システム保守費って支払う必要があるの？システム保守はなにをやっているの？

スポンサードサーチ

「システム保守は必要でしょうか？」

システムのリプレースや新規開発のお話をしていて、この質問をいただく事が時々あります。

クライアントの立場から言うと、出来るだけ予算は減らしたいところですし、内容が良くわからないものには予算をかけてたくないというのもわかります。

しかし、システム保守はクライアント独自のシステム開発をする場合だけでなく、WordPressなどのオープンソースでも、パッケージソフトでも原則必要です。

システム開発やWebサイトの構築において、システム運用開始は単なるスタートであり、システム運用はトラブルなしに行う事が前提です。

そのため、システム保守を付けずに運用を行うのは、潜在的に様々なリスクを抱える事になるので、今回はなぜシステム保守が必要なのかについて見ていきましょう。

システム保守はなぜ必要なのか？

システム保守が必要な理由としては、主に以下の3つが挙げられます。

システムには不具合が発生する

まずシステム保守が必要な理由としては、システムにはバグと呼ばれるシステムの不具合が発生する、というのが挙げられます。

システムの不具合については、どんなに優れた人を投入し、予算と時間を掛けてテストを繰り返しても、人間が開発したシステムである限り必ず発生します。

これは、優秀な人材を集めてシステム開発を行っている世界的なIT企業であるMicrosoftやGoogleですら避けることはできません。

TechCrunch：Windows 10の脆弱性修正パッチを緊急配布、月例アプデのSMBにバグ

ZDnet：グーグルのバグ報奨金プログラム、2019年の支払額は過去最高の650万ドル

もちろん、システム開発を行う会社がシステムを納品するまでに様々なテストを繰り返し、出来る限りバグが発生しないように努力をするのは当然です。

しかしシステムの不具合は、新たにシステム開発を行った部分だけではなく、運用を行っているサーバや利用しているアプリケーションなど、元々システム開発の対象としていなかった場所が原因で起こるケースも数多くあります。

システムの運用をするにあたっては、独自システムはもちろん、パッケージを使ったシステム開発や、WordPressのようなオープンソースを使った開発でも、実際に動かすためには、最低でも以下のような仕組みが必要です。

• 接続回線やインターネット接続機器
• サーバ（Webサーバ、アプリケーションサーバ、DBサーバ等）

また、サーバの上にはWindwsやLinuxといったOSが動き、他にも様々なアプリケーションが動くことで、開発したシステムが動くようになっています。

このようにシステムというのは、複雑なシステムをいくつも組み合わせて動かしているために、システムの不具合も様々な原因で発生するのです。

WordPressなどのオープンソースの場合には、脆弱性（セキュリティホール）と呼ばれるシステムのバグが数多く見つかる度にアップグレードが行われています。

そのため、利用にあたっては必ずアップグレードをして脆弱性（セキュリティホール）を潰しながら利用する事を私どもは絶対条件と言っているぐらいです。

このように、システム運用においてはなんからの不具合は必ず発生するものであり、それに対応できるように体制を組んでおくことは、システムを利用する上では必須要件であると理解する必要があります。

システムの運用にサポートが必要

システム保守が必要な理由のもう一つは、システムの運用においてはサポートが必要だというのがあります。

例えば、MicrosoftのExcelで考えるとわかるのですが、Excelの解説をするものだけで数多くの書籍が初心者向けからマクロを使いこなす上級者向けまで、出版されています。

もちろん、Microsoft自身もExcelに「ヘルプ」を用意してくれていますが、これだけでExcelが使いこなせるようになる人は、滅多にいないのはなぜでしょうか？

それは、Excelを使っている中で「こんな事がしたい」というのが出てくると思いますが、それをユーザーの理解度に合わせて全て「ヘルプ」で網羅することはできないからです。

同様に、全く新たに構築したシステムで全てを網羅しつくしたマニュアルは、コストや時間の面から作られる事はなく、通常は簡素なものになりがちです。

しかし、独自システムの場合には、要件を満たすために複雑な機能を盛り込む事も多いので、操作が複雑になって「ヘルプ」や用意された簡素な「マニュアル」だけでは理解が難しい部分が出てきます。

そうなると、詳細な「マニュアル」が事前に用意されていても、クライアントの方で面倒になって読まないケースや、実際の業務の中では読む暇がない、ということが発生してしまいます。

このように、独自システムであろうとパッケージやオープンソースであろうと、システムの運用においては、運用の中で起こる様々な事象に対応するためには、開発側のサポートが受けられないとシステムを使いこなすのが難しい、というのを理解する必要があります。

システムは動かし続ける事が重要

さらにシステム保守が必要な一番の理由としては、システムは動かし続けるのが重要、というのがあります。

システムには不具合が発生する、というのを最初にお話ししましたが、不具合が発生した時にどういった対応をするのかが問題となります。

外部に公開をしているWebサイトやWebサービス、日常的に利用される社内システムは、サービスを止める事自体できないものが殆どで、「障害が出たからシステムは止めておく」というのは基本あり得ません。

例えば、ECサイトで商品を販売している会社がサービス停止になってしまうと、ビジネスとしてはかなりの痛手です。

WWD Japan：「ゾゾタウン」がシステム障害で16時間以上サービス停止

また、社内の業務システムが数日間利用できないような状況になれば、日々の仕事そのものが止まってしまうリスクもあります。

そのため、WebサイトやWebサービス、社内システムを止めないためのシステム運用を行うにあたっては、以下の対応が必要になります。

セキュリティ対応

システム運用を行う上において、あまりにも当たり前なため明確に意識される事はありませんが、一番重要なのがセキュリティ対応です。

セキュリティ対応として多いのは、脆弱性（セキュリティホール）と呼ばれるシステムのバグによるセキュリティの穴を塞ぐ作業で、独自に構築したプログラム部分だけではなく、データベースやサーバで何かしらの脆弱性（セキュリティホール）が見つかる場合もあります。

オープンソースであるWordPressが頻繁にアップグレードを行うのも、頻繁に発生する脆弱性（セキュリティホール）の対策をするためです。

このセキュリティホールを放置しておくと、そのセキュリティホールを突かれてシステムを改ざんされ、Webサイトを訪問したユーザにウィルスをまき散らしたり、Webサーバから個人情報を抜き取られたりする可能性があります。

実際に、この脆弱性（セキュリティホール）がフレームワークと呼ばれるシステムに見つかって、情報流出が相次いだ事件があります。

「Struts2」の脆弱性を突かれた2年前の事件、日本中で情報流出相次ぐ

この時には、東京都や日本貿易振興機構（JETRO）、JINS（ジンズ）、ぴあ等で個人情報の流出が発生しました。

こういった事態が発生すると、企業の信用が毀損してしまったり、賠償問題が発生したいする事態になりかねませんので、セキュリティ対応も含めたシステム保守を行う事によって、脆弱性（セキュリティホール）を潰す事は大変重要です。

また、システム保守だけでなく、システムにアクセスできる場所や端末を制限したり、FirewallやWAF（Web Application Firewall）といった仕組みを用意して、外部からの不正アクセスに様々な手段で備える、といったセキュリティ対策も併せて行う必要があります。

監視と障害対応

WebサイトやWebサービス、社内システムを止めないためには、監視と障害対応発生時の体制を準備しておく事も重要です。

監視とは、ネットワークを含めたインフラからサーバ、システム、サービスといったサービスを維持しするためのシステム全体が正しく動いているかをチェックして、障害があった場合には通知を行います。

システムというのは、複雑なシステムをいくつも組み合わせて動かしているため、様々な要因で障害が発生します。

その原因は、上に挙げたシステム自体に障害が出る場合以外にも、システムが動作しているサーバに障害が出たり、サーバがインターネットに繋がっている回線や機器で障害が発生したり、サーバにアクセスが集中しすぎて表示ができなくなっていたり、と様々な可能性があります。

しかし、監視を行っていない場合、特に営業時間外や土日祝日など、自分達でシステムを利用していない時間帯で障害が発生しても気が付かないという事が起こりえます。

また、障害が発生した場合には、原因を追究してその障害を取り除く障害対応が必ずセットで必要になりますが、障害発生の原因は様々な要因から起こりうるため、インフラからサーバ、システムまでトータルでの調査と対応が必要になります。

しかし、24時間365日での監視と障害対応を行っていない場合には、Webサイトにアクセスしてきたユーザーから指摘を受けたり、ネット上で騒ぎになってから気が付いたり、土日に障害が発生したけど月曜日まで誰も障害対応もできずにサービスが止まっていた、という事にもなりかねません。

また、システム保守をシステム開発をした会社で行っていなければ、調査依頼を受けた会社は新たに現在動いている環境と同じ開発環境やテスト環境を用意してまず調査をする必要があります。

さらに、調査結果に基づき、開発環境や試験環境を構築して改修や動作確認ができるようにするための準備も必要です。

調査結果により、障害対応においてシステム改修が必要になった場合には、そこからシステム改修を進めて行く事になり、復旧までにかなりの時間を要する事になります。

このように、システム運用においては障害が発生する前提で考える必要があり、システムに対する監視をどこまで行い、復旧までの時間をどこまで許容できるのか、を考えてシステム保守を行う必要があります。

バックアップと復元作業

どんなにセキュリティ対応や監視を行っていても、ユーザー側の誤操作で必要なデータを消してしまった等の理由で、システムのデータを前の状態に戻さなければならないことがあります。

また、システムが載っているインフラ側での障害や 大規模災害が発生した事により、 システムが動かせなくなるという事態も過去には発生しています。

IT Leaders：5700件のデータ消失事故はなぜ起きたのか、ファーストサーバの事故の経緯と背景を追う

ビジネス＋IT：AWSの大規模障害、「やはりクラウドは信頼できない」のか？

このような事態が発生した場合に重要なのが、バックアップと復元作業です。

クラウドサービスを使っている場合、サーバ上で障害が発生しても独自のフェールオーバー機能により、他のサーバ上で仮想サーバーが自動復旧しサービスが継続されるものがあります。

しかしこういった自動的に行ってくれる復旧作業は、障害発生前の時点にシステム全体のデータを戻すという対応であって、消してしまったデータをピンポイントで復元してほしいといった対応は基本的に行えません。

また、以前クラウドサービスだからバックアップをしないというのはリスクでしかないで書いたように、クラウド上に保管されているデータについては基本的に保証対象となっていないため、独自にバックアップを取る事は重要です。

クラウドサービスだからバックアップをしないというのはリスクでしかない

企業のサーバは、自社の設備で運用するオンプレミスから、AWS(Amazon Web Service）や GCP…

resource-sharing.co.jp

さらに、利用しているインフラ事業者から別の事業者に変更する場合には、保管しているデータを取り出し、別の環境でシステムをデータと共に復元ができる必要があります。

このように、システム運用にあたっては、復旧をどこのレベルで行いたいのかの段階に応じてバックアップを取り、復旧作業ができる体制まで想定をしておく必要があります。

貯まり続けるデータを利用するために

システム保守に必要性について、3つの観点から見てきました。

1. システムには不具合が発生する
2. システムの運用にサポートが必要
3. システムは動かし続ける事が重要

これらの観点に加えて、システム保守が必要かどうかを判断するにあたって、重要な判断基準があります。

それは、「そのシステムが動かなくなった時に代替可能か」というもの。

自動車は、最悪壊れた場合に別の自動車に買い替えれば、モノや人と運ぶ機能は得られますので問題はありません。

しかし、PCやスマートフォンが壊れた時に、買い替えるのは簡単ですが、入っていた電話番号やメール、Officeなどのデータが全て無くなっても、全てクラウドにデータがあるので問題ない、という人は少ないと思います。

システムの場合で見てみると、独自システムはもちろん代替品がありませんし、パッケージを使ったシステム開発や、WordPressのようなオープンソースを使った開発でも、システム運用を始めてからデータが貯まり続け、このデータはバックアップを取っていない限りどこにも存在しません。

このように、システム運用において、貯まり続けるデータは唯一無二ものであり、このデータを維持して利用し続けるためにシステム保守を行っていると言っても過言ではないのです。

このように、システム運用を行うシステムとデータの代替が効かないのであれば、必ずシステム保守は付けましょう。

スポンサードサーチ