| (概説) 集中処理の場合にくらべ、分散環境下のネットワーク管理では、ハードウェアの把握と統制に多大の
労力を要する。 個々のハードウェアが重要な管理ポイントであるにも拘わらず、管理者の目の届かないところで容易
に移動される可能性があり、かつ管理すべきハードウェアの個数が膨大になるという特徴がある。 そこで、網羅的にハードウェアを統制管理することが求められるのである。 |
監査目標
(1) ハードウェア管理ルールを定め、遵守しているか。
着眼点
1)ハードウェア管理ルールが存在するか確認する。*1
2)ハードウェア管理ルールは、管理者により承認されているかを確認する。*1
3)ハードウェア管理ルールは、ハードウェアの導入、運用、監視等ハードウェアの管理に必要な項目が網羅さ
れているかを確認する。*1
4)ハードウェア管理ルールが周知徹底されているかを確認する。*1
5)ハードウェア管理ルールの見直しが、適宜行われているかを確認する。*1
留意事項
・ システム資産管理規定の策定
ネットワーク管理者は、システム資産(*3)管理台帳やネットワーク構成図
を整備して、ネットワークシステムを運用し更新するための手続規定を策
定しなければならない。
1-1 システム資産管理の手続規定は、ネットワーク機器やソフトウェアを自
社に適した管理レベルで分類して管理対象を明確にしなければならない。
ネットワークの構成機器は、例えば、バックボーンとフロント・エンド
の別、サーバ機・クライアント機(WS/PC)、ルーター・ハブ・モデ
ム・その他のネットワーク機器等に分類される。
1-2 システム資産管理の手続規定を策定するにあたっては、安全性、信頼性、
効率性のいづれに重点を置くかを考慮しなければならない。
1-3 保有しているシステム資産管理の責任者とその管理範囲を明確にする。
すべてのシステム資産を一括して管理することは避けなければならない。
管理対象が膨大になり現実的ではないからである。
ネットワーク管理者、システムアドミニストレータ等の別に管理範囲を
明確にすることになる。
*3) ここでいうシステム資産とは、LAN等のネットワーク環境で使用
されるシステム(EDPシステム)を構成する資産をいうものとし、
機器類だけでなくソフトウェアも含むものとする.
ハードウェア管理ルールは、システム資産管理規定の中に含まれる
ルールとして以下解説する。
・ システム資産管理台帳
2-1 システム資産管理台帳には、ハードウェアに関しては、例えば、次のよ
うな管理項目を記載することになる。
* 品名、識別番号、IPアドレス、MACアドレス、製造番号、
所在場所、管理責任者、製造日、購入日、メンテナンス業者名、
無償保証期間、インストールされているソフトウェア、ソフトウェア上
の設定項目
* 管理項目の中に多くの同じような名前(あるものを他のものから識別
するためのもの)が掲げられているように見えるが、これはそれぞれ
に欠かすことのできない理由を持っている.
IPアドレス−−−TCP/IPによるネットワークに不可欠な名前で
ある.IPアドレスに対してデータが送信受信される.
MACアドレス−−ネットワークインターフェイスのアドレスであり、
ネットワーク機器間の関連性を規定する.
製造番号−−−−−上記の名前が現品としての機器を目の前にして識別
できない論理的な名前に対して、製造番号は、人が
見て識別することができる名前である.実地棚卸に
際して役立つ.シリアルNO.のこと。
識別番号−−−−−上記の名前は、それぞれに重要であるが、命名形式
が各々で異なっている.IPアドレスは48ビット
表記であり、MACアドレスは4つの数字の組合せ
であり、製造番号はメーカーにより一様ではない.
そこで、会社としてシステム資産を管理しようとす
ると、統一されたネーミング基準を持った名前が必
要となる.それが、ここでいう識別番号である.
2-2 各ハードウェアには、削除したり、改変のできない識別番号を付け、識
別番号は重複してはならない。
* 識別番号をどのように決めるかは自社の管理目的にそって考えるべき
ものであるが、ハードウェアに貼付けるものであるから、セキュリテ
ィ上、IPアドレスやドメイン名は使うことができない.
2-3 識別番号やアドレスは、全社でネーミング基準を統一しておく。
* ネーミング基準が各所でまちまちであると、機器が将来増加した場合
に管理が繁雑になるが、ネーミング基準を統一しておくと、保守管理
の一助になるとともにトラブルリカバリーの迅速化にも役立つ。
2-4 システム資産管理台帳には、ソフトウェアに関しては、例えば、次のよ
うな管理項目を記載することになる。
品名、製品番号、バージョン、管理部門、管理責任者、設置場所、
ライセンスの種類(自製品、購入品、シェアウェア、フリーウェア)
・ システム資産管理台帳は定期的に更新して、別の安全な場所に保管し、障
害又は災害が発生したときに備える。
・ 機器が陳腐化し、または、損傷した場合の廃棄基準や方針を策定し、それ
らに従った管理を実施する。
・ 使用されていない機器やソフトウェアは、その理由を確認し、適切かつ安
全に保管する。(例えば、予備の機器)
・ システム資産の実地棚卸
6-1 システム資産の実在性を確認し、システム資産管理台帳の正確性を担保
するため、定期的に棚卸を実施する。
6-2 ハードウェアの更新サイクルの短さと、セキュリテイの重要度とを勘案
して、実地棚卸は年に一回以上定期的に実施する.
6-3 各サイト毎に棚卸を実施する担当者を決め、該当サイトのキーマンが棚
卸の立会人となって実地棚卸を確認する。
6-4 棚卸表は、あらかじめ、サイト毎に一定項目を記載しておき、識別番号、
製造番号、設置場所などを記入または訂正するような様式にしておくと
よい。設置場所は図表で表すようにする。棚卸結果はキーマンが入力し、
コンピュータ上で管理する。
6-5 システム資産管理台帳と実地棚卸表との照合手続は、ネットワーク管理
者が行ない、差異あるものについては調査して適切な処置を行なう。そ
の結果は、棚卸差異明細書等に記録されるが、差異が現場で許可無く機
器を移動した様な原因である場合は、担当者にLANの機器構成をみだ
りに改変しないよう指導教育をすることが大切である。
・ システム資産の購入基準
7-1 ネットワーク機器は、システム資産の購入基準にしたがって購入しなけ
ればならない.
* ソフトウェアについては、複数本まとめて安価にライセンス契約できる
もの(コーポレートパック)もある。
7-2 システム資産の購入基準は、ネットワーク機器の金額の多寡によって対
象範囲を限定するのではなく、ネットワークの安全性、信頼性、効率性
に影響を及ぼすすべての機器を対象としなければならない.
7-3 ネットワーク管理部門で集中購買すべき機器と、ネットワーク管理部門
の承認を得て各現場で申請すべき機器とをあらかじめ示しておくと、シ
ステム資産の購入手続は簡略化できる.
・ システム資産の移設手続
8-1 ネットワーク機器は、ネットワーク運用管理者に申請し、許可を得た後
でないと、移設又は廃却してはならない.
8-2 ネットワーク運用管理者は、移設後の機器の接続の相性や、ネーミング
の変更の必要性などを検討しなければならない.
8-3 ネットワーク機器の移設は、システム管理台帳に直ちに記録されなけれ
ばならない。
8-4 取外したネットワーク機器は、設定項目を初期化した上で、下取りに出
した業者等をシステム管理台帳に記録する.
監査目標
(2) ハードウェアは、想定されるリスクを回避できる環境に設置しているか。
着眼点
1)自然災害、不正行為、障害等に関するリスク分析が行われているかを確認する。*1
2)ハードウェアは、リスク分析を結果を踏まえ、リスクを回避できるよう設置されているかを確認する。*1
3)設定した環境条件を維持・改善しているかを確認する。*1
4)ハードウェアの設置環境の設定に関して、「情報システム安全対策基準」を考慮しているかを確認する。*1
留意事項
ネットワーク環境では、ハードウェア機器やドキュメントが分散され、誰
でも容易に近づける環境にあるため、サーバ機やネットワーク機器、ドキュメ
ントなどへの物理的アクセス、不正使用、盗難に対する対策が必要である。
また、ケーブルはネットワークの盗聴やノードの追加やデータ・トラヒッ
クをモニタされる危険性から、部外者が容易にアクセスできないようにする
必要がある。
・ ネットワーク構成機器及びドキュメンテーションは安全な施設に設置・
保管する。ファイルサーバやネットワーク機器(ルータ等)はネット
ワーク管理者しか扱えないように制限する。
・ ファイルサーバ等の重要機器は、不正侵入に対し合理的に保護する。不
正侵入の方法やリスクを分析し、対策を立てる。
・ ファイルサーバ等の重要機器の鍵は,不正使用がないように適切に管理
する。
・ ファイルサーバ等の重要機器の収容場所は施錠され、あるいは機器自体
が移動できないように保護する。
・ コンピュータ施設への入退室は、鍵・バッヂ・自動セキュリティ装置等
により、許可された要員に限定する。
・ 許可されていない人間がコンピュータ施設へ入退室する場合は、許可さ
れた要員が立ち会ったり、立ち入り地域を限定したり、入退室記録を取
る。
・ 情報セキュリティ管理者により管理状況がレビューされ、必要な改善策
を策定、管理者に報告する。
監査目標
(3) ハードウェアは、定期的に保守を行っているか
着眼点
1)保守対象機器を明確にしているかを確認する。*1
2)保守対象機器については、保守業者と然るべき保守契約を締結しているかを確認する。*1
3)保守のサイクル、保守内容は、ハードウェアの機能、使用頻度等を勘案して妥当かどうかを確認する。*1
4)保守の実施時にデータの抹消、漏洩が発生しないよう、防止策が施されているかを確認する。*1
5)保守の結果を責任者に報告しているかを確認する。*1
留意事項
分散環境での機器管理上の考慮点は、ネットワークに接続するために購入
から運用、保守に至る過程のすべてをできる限り一元化することである。一
元化が不可能または現実的でない場合は、少なくとも管理のレベル(どの機
器をどのレベルの組織までが自由に管理できるか)を取り決めておくことと、
ネットワーク機器の推奨機種などのガイドラインを用意しておくことが必要
である。
・ 保守管理について、ネットワーク管理部門での一括管理または、部門毎
に管理する機器などの方針や連絡手続きなどを文書で明確にしておく。
一括管理するのがよいかどうかは一概にはいえないが、少なくとも機器
の保守に関する情報は、一元化させた方がよい。特にネットワーク機器
の保守は、システム・ソフトウェアの保守も含まれる場合があるため、
一元化することは G.ソフトウェア管理(6)プログラム変更管理で述べる
とおり重要である。
・ ネットワーク機器部品の定期クリーニングのスケジュールや手順を文書
化する。また定期クリーニングの実施内容を記録する。
・ クリーニングの頻度と方法は、メーカーの勧告に従って行う。
ネットワーク機器や部品の定期クリーニングがどの程度必要かは、運用
環境により異なる。また、ベンダーやリース業社によって行われる場合
もある。一般的に、ネットワークの信頼性を維持するために、クリーニ
ングを定期的に実施するのが望ましい。
監査目標
(4) ハードウェアは、障害対策を講じているか。
着眼点
1)ハードウェアの障害時に備え、社内・社外(ハードウェアメーカ、社外関連ユーザ等)への連絡網が
整備されているかを確認する。*1
2)障害対策の現状を会社のトップが把握し、それに対し承認を与えているかを確認する。*1
3)障害が発生しないよう防止対策が講じられているかを確認する。*1
4)障害が発生した場合の、対応手順が整備されているかを確認する。*1
5)障害防止策及び対応手順が周知徹底しているかを確認する。*1
留意事項
・ 機器の保守契約を交わす際、ベンダーの権利と義務を明確にしておく。
明確な契約でこのような記述がない場合でも、ベンダーとの役割分担を
明確にする。
特に、マルチベンダー環境の障害の切り分けを誰が何処まで責任を持っ
て行うかを明確にしておくことは、障害対応を迅速にするのに役立つ。
・ ネットワークにとって欠くことの出来ない機器は必ず予備を持っておく
必要がある。
異種メーカーの機器を組み合わせて使用していることが多く、障害発生
時の原因究明が難しくなっている。
障害の原因の究明にエネルギーをつぎ込むより、機器交換によって復旧
を急ぐことが得策であるともいわれている。
・ 障害対策のための手順は次の通り
障害の検知、状況の報告、障害対応の記録 [cf ISハンドブック]
監査目標
(5) ハードウェアの利用状況を記録し、定期的に分析しているか。
着眼点
1)ハードウェアの利用状況を定期的に分析しているかを確認する。*1
2)分析結果に基づき、ハードウェアの適正な設置を図っているかを確認する。*1
3)ハードウェアの能力は、ピーク時に対処できるものとなっているかを確認する。また、運用にて乗り切る
方策を講じているかを確認する。*1
4)ハードウェアの利用状況を分析し、今後のハードウェアの導入を計画的に行っているかを確認する。*1
留意事項
・ システム資産の効率的管理のため、ネットワーク機器の効率的利用を計
画的に見直す。
棚卸結果や利用状況、稼働状況にもとづき、購入計画の策定や見直しを
行いCIOに報告する。
・ 機器の保守や交換のため、システムのダウンタイムの記録、機器エラー
など稼働状況の記録を取り、稼働率を監視しておく。
分散環境下では、ログを一般に持たないので、ユーザ側で記録する必要
がある。
したがって手書きの記録でよい。
・ ボトルネックの調査
システム全体を見た時のボトルネック
LANを構成する部品単位で見た時のボトルネック
データ量の観点から見たボトルネック
・ システム負荷の計測
サーバとクライアントへの負荷の分散
サーバの能力
応答時間とスループット
・ 稼働率向上のため、システム管理者または保守契約に基づくベンダーに
よるスケジュール化された機器類の予防保守を行う。
ネットワーク・システムの信頼性を維持するためにも、稼働率の監視や
予防保守が必要である。
ガイドラインの目次
に戻る。