健康なサイトは健康なインフラに宿る~その2~

  • テクノロジー

前回のコラムでは運用・保守作業の目的として以下の3つがあることをご紹介しました。

  1. 正常に動作しているかを確認
  2. 障害の芽を事前に摘む
  3. 障害があったときに迅速に復旧するための準備

20170807_01.jpg

前回ご紹介した「1. 正常に動作しているかを確認」は障害を迅速に発見するための監視でした。しかし、障害の種類によっては事前に予測がつくものもあります。今回はそのような予兆から障害を回避する「2. 障害の芽を事前に摘む」について見ていきます。

障害の芽を事前に摘む

サーバーの監視項目には以下のようなものがあります。

<リソースのトレンドグラフ確認>

リソース監視の目的は異常検知以外に障害予測もあります。例えば200ギガバイトのハードディスクの空き容量が50ギガバイトだったとします。使用率としては75パーセントなのでまだ危険水域ではありません。しかし、1週間前の空き容量が120ギガバイトだったら、そして1日ごとに10ギガバイトずつ減少していたらどうでしょうか。おそらく、5日後にはディスクはいっぱいになってしまうでしょう。

そのような予測をもとに、ディスク使用量増加の原因を調査し、障害が起きる前に解決する必要があります。そのためにはリソースのトレンドグラフ取得および確認が有効です。内容によってはサーバーのスケールアップ/スケールアウトなど、長期的な視野での対応計画を進める根拠ともなります。

<ログ運用>

リソース状況や障害の発見・予見には各種ログの取得が必要です。しかし、ログを取りっぱなしだといつかハードディスクを使い果たしてしまい、それ自身がリソース圧迫の原因となります。どれくらいの期間ログを保存するのか、機密性をどう定義して取り扱うのかをあらかじめ検討した上で、その方針に従って運用していきます。

通常は初期構築段階で自動運用できるように設定しますが、企業ポリシーに従い、一定期間経過したログを手作業で別メディアに移して保管するという運用を行う場合もあります。

また、運用計画、運用体制といったレベルで検討すべきものには以下があります。

<老朽化対策>

すべての機械は出荷されたときから老朽化していきます。忘れがちなことですが、今日動いているからといって明日も動くとは限りません。サーバーは基本的に24時間連続稼働なので、わずか1年2ヶ月で稼働時間は1万時間を超えます。特に激しい駆動部分があるようなもの、例えばハードディスクや冷却用のファンなどは故障する確率はかなり高くなります。

サーバー機はデスクトップPCなどと比べて高耐久性パーツを使った信頼性の高い構造にはなっていますが、それでも5年程度を目安に、あらかじめ機器のリプレイスを念頭に置いた計画を立てるべきでしょう。

最近ではサーバーを仮想化したクラウドコンピューティングサービスを利用し、ハードウェアの老朽化対策はサービスベンダーに任せてしまうケースが増えています。

<セキュリティ対策>

OSやソフトウェアのセキュリティ上の欠陥、脆弱性はここ数年、非常に多く発見されています。それらの中には放置すると非常に深刻なセキュリティインシデントを引き起こすものもあります。自社のWebサイトには公開情報しかないから侵入されても問題ない、と思っていても、ページが改ざんされたり、そこが踏み台にされて他のサーバーを攻撃したりすれば大きな問題となります。他にもサイトを落とすことを目的としたDoS攻撃などもあり、機密情報がないから被害は起きない、ということは決してありません。

このような脆弱性への対応はひとつではありません。OSやミドルウェアのベンダーからセキュリティパッチが提供されたり、その脆弱性を解決した新バージョンが公開されれば、それを適用することで既知の脆弱性の問題は解消します。しかし、その新しいミドルウェア上で既存のソフトウェアが動作するか、そのような互換性が保たれているかはわかりません。セキュリティパッチを適用するにも事前の動作検証が必要です。

また、セキュリティパッチがすぐには提供されない場合や、互換性の問題などでパッチが適用できない場合もあります。そのような時には脆弱性の内容をよく吟味した上で、攻撃を「回避する」方法を検討します。特に最近では脆弱性が発見されてから実際に攻撃されるまでの時間が短くなってきており、パッチ適用による根本的解決の前の防御手段としてWAF(Web Application Firewall)を導入する事例が増えてきています。

システムの安定した安全運用にはセキュリティ情報の継続的な収集、内容に応じて迅速で柔軟な対応がとれる体制が不可欠です。

次回は「3. 障害があったときに迅速に復旧するための準備」についてご紹介します。

関連リンク

トライベック・セキュリティソリューション

関連コラム

健康なサイトは健康なインフラに宿る~その1~

健康なサイトは健康なインフラに宿る~その3~

この記事の執筆者

中島 秀明

インフラ・セキュリティ部 部長

この記事に関するご相談やご質問など、お気軽にお問い合わせください。

お問い合わせ

関連する記事

すべての記事を見る

タグ一覧