ひとり情シス向けソリューション
中小企業(従業員数~250名、売上高~50億)のひとり情シスの皆さまの、インフラ運用の課題解決に向け、製品を厳選して情報提供いたします。
ポイント1:課題・要件を定義する
マイクロソフトのような絶対的なメーカーが存在しないインフラは、カテゴリごとに検討項目やメーカーが多くあり、そして設定も標準化されていません。
例:
- ネットワーク(WAN/LAN(無線・有線)/インターネット接続……)
- セキュリティ(GWセキュリティ/エンドポイントセキュリティ/SASE……)
- 認証基盤(MS/Azure AD/MFA/証明書……)
さらに、インフラの名の通り裏側で動いているため、普段意識されていないにもかかわらず、トラブル発生時の影響は大きいという特徴があります。
コストや対応できる時間には限りがあります。今後、AIの活用で大きな変革ができそうなエリア(端末系サポート・定型作業など)を除いて、「ひとり情シス」の課題である負荷の大きな作業・対策例を見てみましょう。
「ひとり情シス」の課題である負荷の大きな作業・対策(例)
| 負荷の高い作業(順) | 軽減化策 | 考慮点 | |
|---|---|---|---|
| 1 | 端末系サポート | As a Service活用 外部サービス(高頻度な場合) |
端末増減 |
| 2 | サーバー障害・リプレース | 仮想化・クラウド利用 | バックアップ リモートオペレーション |
| 3 | システム、ネットワーク障害 | シンプル化+デザインによる冗長化 | リモートからの状態確認 状況からの簡易な障害箇所特定 |
| 4 | DB管理、マスター管理 | お客さま環境依存 | バックアップ |
| 5 | 日々の定型作業 | お客さま環境依存 | |
| 6 | ユーザー問合せ、クレーム対応 | お客さま環境依存 | |
| 7 | システム開発、ベンダー対応 | お客さま環境依存 |
実際には、大企業も中小企業も要件に大きな差はないといえます。
しかし、都度、社長・経営会議で承認を受け、定常的な支出が確保できない中小企業は多いでしょう。
- SV→SaaSに移行(管理会計や請求業務など)
- ネットワークはスタックとWi-Fiの相互カバーで故障しても継続利用できるデザインに
- ファイルサーバー(NAS)はクラウドバックアップ側を使ってリモート業務を継続 など
これらすべてをコントロールしたい「ひとり情シス」。
シンプルにデザインし、どこからでも対応して運用できる状態を、都度承認の範囲に収まるよう実現することを目指してみてはいかがでしょうか?
このような方針を元に、当社が考えた採用プロダクトに求めるインフラ、特にネットワーク・セキュリティ運用簡素化に求める要件(例)は次の通りです。
当社が考える、採用プロダクトに求める要件
| 要件 | 適合条件 | 理由 | メモ |
|---|---|---|---|
| 信頼感 | 大手ベンダー製 or 安定売上 or ベンダー直サポート | 安定稼働と故障時対応 | インターネット他で容易に対応策等検索できる |
| 費用感・支出方法 | ~100万目安 一時的支出(no ARR) |
予算化×、都度承認、好業績時に支出 | 通信費が絡む場合は予算化されているケース多 |
| 冗長性 | 必要箇所の冗長化可能 | 複雑性の回避(費用削減) | 外連味のないデザイン |
| アラート通知 | アプリ or メール通知 | リアルタイムにどこからでも状態把握 | クラウド管理 |
| 管理性 | クラウド型管理が基本 | 同上 | クラウド管理 |
| サポート・保証/保守 | セルフ交換(保証交換品送付 or ベンダー直窓口) | デザイン/システムで一定の継続性確保 | ゼロタッチの交換性 |
ポイント2:シンプルにデザインする
- サーバーをSaaSに移行:管理会計など法改正にともなってSaaS利用が増え、一部の特定用途SVやファイルサーバー(NAS)がオンプレに残っていく。
- ネットワークはスタックと2系統化されたWi-Fiの相互カバーで、一部が故障しても継続利用できるデザインに。
NW概略構成図
- ファイルサーバー(NAS)はスナップショット、クラウドバックアップにより故障交換後もクラウドからの復元が容易。オフィス側ではなく、クラウド側へのリモートアクセスにより、通常時も利便性を確保。
ファイルサーバー(NAS)
- 高度化され、ビジネスベースになったマルウエア攻撃対策:従来の業界別ガイドラインやIPAの中小企業向けガイドラインなどだけでなく、製造業に多い、自動車関連産業向けにはJAMA(自動車工会)自工会/部工会・サイバーセキュリティガイドラインなど、さまざまなガイドラインへの対応が必要。境界防御のUTMベースのGWセキュリティと、アンチウィルス(EPP)だけでは、エンドポイントセキュリティは高度化に対応できなくなった。後者は Microsoft Defender への期待が大きいと考え、ここではGWセキュリティを対象にする。
- 二重化されたインターネットアクセスのセキュリティ保護への対応:ネットワークの停止=業務停止になるため、LAN側をスタック+Wi-Fiの相互カバーで対応し、シンプルなGWの二重化を検討する。
- クラウド側制御と管理:セッション状態の維持(ステートフル)や二重化機器同士での相互確認など専門知識が必要な機器ではなく、クラウド側管理で二重化切り替えができ、簡単に交換作業ができて、状態を確認できれば十分と割り切る。
- 保険(ウィルス駆除サービス・サイバー保険):いざという時の駆除(リモート・駆けつけ)や、駆除できなかった場合の補償がついたメーカーを選ぶ。
ポイント3:引き渡し時にテストで確認する
インフラの名の通り、裏側で動いています。普段は意識されていませんが、トラブル発生時の影響は小さくありません。
運用に慣れていない場合は……
- 設定構築と結線図、LED表示説明などは専門の業者に依頼。
- 引き渡し時に電源断や抜線などの仮想の障害状況を再現。管理アプリやクラウド側の管理コンソールのアラーム、機器のLED表示などを確認しておき、簡単な切り分けフローを作っておきましょう。
引き渡し時にテストで確認する
無線LANの相互カバー範囲の確認
センタースイッチの障害でフロアに対して2系統の無線LANの1系統がダウンしても、残った系統にローミングして業務継続ができることを確認します。
無線LANのカバー範囲は目視で確認できませんが、実際にどの程度の強度で届いているかのヒートマップは、Wi-Fi ミレルなどのiPhone/Androidアプリ(無料)で確認できます。片系障害時を想定し、重要な業務区画や届きにくい区画(会議室など)などに対して簡易なテストレベルであれば確認できます。
ポイント4:定期的な確認で定常時の表示などに慣れる
月次の状態確認は、定常時の状態を把握し運用を継続するうえで重要です。できるだけ実施しましょう。
これらは個別機器にアクセスする必要はなく、クラウドの管理ポータルやスマートフォンの管理アプリ等からアクセスできるベンダーを選択します。
- GW状況(脅威件数、トラフィック、CPU/メモリ使用率など)
- ネットワーク状況(サイト状況(接続・デバイス・PoEパワー・指定した端末状態の変化など(ウォッチリスト))のアラート、アプリケーション利用率など
- NAS状況(ディス使用率、バックアップ使用率・ステータス、CPU/メモリ、使用率など)
機器のハードウエア障害以上に多いのは、構成機器のOSアップデートや接続端末のOSアップデートなどによる変化です。いわゆるチェンジマネジメントが重要です。
定常時の状態を把握しておき、チェンジマネジメントで変更範囲を押さえておくことで、早期の状況把握、回避や影響の極小化に役立てましょう。
TD SYNNEX が考える構成例・メーカー
Aruba、OCHの機器を使った構成例です。
TD SYNNEX が考える構成例
実際のインフラには、下記のようなインフラもあります。
- 認証基盤
- WANのネットワーク・セキュリティ(SASE/SD-WANなど)
- PCなどのエンドポイントセキュリティ など
今後、継続して、ひとり情シス・ゼロ情シスの皆さまに役立つ情報を提供してまいります。
Aruba Instant On
OCH SG-ONE
手のひらサイズのコンパクトUTMです。ネットワーク内の機器すべてのセキュリティをこの1台で守ります。
在宅勤務や出張でも、持ち運んですぐに設置可能!ネットワーク全体を手軽にかつ、低コストで守ります。
OCH SG-ONE TANDEM
1つの筐体の中に2つのUTMを格納した、新タイプのUTMが登場!
冗長構成を保ち、社内のインターネット環境を止めずに、セキュリティも継続的に担保したままご利用いただけます。ウイルス駆除サービス、サイバー保険のセットもございます。
OCH Repli
