AIBR プレミアム
拓海先生、最近うちの現場でAIOpsって言葉を聞くんですが、正直何がそんなに重要なのかよく分かりません。うちみたいな老舗がベンダーにログを預けても大丈夫なんでしょうか。
素晴らしい着眼点ですね!AIOps(Artificial Intelligence for IT Operations、以下AIOps)はIT運用をAIで自動化・改善する考え方ですよ。結論を先に言うと、ベンダーと組むことは効果的だが、データの取り扱いを明確にしないとリスクが高いんです。大丈夫、一緒に整理していけるんですよ。
具体的にはどんなデータが問題になるんですか。うちのシステムのログって、まあ色々入ってますが、そんなに敏感なものが混じっているんですか。
その通りです。ログやトレース、メトリクスには内部IPやホスト名、HTTPヘッダ、SQLクエリ、戻り値の内容、URL、そして個人識別情報(PII: Personally Identifiable Information、以下PII)や業務上の機密が含まれやすいんですよ。だからAIOpsベンダーにデータを渡す際に、何をどうマスクし、どう暗号化し、誰がアクセスできるかを決める必要があるんです。
なるほど。で、うちの場合、外部にログを送るときに暗号化してくれるとか、誰が見られるか制御するとかはベンダー側でやってくれるものなんでしょうか。
良い質問です。多くのベンダーは輸送時暗号化(encryption in transit)と保存時暗号化(encryption at rest)を提供しますが、実装や鍵管理のポリシーはベンダーで異なります。さらにRBAC(Role Based Access Control、以下RBAC)やフィールド単位のマスキングを提供するところもあるが、どこまで標準で担保されているかは契約次第なんです。
これって要するに、うちが見えないところで全部やってくれる便利屋さんなのか、それとも細かくルールを決めて一緒に守る共同作業なのかをはっきりさせるべきだということですか。
まさにその通りですよ。要点を三つにまとめると、第一にデータの種類を明確にすること、第二に暗号化とマスキングの責任範囲を定義すること、第三にアクセス管理と監査ログを整備することです。これを契約に落とし込めば、投資対効果も見えてくるんです。
契約に落とし込むとき、現場のIT担当に丸投げしてしまいがちなのですが、経営判断で押さえておくべきポイントは何でしょうか。
経営の視点では三点です。第一にリーガルとコンプライアンスの要件(どのデータが国内に留めるべきかなど)を確認すること、第二にデータ侵害時の責任範囲と対応費用を明確にすること、第三にベンダーのセキュリティ証明や独立監査の有無を評価することです。これで想定外のコストを避けられるんですよ。
監査や証明書というのは、例えばどんなものを見ればいいんですか。難しい用語を並べられても困ります。
専門用語を避けると、第三者がセキュリティをチェックしている証拠があるかどうかを見ればいいです。例えばISOやSOCのような独立した監査報告書があるか、または定期的なペネトレーションテスト(侵入テスト)の結果を開示できるかを確認すれば良いんですよ。これでベンダーが本当に対策しているか見分けられます。
わかりました。導入後もずっと見張る必要があるということですね。最後に、実際に契約に入れるべき最低限の項目を教えてください。
ここでも三点要約です。第一に取り扱うデータの分類とマスキング要件、第二に暗号化の方式と鍵管理の責任、第三にアクセス制御と監査・ログの保持期間です。これらを契約に明文化すれば、経営としてリスクをコントロールできるんですよ。
なるほど。要するに、ベンダーに丸投げではなくて、何を出すか・どう守るか・誰が見るかを最初に決めて契約で担保する、ということですね。自分の言葉で言うと、リスクを見える化してから技術を使う、という理解でよろしいですか。
