通常,インターネットに社内システムを接続している組織では,システム管理を担当する部署や人材,すなわち「システム管理者」を確保していることだろう。組織において,情報システムの重要性が高まるとともに,“縁の下の力持ち”的存在であるシステム管理者の重要性も高まる一方である。

 日々の業務に必要不可欠な情報システムを,円滑になおかつセキュアに運用管理するには,それ相当のスキルが必要である。そこで,今回のコラムではシステム管理者に求められるスキルを考えてみたい。

“必要なスキル”は管理者の種類で決まる

 「システム管理者」と一口に言っても,組織のシステム全体を管理する「上級システム管理者」から,最低1台を管理する「アシスタント管理者」まで,レベルは様々である。今回は4段階に分けて,それぞれの管理者のレベルで必要なスキルを考えてみたい。

●アシスタント管理者

  • 少なくとも1台の機器を管理できる
  • コンピュータやシステムに詳しくない一般ユーザーと,口頭や電子メールなどで適切にコミュニケーションできる
  • 稼働中のシステムのコマンド(一般ユーザー向け)の意味を理解し,操作できる
    (例えば,システムで使用している各種OS を一般ユーザー権限で利用できる)
  • 手順書に従って,一連の作業を実行できる
    (例えば,パッチ・アーカイブと適用手順書が揃っていれば,適切にパッチを適用できる)

●システム管理者

  • 下位の管理者(アシスタント管理者)が持つべきスキルを持っている
  • 少なくとも5台から10台の機器を管理できる
  • 少なくとも1人のアシスタント管理者に指示できる
  • アプリケーションの利用方法や管理対象の機器に対する基本的な手順書を作成できる
  • 稼働中のシステムのコマンド(管理者向け)を操作できる
    (例えば,システムで使用している各種OS を管理者権限で利用できる)
  • 1~2種類のコンピュータ言語を利用し,システム管理業務の負荷を低減できる
    (例えば,C言語を利用して管理業務を効率化するプログラムを作成できる)
  • 上位のシステム管理者の指示と指導に基づいて,適切に作業できる
    (例えば,あるパッチを適用するよう指示を受けた場合,自分でセキュリティホール・データベースから情報やパッチを入手し,適用可能かどうかについて上位のシステム管理者の判断を仰いだ後,適切に適用できる)

●中級システム管理者

  • 下位の管理者(システム管理者)が持つべきスキルを持っている
  • 少なくとも10~50台の機器を管理できる
  • 少なくとも2~5人のシステム管理者に指示できる
  • システム管理やセキュリティへの脅威に関する対策方法を新規に立案し,実行できる
  • 上位のシステム管理者に対して,必要な情報を収集して報告できる
  • ユーザー向けの各種文書を,上位のシステム管理者によるレビューを受ければ作成できる
  • 下位のシステム管理者に対して,適当な指示が与えられる
  • 問題点の切り分けを適切に行え,独自に対策を施すことができる
    (例えば,ある脆弱性に対する対応策がベンダーから提供されていない場合でも,セキュリティ関連のWebサイトやメーリング・リストなどといった複数の情報源から情報を収集して,代替案を立案し実施できる)
  • システム稼働に必要な設定を計画および立案し,実際に作業を行える
    (例えば,管理対象のシステムへのアクセス・コントロールを設定できる)
  • 2種類あるいはそれ以上のコンピュータ言語を利用して,システム管理業務の負荷を低減できる
    (例えば,シェル・スクリプト や Perl,Tclなどのスクリプト言語を利用して,管理業務を効率化するプログラムを作成できる)
  • 利用中のシステムに関する脆弱性を見極めることができる
    (例えば,公開用Web サーバーはイントラネット用サーバーが被る以上の脅威にさらされていることを理解し,ログその他の情報から,サーバーの正常な動作状態とそうではない状態を区別できる)

●上級システム管理者

  • 下位の管理者(中級システム管理者)が持つべきスキルを持っている
  • 下位のシステム管理者を統括できる
  • 予算獲得に必要な計画を立案できる
  • 対外的な公開文書を作成できる
  • 管理対象のシステム全体に関する計画を立案できる

◇     ◇     ◇     ◇     ◇     ◇

 さて,読者が管理者である場合,自身のスキルはどのレベルに該当しただろうか。自分が置かれている立場と求められるスキルに格差があると感じたならば,一致させるべくスキル・アップに励んでほしい。

 今回のコラムではいつもと視点を変えて,実際にセキュリティ対策を施す側にスポットを当ててみた。読者が管理者である場合にはもちろんのこと,それ以外の場合でも,「自組織ではどのレベルの管理者が確保されているのか」,「今の管理者のスキルで十分なのか」などを考える上で,参考にしていただきたい。

坂井順行 (SAKAI Yoriyuki)
株式会社ラック コンピュータセキュリティ研究所
sakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。