サーバールームとは? 安全に運用するために外的要因と内的要因から取るべき対策について
- INDEX
-
サーバールームが必要、または運営する中で安心・安全を保つために対策しておくべきことは山積みです。実際にどのような要因があり、どのように対策するのかを把握し、適切に対処することが求められます。
今回はサーバールームに関する基礎知識、そして安全に運用するために外的要因と内的要因から取るべき対策についてお話します。
サーバールームに関する基礎知識
はじめにサーバールームに関する基礎知識について簡単に説明します。
サーバールームとは
サーバールームとは社内や組織内、もしくは敷地外に、データの保存、基幹システムの構築、オンラインサービスの運用など、事業活動で必要となる物理的なサーバーを集めたスペースです。事業活動で日々生じるデータ=情報資産が蓄積される場所でもあり、サーバーの保守運用は慎重に行う必要があります。
また、基幹システムの設置や構築、オンラインサービスを運用する場合など、サーバーが停止することで業務に支障が出たり、利益や売上に影響したりすることもあります。その分、外部にデータや情報資産を渡す必要はありませんし、システムやサービスのカスタマイズも自由です。クラウドサービスやオンラインツール、外部サーバーやベンダーに依存する必要がないため、外部要因による業務への支障も起きにくくなります。
サーバールームの構築・運用に必要な要素およびコスト
・一定の温度に空調を保つ
・関係のない人間は近寄れないようにする
・監視カメラや入退室の管理など物理的なセキュリティ
・停電時に正常にシャットダウンするための機器を設置
・システムやネットワーク、デバイスなどのセキュリティ
上記はサーバールームの運用に必要な要素の一例です。その他にもサーバールームを設置、構築するためにサーバー本体や周辺機器、ケーブルなどのコスト、サーバールームを設置する場所のコストなど物理的なコストが必要になります。
また、セキュリティ性を確保するために、情報システム部やセキュリティ担当などセキュリティ人材に関するコストも忘れてはいけません。同様にセキュリティを強化するためのセキュリティシステムやツールの導入・維持などサイバー攻撃や内部不正への対策も必須です。
サーバールームの必要性
昨今ではクラウドサービスやオンラインツールなど、オンプレミス、内製で行わなくても外部で安全にデータやシステムを構築する仕組みがあります。しかし、安全性が高くなったとしても、個人情報や機密情報を外部に預けるのは難しい業種・業界・業態ですと、オンプレミスおよび内製でサーバーを運用・管理しなくてはなりません。
また、DXの推進に伴い、さまざまな技術を導入するためにサーバールームを設置・構築するケースもあります。デジタル化・電子化・ペーパーレス化に対応するためにも必要となる可能性もあるため、企業や組織の規模・人数が小さい場合でも設置や構築を検討する段階が訪れます。
サーバールームを安全に運用するために外的要因から取るべき対策
次にサーバールームを安全に運用するために外的要因から取るべき対策について解説します。
サーバールームを設置する場所と物理的な警備
サーバールームを設置する場所は基本的に無関係な人が訪れない場所が望ましいです。同様にサーバーやネットワーク機器以外のデバイスや資材を置かないようにして、普段は出入りする必要がない状況にしておきましょう。情報システム部やセキュリティ担当など、物理的な保守や直接作業しなければならない場合を除けば、基本的には無人であるべきと言えます。
また、施錠や入退室の管理、監視カメラなど物理的な警備も必要です。鍵ひとつで気軽に入れるような状況は危険ですので注意しましょう。その他にも前述したように空調を整えること、バッテリーやUPSのような非常電源を備えておくことなど、サーバーが正常に稼働し続けられるような環境を整えることをおすすめします。
バックアップとなる拠点の設置および自然災害への備え
サーバールームは社内や組織内に設置するか、データセンターのような形で外部に設置するのが一般的です。どちらの場合も同じ場所でバックアップを取るだけでなく、いくつかのバックアップ先を設置しておくことで、自然災害やサイバー攻撃発生時に復旧や正常な稼働に戻すまでの時間が短縮できます。本社以外の支社や支店、またはバックアップのためだけの拠点の設置も視野に入れておきましょう。
同様に地震や火災、土砂崩れや津波など、自然災害の影響を受けにくい場所、または電力の供給が途絶えにくい場所を選ぶことも重要です。オリジナルのデータやシステムが失われて、同時にバックアップも失われてしまうような状況を回避できるようにしておくことが大切です。
バックアップから復旧するための手順と人材の確保
バックアップから復旧するための手順を作成しておくことも大切です。特に自然災害発生時には情報システム部やセキュリティ担当がすぐに対応できないこともあります。必要に応じて対応できる人材を育成しておくこと、複数の拠点で対応できる人材を配置しておくことも忘れないでください。バックアップがあるのに、誰も対応できないような状況に陥らないように万全の準備をしておきましょう。
サイバー攻撃を受けた時にも物理的に離れた場所、ネットワークが別の場所にバックアップがあれば安心です。例えばランサムウェアでシステムやデータごと暗号化されても、別の場所にあるバックアップから復元や復旧できます。
サーバールームを安全に運用するために内的要因から取るべき対策
次にサーバールームを安全に運用するために内的要因から取るべき対策について解説します。
サーバーに構築されているOSやシステムのセキュリティ対策
サーバーは基本的に何らかのOSやシステムで稼働しています。最新のバージョンにアップデートすることや、必要に応じて脆弱性のパッチをあてるなど、OSやシステム面でのセキュリティ対策は怠らないようにしましょう。特に独自の基幹システムをサーバーのOS上に構築している場合、バージョンが異なると動作しないためにアップデートしないことがあります。いわゆるレガシーシステム化している状況であり、安全であるとは言えません。
同様に属人化やブラックボックス化してしまうことで、手が付けられなくなるか、改修するにも時間や金銭的なコストが見合わなくなるかなどリスクしかありません。これらは情報システム部やセキュリティ担当が基幹システムとOS、もしくはその他のシステムやアプリケーションとの調整を行うことで解決していく必要があります。セキュリティに関するコストに投資することを忘れず、セキュリティ性が損なわれている状況を作らないようにしてください。
サーバーに接続するデバイスのセキュリティ対策
サーバーが安全でも、サーバーに接続するデバイスに脆弱性やセキュリティホールがあれば危険な状況と言えます。サーバーに何らかの悪影響を及ぼさないためにも、パソコンやタブレット、スマートフォンなど、社内や組織内のネットワークおよびサーバーに接続するデバイスのセキュリティ対策をしっかりと行っておくことが重要です。
ゼロトラストの考え方に基づいてデバイス・ネットワーク・システムへの認証を強化しておくこと、エンドポイントセキュリティの考え方や仕組みを取り入れて、従業員の利用するデバイスのセキュリティ性を確保することをおすすめします。
どちらもIT資産管理や情報資産管理によって、一元的な管理が可能なシステムを導入・運用することで、セキュリティ基盤が構築され、管理しやすい環境を整えることが可能です。
サーバーやデバイスを扱う従業員のセキュリティリテラシーの向上
サーバーもデバイスも安全、しかし、デバイスやサーバー上のシステムを扱う従業員のセキュリティリテラシーが低い場合、やはりセキュリティ的に安全性が確保できているとは言えません。最低限のセキュリティリテラシーや知識、経験を積ませることで、より安全性を高めることができます。
昨今ではOSやシステム、アプリケーションやデバイスの脆弱性を悪用するタイプだけでなく、人間の心理を悪用するタイプも増えています。詐欺的な手法で焦らせたり、困らせたりすることでマルウェアのインストールやIDおよびパスワードの奪取が行われます。
なるべく最新のセキュリティに関するリスクやサイバー攻撃の手法を周知しておくこと、明らかに怪しい、もしくは困った時は情報システム部やセキュリティ担当にすぐに報告・連絡・相談できる体制を整えておくことをおすすめします。
まとめ:物理的なセキュリティとシステム的なセキュリティの両立が大事!
今回はサーバールームに関する基礎知識、そして安全に運用するために外的要因と内的要因から取るべき対策についてお話しました。DXの推進や電子帳簿保存法、e-文書法や電子商取引など、社内や組織内で蓄積されるデジタルデータの種類もデータ量も増えている時代です。オンプレミスかつ内製で安心・安全にデータを保存・保管するためにも、物理的なセキュリティとともにシステム的なセキュリティも強化しましょう。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、システム面における対策が構築できます。オンプレミスおよび内製の場合でも安心・安全な環境が整いますので、ぜひともこの機会にご相談、お問い合わせください。