ネットワーク設定管理のための適切な方策

ネットワークとデバイスの設定管理は、夢中になるような楽しい作業ではないにしても、ネットワーク設定管理のベストプラクティスを実践して効率的に進めることができれば、価値の高い重要な作業としてやりがいを感じられるでしょう。ネットワーク設定を変更されてファイル侵害の被害を被るといったことを未然に防ぐことができます。

ネットワーク設定管理とは

ネットワーク設定管理とは、管理しているネットワークを構成する様々なアイテムの設定情報を追跡し、変更などに関して管理するプロセスです。

ソフトウェアでもハードウェアでも、何かの設定に手を加えることが1回でもあれば、設定管理が必要になります。

適切な設定管理を行うことで、パフォーマンス、機能、さらに物理的属性についても、一貫性のある設定状況を確実に維持することが可能になります。システム、データセンター、サーバー、ネットワーク、そのほか様々なものが機能するには設定情報が必要です。適切に設定されていないシステムは機能しません、少なくとも安全で適切な状態では機能しません。

設定管理の目的は、IT の運用、セキュリティ、場合によってはコンプライアンス、のニーズに合わせて、すべてのシステムに関連する設定情報を適切な状態に保持し続けることです。設定管理は、IT インフラストラクチャとソフトウェアのバージョン管理と考えることもできます。しっかりしたバージョン管理を実現できれば、どのデバイスがどのように設定されているかが把握でき、もし何か問題があったときは確実に機能していた以前のバージョンに戻すこともできます。

適切な設定管理の効用 - セキュリティとコンプライアンス

設定管理は、IT 部門が単に、すべてを把握してきっちりコントロールすることに喜びを見出すから必要なのではなく、セキュリティとコンプライアンスのために必要だということは、押さえておくべき重要なポイントです。両方を実現するには、設定が変更されたとき、それを即座に把握する必要があります。設定情報の変更は、多くの場合、何か問題が起きたことを示唆します。誰かが間違って変更してしまったか、まんまとネットワークに侵入した誰かが次から簡単に侵入できるよう意図的に設定情報を変更した可能性があります。あるいは、ネットワークに正しく設定されていないハードウェアやソフトウェアが追加された可能性もあります。こういった変更によって、セキュリティ上のリスクが増大します。Gartner などは、侵害の8割が設定の問題に起因するのではないかと推定しています。

したがって、システムをしっかり安全に保つには、すべての設定情報が適切であることを確認する必要があります。例えば、開いているポートがあったり、パスワードが "password password" などのようなデフォルト設定のままだったりするということが起こらないよう、高度な設定管理を実施するようにします。

こういったセキュリティ保護は、HIPAA、GDPR、カリフォルニアの CCPA、その他様々な規制コンプライアンスを満たすためにも必要です。そのほか、内部コンプライアンスでセキュリティ管理を規定していたり、ビジネスポリシーとして設定の条件が指定されている場合もあります。

システム管理者は、すべてが、これら多様な内外部の規制を満たすように設定されていることを確認する必要があります。すべての設定情報を統括して1カ所からチェックできるようにした上で、計画にない変更が加わらないよう厳重に管理する、高度な設定管理が必要です。

設定管理は IT 効率向上に貢献

設定管理は、全部手作業で実行しようとしたら非常に面倒で時間がかかるネットワーク設定情報の管理を極力自動化するので、大幅な効率化ができ、エラーも劇的に削減できます。

スイッチやルーターごとに手動で再設定したり、ドキュメントを見て何をすべきかを調べながら入力したりするのは、時間の無駄です。信頼できる確立された設定情報の入力を自動化すれば、ボタンをクリックするだけで実証済みの設定情報を適用できます。設定情報はシステムに保管されるので、必要があればワンクリックで以前の設定に戻すこともできます。

スケーラビリティ

自動化の大きなメリットは、高い拡張性です。25台のルーターがすべて同じように設定されていて、新たに10台のルーターを追加する必要が出てきた場合、手作業で1台1台設定しなくても、既に使われている実証済みの設定情報を新しい10台のルーターに自動的に適用することができます。こういった自動設定情報割り当ては、ハードウェアにもソフトウェアにも適用できます。

可視性

設定管理によってネットワークの可視性が向上するので、セキュリティの点でもメリットがあります。

高い可視性は、トラブルシューティングの際に役立ちます。エラーが発生した場合、システムが適切に設定されているかどうかをまずチェックします。設定に問題がなければ残りの診断に移行しますが、問題が見つかったら設定ミスがネットワークエラーの原因である可能性があります。設定情報の確認は重要な最初のステップであり、設定管理によってハードウェアとソフトウェアが適切に設定されているかどうかを即座に把握できることは、速やかな問題解決に結びつきます。設定ミスによるエラーはデータ侵害のリスクが高いので、迅速な診断と修正が必要です。

ユーザーエクスペリエンス

セキュリティ問題やコンプライアンス違反で混乱を生じさせることなくネットワークを稼働させることは IT 部門の使命です。適切な設定管理でスムーズかつ安全にネットワークを稼働させ続けることは、エンドユーザーを満足させユーザーエクスペリエンスが向上します。

WhatsUp Gold のネットワーク設定管理

プログレスのネットワーク監視ソリューション、WhatsUp Gold には、統合製品として設定管理機能が備わっています。設定管理では、ネットワークデバイスの設定と設定変更の管理を自動化します。ネットワーク設定情報を保存し、設定に変更があった場合は警告通知します。承認された設定と変更された設定を、差異が強調表示される形で並べて表示する機能があり、変更部分がすぐにわかります。

また、SOX、PCI、HIPAA、GDPR、FISMA などの規制コンプライアンスを満たしていることを証明するために、定期的なネットワークデバイスの監査を行って文書化するようスケジュールすることもできます。

WhatsUp Gold ネットワーク設定管理の主な機能には、以下のようなものがあります。

ネットワーク設定情報管理タスクの自動化: ネットワーク上のルーター、スイッチ、ファイアウォールなどの設定と設定変更の管理を自動化します。設定バックアップの実行、ユーザーの追加/削除、ファームウェアの更新、SNMP 文字列の変更などの管理作業を自動化できます。

ネットワーク設定のバックアップ: ネットワーク設定の偶発的、あるいは悪意による変更で悪影響が及ぶのを回避できます。WhatsUp Gold は、実行中のネットワーク設定と「ゴールドスタンダード」設定の両方のバックアップを自動化でき、ネットワーク設定を確実にコントロールできます。

設定ポリシーのコンプライアンス監査: デバイス設定が、「パスワードの暗号化」などの事前定義された一連のポリシーに準拠しているかを監査します。設定変更があればその前後で比較し、差異を強調したテキストベースの比較情報が得られます。

設定の自動一括変更: WhatsUp Gold は、複数デバイスの一括設定変更もサポートします。ネットワークの安全性を保つためにパスワードを毎月変更することが義務付けられている場合、デバイスのパスワードを1つ1つ変更しなくても一括変更機能を使って自動的に処理、スケジューリングできます。

ネットワーク設定のアーカイブと復元: ネットワーク設定を安全で暗号化されたリポジトリ内にアーカイブします。ネットワーク管理者は、各デバイスに対して、起動時の設定と実行中の設定を含め、複数の設定を保存できます。ネットワークに新しいデバイスを追加する場合、アーカイブされた設定をダウンロードするだけでいい場合があります。問題が生じたら、デバイスに既知の確認済み設定をリストアして停止時間を最小限に押さえられます。

設定変更時の警告通知: ネットワーク管理者は、承認されたかどうかにかかわらず、すべてのネットワーク設定変更に関して責任があります。設定管理モジュールは、設定データベースをスキャンして、変更があれば警告を発します。変更があったら遅延なく警告できるよう、自動スキャンをスケジュールすることも可能です。アラートセンターへの SNMP トラップを使って設定変更を警告することもできます。

WhatsUp Gold 設定管理は、ネットワーク設定管理のベストプラクティスを実現します。設定と設定変更の管理を自動化でき、反復プロセスを実行するときに発生するエラーを排除し、ネットワークが確実に承認済みの設定で稼働するようにできます。