運用でカバー|企業クライアント戦略|ブログ|Computerworld

■路上アーティスト

品川で歌う「千晶」さん

都市圏では、駅前などに「路上アーティスト」なる人がいて、歌や演奏を行なっている。その多くはプロで、事務所に所属している。

たいていの都市で、路上パフォーマンスは厳密には違法である。駅前の音楽演奏は、交差点近くに停車した選挙カーよりはよっぽど無害と思うのだが、法は法である。ただし、法律が決めた枠組みは大ざっぱなものであり、実際の運用は付近を巡回する警察官に任されているのが実情だ。非常に騒々しい音楽や、極端に多くの人間が集まる場合はすぐに規制されるが、特別な混乱がない場合はある程度黙認される。

路上アーティストに限らず、一般に「法律」という大きな枠組みがあり、そこでカバーしきれない部分を「行政」が補うというシステムは広く受け入れられている。殺人や強盗のような凶悪犯罪なら別だが、軽微な問題については行政による運用は比較的広く受け入れられている。

厳密な規則は決まっていないが、規則の趣旨に基づいて現場で柔軟に対応することを、「運用でカバー」と呼ぶ。特にIT業界でよく使われる言葉だ。

■ポリシー&プロシージャ

ポリシー(方針)、スタンダード(基準)、プロシージャ(手続き)

ITに限らず、組織の運営にはルールが必要だ。たとえば、セキュリティ対策には「ポリシー&プロシージャ」略して「P&P」という言葉がよく使われる。ポリシーは全体方針で、プロシージャは実際の手順である。最近は、ポリシーとプロシージャの間に「スタンダード」を設定することも多い。場合によってはもっと多くの階層を作ることもある。

たとえば、パスワード設定のポリシーはこうなる。

組織のセキュリティ対策の要であり、各自が責任を持って管理する

心構えは分かるが、抽象的な表現であり、具体性がない。スタンダードになるとこんな感じだろうか。

• なるべく推測されにくいものを使用する
• 定期的に変更する

何をするかは分かったが、実際にどうすればいいかはまだ分からない。これがプロシージャになるとこうなる。 

• 氏名やユーザー名などの個人情報を含めてはいけない
• 8文字以上の英数字に1つ以上の記号を含めなければならない
• 同じパスワードを60日以上使い続けてはいけない

かなり具体的になった。これなら迷うことはないだろう。

■システムでカバー

プロシージャの多くは、遵守するのが面倒なものである。そこで、Windowsを始め、多くのシステムでは強制的にプロシージャを守らせる機能がある。Windowsの場合は「グループポリシー」と呼ぶ。名前は「ポリシー」だが、実際は「プロシージャ」である。

パスワードポリシーの場合は以下の項目を強制できる。

• 最低長…何文字以上のパスワードが必要か
• 有効期限…パスワードを最高何日使えるか
• 履歴…パスワードの使い回しを禁止するために履歴を何回記録しておくか
• 最低利用期間…一度変えたパスワードを最低何日使わないといけないか
• 複雑なパスワードを要求…英大文字、小文字、数字、記号の3種類以上を含み、ユーザー名と同じ文字列を禁止

その他にも、システム設定を自動化するための機能が数千以上も備わっている。似たような項目やネットワーク条件による違いが重複カウントされているので、実際の総数はもっと少なくなるが、それでも相当な数である。

しかし、本当にそれで十分だろうか。

システムが要求する「複雑なパスワード」を満たしながら、単純なパスワードを作るのは非常に簡単である。たとえば「Password1」。先頭が大文字、残りが小文字で、最後が数字である。ちょっと凝って「Pa$$w0rd」というのはどうだろう。英単語passwordの先頭を大文字にして、sを$、oを数字のゼロに変えてみた。

こうしたパスワードは、実は全く複雑ではない。最近のパスワード解析ツールは、「単純な英単語に数字を追加」「aと@」、「O(オー)と0(ゼロ)」、「sと$」のような置き換えルールを持っているらしい。単純英単語のパスワードは数分以内で解析されるというから、単純置き換えルールを持った解析ツールなら数十分というところだろうか。

Password1というパスワードは、プロシージャには従っているが、スタンダードの「なるべく推測されにくいものを使用する」に違反している。ITの専門家は運用をシステム設定に頼りがちだが、それでは不十分なことが多い。

■運用でカバー

名古屋で歌う「宮崎奈穂子」さん

ポリシーやスタンダードだけでは具体的な設定が分からない。しかし、プロシージャとして定義しているときりがない。そこで登場するのが「運用でカバー」である。

IT系の人が「運用でカバー」と言うことが多いのは、「システムでカバー」できる範囲が広いため、運用でカバーする範囲が実は狭いからであろう。システムでカバーできれば、運用手順(プロシージャ)を大幅に削減できる。

冒頭で述べたとおり、「運用でカバー」というのは特に珍しいことではない。ただ、運用ルールは明文化されていなくても、ポリシーやスタンダードの趣旨に添っており、かつ、一貫したものでなければ不満が出る。

「運用でカバー」というのは、マニュアルに過度に依存することなく、緊急事態にも対応できる優れた方法だと思うが、恣意的な運用は受け入れられない。

たとえば、路上アーティストの場合はしばしば警察が中止を要請する。ところが、明らかに通行の邪魔になっているとか、これから大きなイベントがあるので場所を空ける必要があるという場合を除けば、警察官の個人裁量としか思えない。5分で止められることもあれば、数時間問題ないこともある。地域差もあるようだ。名古屋などはかなりゆるいと聞くし、一定のルールを守れば許可される地域もある。

「路上パフォーマンスは原則禁止」というポリシーがあるにしても、たまたま巡回した警察官の気分で規制されたのでは演奏者も観客も不満が残る。筆者は演奏情報をTwitterで知って、その場所に駆けつけたら演奏が止められていたという経験が何度もある。

「運用でカバー」自体は決して悪いことではないが、一貫した運用を行ないたいものである。