敗したのか?さらに、パッチや設定の中には、適用できなくても適用できるものがあり、何かを壊す可能性があります。幸いなことに、パッチや関連性や適用可能性の条件は BigFix のコンテンツに組み込まれているため、必要な場所にのみパッチがインストールされることを保証します。

組織は、脆弱性評価と脆弱性修正のために異なるツールを使用する可能性がありますが、BigFix にこれら2つの機能を統合することで、企業全体の脆弱性管理を合理化し、ITセキュリティーチームと運用チームの両方の労力を削減することができます。

継続的な実施

脆弱性を特定して修復した後、組織はコンプライアンスを維持するために、その状態を維持することを保証しなければなりません。評価と修復プロセスを達成するために脆弱性のスキャンとレポートを繰り返す必要がある他のツールとは異なり、BigFix はエンフォースメントを統合しているため、エンドポイントが継続的にコンプライアンスを遵守することができます。

BigFix エージェントは、管理されているエンドポイントのバックグラウンドで継続的に実行され、パッチの状態や構成設定 ( CIS チェックリストに記載されているような設定) を分析します。設定が指定したものと異なる場合は、システム上の設定を指定した値に変更します。構成が設定されるかパッチが適用されると、BigFix はシステムを監視して、その構成項目の値が変わらないことを確認します。また、何らかの理由で設定が変更された場合は、BigFix がチェックリストで指定した設定に戻します。

BigFix コンプライアンスは、可視性、レスポンス、およびエンフォースメントを統合

市場には、1つ以上の関連するITプロセスをサポートするコンプライアンス管理製品が数多く存在します。BigFix は、可視性、対応、実施を提供する唯一のソリューションであり、継続的なコンプライアンスの特定、修正、維持を可能にします。BigFix は、環境に対する継続的な可視性を提供するソリューションであり、組織は脆弱性を発見するだけでなく、脆弱性に対応することができます。また、同様に重要なこととして、BigFix を使用することで、組織はどこにいても、すべてのエンドポイントで継続的なコンプライアンスを維持できます。

エンドポイントのパッチ適用とコンプライアンスの維持についての詳細は、www.BigFix.com をご覧ください。

(1) Jackson, W. (2011, August 16). NIST offers tips on security configuration management. Retrieved from Government Computer News: https://gcn.com/articles/2011/08/16/nist-configuration-security-rules.aspx

(2) Johnson, A., Dempsey, K., Ross, R., Gupta, S., & Bailey, D. (2011 (Updated 10-10-2019)). NIST Special Publication 800-128: Guide for Security-Focused Configuration Management of Information Systems. US Department of Commerce.

(3) Bragdon, B. (2020, April 1). Pandemic impact report: Security leaders weigh in. Retrieved from CSO: https://www.csoonline.com/article/3535195/pandemic-impact-report-security-leaders-weigh-in.html


HCL Ambassador 2021 申請受付中: 2020/10/31 までです

2020/10/13 - 読み終える時間: ~1 分

HCL Ambassador プログラムは、コミュニティーにおける最高の成果を紹介する認定プログラムです。HCL Ambassador は、他の人を助け、情報を共有し、コミュニティー全体がそのメリットを得るイベントを開催するなど「情熱を持つ人」を認定するものです。

HCL Ambassador の詳細: https://www.cwpcollaboration.com/hcl-ambassadors.html

HCL Ambassador は従業員ではありませんが、専門知識を共有する取り組みにより、HCL コミュニティーに大きな影響を与える立場です。ブログ、書籍の執筆、講演、ワークショップの運営、チュートリアルの作成やクラスの運営、フォーラムでのサポートの提供、地域のイベントの企画と貢献などの取り組みを通じて、テクノロジーを素晴らしいものにするという HCL の使命の実現に貢献していただけたらと考えています。

応募された方々の今年の活動・貢献について、HCL 社員で構成されるパネルによって審査されます。自薦、他薦は問いません。相応しいと思う方を、下の URL のフォームを使って申請してください。なお、推薦には、次のものが必要です。ノミネート期間は 10月1日から31日までです。

  • 名前、メールアドレス、会社名
  • 候補者からの同意
  • その人がふさわしいと考える理由説明や例 (少なくとも3点)

申し込み: https://hclsw.co/ambassador-nomination


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。