8.1
IT 運用は、事業戦略の実施および IT によってサポートされる事業プロセスから生じる要件を満たさなければならない(AT 7.2 (1) および (2) MaRisk
を参照)。
|
|
|
- |
8.2
IT システムを構成するコンポーネントおよびそれらの相互関係を適切に管理し、そのために記録した在庫データを定期的に、また必要に応じて更新しなければなりません。在庫データには、特に以下のものが含まれます。
|
|
|
- |
| IT システムコンポーネントの存在および使用目的、および関連する構成の詳細(バージョン、パッチレベルなど) |
IT のあらゆるレベル(インフラストラクチャ、システムコンポーネント、アプリケーション、エンドユーザーデバイス)における、完全に自動化されたインベントリ管理(フルスタックアプローチ)。
|
|
100%
 |
|
記録プロセス中、記録時に使用されているオペレーティングシステム、プログラミング言語、フレームワーク、およびアプリケーションのバージョンが完全に自動的に決定されます。
|
|
100%
|
|
IT およびネットワークのモニタリング、IT サービス管理、クラウドプロバイダ、ビジネスアプリケーションなどのサードパーティシステムからのデータは、Versio.io
トポロジーを使用して簡単に統合および関連付けることができます。
|
|
100%
|
| ITシステムおよびその構成要素の所有者 |
所有者やアプリケーションなどの顧客固有の情報は、環境変数を使用して定義し、Versio.io に記録することができます。記録された IT ランドスケープの資産と構成アイテム間のトポロジ関係により、複雑なコンテンツの割り当ても照会可能になります。これにより、たとえば、アプリケーションに属するすべてのコンポーネント(トップダウン)や、コンピュータで実行されているすべてのアプリケーション(ボトムアップ)を特定することができます。
|
|
100%
|
| ITシステムコンポーネントの配置 |
地理位置情報または位置情報は、環境変数で定義される、または IP アドレスから導出される、サードパーティのシステムから転送される場合があります。
|
|
100%
|
| 保証およびその他のサポート契約に関する関連情報のリスト(リンクを含む、該当する場合) |
デジタル形式の契約(Microsoft 365 など)や紙契約書の重要なパラメータは、Versio.io にインポートまたは記録することができます。Versio.io
は、契約書のすべてのステータスおよび変更をそのライフサイクル全体を通じて追跡できる、監査対応のデータストレージを提供しています。
輸入された契約データは、その内容(データ属性、フィルター)および関係性(トポロジー)に基づいて分析可能です。
すべての契約データは、妥当性、完全性、および準拠性について検証可能です。違反が発生した場合、監査対応可能な形式で記録され、適切な通知を送信することが可能です。
|
|
100%
|
| IT システムのコンポーネントのサポート期間の有効期限に関する情報 |
Versio.io は、ハードウェアおよびソフトウェア製品に関するすべてのリリース関連情報を「製品リリースおよびエンド・オブ・ライフ・データベース」で提供しています。この情報に基づいて、顧客固有の製品リリース戦略を完全に自動検証するルールセットを生成することができます。たとえば、「最終リリース」、「最終パッチ」、「メンテナンス中」、「サポート提供中」、「長期サポート」などのリリース戦略をチェックすることができます。
|
|
100%
|
| 情報システムおよびその構成要素の保護要件 |
まず、概念レベルで必要な保護のレベルを決定します。Versio.io では、IT ランドスケープ全体における IT 運用に関する保護要件を運用化するためのオプションを提供しています。
保護要件は、IT システムおよびそのコンポーネントの環境変数またはタグの形で保存することができます。これにより、保護要件は、その後のすべての実装シナリオ(報告、コンプライアンスチェック、コスト配分など)で使用することができます。
|
|
75%
 |
| IT システムの利用不能が許容される期間、および許容できる最大データ損失量。 |
幅広いサードパーティシステム(ITSM、モニタリング)から定義されたメンテナンスウィンドウをインポートし、履歴データベースに保存することができます。
メンテナンスウィンドウ(ITコンポーネントとのトポロジカルな関係を含む)は、分析、評価、検証が可能です。これにより、例えば、重要な業務時間帯中のメンテナンスウィンドウや終了時間が設定されていないメンテナンスウィンドウを特定することが可能です。
|
|
50%
 |
8.3
IT システムポートフォリオは管理が必要です。IT システムは定期的に更新する必要があります。IT システムの陳腐化やメーカーによるサポート終了によるリスクを管理する必要があります(ライフサイクル管理)。
|
IT システムは、完全に自動的かつ継続的に記録されます。現在の最短更新サイクルは 1 分です。つまり、IT ランドスケープに関するデータは、Versio.io でほぼリアルタイムで入手可能です。
オペレーティングシステム、システムコンポーネント、プログラミング言語、テクノロジー、アプリケーションのバージョンが記録されます。すべてのバージョン変更は、最後のリリース、最後のパッチ、長期サポート、メンテナンスおよびサポート中の製品など、顧客固有の戦略に従って、Versio.io
の内部「製品リリースおよび end-of-life データベース」に対して検証されます。
|
|
100%
|
8.4
IT システムを変更するプロセスは、その種類、範囲、複雑さ、およびリスクに応じて設計、実施する必要があります。これは、IT システムの新規購入や交換、セキュリティ関連の改善(セキュリティパッチ)にも適用されます。IT
システムの変更には、IT システムのメンテナンスも含まれます。変更の例としては、次のようなものがあります。
|
|
|
- |
| ソフトウェアコンポーネントの機能強化またはバグ修正 |
IT システム機能の拡張には、ソフトウェアコードの変更に加え、構成の変更も含まれます。これには、データベーススキーマ、ファイル構成(アプリ、ウェブ、メッセージング、データベースサーバー)、DevOps
アーティファクト(Docker または Kubernetes 構成)、ネットワーク構成(ネットワークセグメントおよびポートのアクティブ化)などが含まれます。
ポートの有効化)が含まれます。これらの設定は、完全に自動的に記録され、文書化されます。各変更は、目標設定、セキュリティ要件、および内部仕様に対して、完全に自動的に検証可能です。
IT モニタリングおよびログ管理システムは、通常、エラーの原因を分析するために使用されます。Versio.io は、IT 運用におけるエラーの原因を特定するための追加の重要なデータソースとして、変更検出機能を提供しています。
|
|
75%
|
| データ移行 |
Versio.io バッチジョブモニタリングを使用すると、企業は、データ移行のための毎日のバックアッププロセスの周期的な実行を、監査対応で記録、品質保証、最適化することができます。
記録されたプロセスデータは、内容を確認することでガバナンスとコンプライアンスを確保できます。これにより、例えばバックアップが失敗した場合や、実行時間が前回のプロセス実行から大幅に変化した場合などに通知を受けることが可能です。
データ移行の品質保証には、Versio.io の汎用データインポーターを使用して、データレコードの数と、データレコードまたはオブジェクトごとのチェックディジット(ハッシュ値)によるコンテンツの正確性に基づいて、移行の完全性を判断および確保することができます。Delta
Topology Analyserを使用すると、移行されたデータソース間の差異を自動的に検出でき、必要に応じてアラートをトリガーできます。
|
|
50%
|
| ITシステムの構成設定の変更 |
Versio.io のコアコンピタンスは、変更の検出とその後処理(検証、コスト配分、プロセスモニタリングなど)です。
Versio.io は、すべての設定変更を監査可能な形で保存します。つまり、すべての設定は、ライフサイクル全体を通じてユーザーが利用可能です。これは、設定のバックアップやバージョン管理に匹敵する機能です。
既存のガバナンスおよびコンプライアンス要件(セキュリティ、製品更新、内部仕様、構成問題など)に従い、構成の変更は完全に自動で検証可能です。
|
|
100%
|
| ハードウェアコンポーネント(サーバー、ルーターなど)の交換 |
物理サーバー、ストレージシステム、ルーター、モバイルデバイスなどの交換されたハードウェアコンポーネントの構成は、完全に自動的に収集および文書化することができます。
デルタトポロジー分析に基づいて、最後の構成と新しい交換されたハードウェアコンポーネントの間の構成を比較することで、構成の違いを特定することができます。例えば。
The recorded configurations of the replaced hardware components can be
verified fully automatically in terms of governance and compliance as part of
the initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, products without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| 新しいハードウェアコンポーネントの使用 |
物理サーバー、ストレージシステム、ルーター、モバイルデバイスなどの新しいハードウェアコンポーネントの構成は、完全に自動的に収集および文書化できます。
The newly recorded configurations of the hardware components can be
verified fully automatically in terms of governance and compliance during the
initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, product without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| ITシステムの別の場所への移転 |
IT システムを移転する場合、現在の状況を文書化し、移行後の IT システムと比較することは、安定的でエラーのない移行を行うために不可欠です。
Versio.io の Asset & Configuration Inventory は、IT システム全体のあらゆるコンポーネント(VM、ホスト、プロセス、サービス、構成、データベーススキーマ、アプリケーションなど)の現在の構成をすべて情報ベースとして提供します。さらに、IT
システムのすべてのコンポーネント間の関係もトポロジーの形で提供されます。
トポロジーに基づいて、既存の IT システム(ACTUAL)と移行後の IT システムをサブコンポーネントの属性レベルまで比較することができます。これにより、IT
システムが新しい場所で 1 対 1 で復元されたことを証明することができます。トポロジーの差分分析用に、顧客固有のフィルタ調整を設定することができます。
|
|
50%
|
8.5.
IT システムへの変更は、整然と記録され、文書化され、実施上のリスクを考慮して評価され、優先順位付けされ、承認され、調整された安全な方法で実施されなければなりません。また、IT
システムに対する時間的制約のある変更については、適切なプロセスを確立しなければなりません。例えば、以下の措置は、生産業務において変更が安全に実施されるために役立ちます。
|
|
|
- |
| 変更要求の一部として、既存の IT システム(特にネットワークおよび上流および下流の IT システム)に関するリスク分析(セキュリティまたは互換性の問題の可能性も含む) |
Versio.io が検出した、オペレーティングシステム、プロセステクノロジー、アプリ、ウェブまたはデータベースサーバー、ルーターの設定などに関する変更は、既知の
IT セキュリティの脆弱性、古いリリースまたはパッチバージョン、使用している製品のメンテナンスおよびサポートが利用できないこと、および運用継続性を確保するための社内要件に関して検証することができます。
|
|
100%
|
| 稼働前に、既存の IT システムとの非互換性や潜在的なセキュリティ問題について変更をテスト |
Versio.io のコアコンピタンスは、変更の検出とその後処理です。つまり、計画的な変更だけでなく、計画外の変更も、本番移行前のテスト段階で検出することができます。さらに、テスト環境と本番環境の差分比較により、変更の範囲を客観的に運用管理することができます。
Versio.io が検出したオペレーティングシステムおよびプロセス技術の変更は、既知の IT セキュリティの脆弱性、古いリリースまたはパッチのバージョン、および製品のメンテナンスおよびサポートが利用できないかどうかについて確認することができます。
|
|
50%
|
| パッチの重要度を考慮して、本番環境へ適用する前にテストを行う |
Versio.io のコアコンピタンスは、変更の検出とその後処理です。つまり、計画的な変更だけでなく、計画外の変更も、本番環境への移行前のテスト段階で検出することができます。さらに、テスト環境と本番環境の差分比較により、変更の範囲を客観的に運用管理することができます。
|
|
25%
 |
| 影響を受けたITシステムのデータバックアップ |
Versio.io バッチジョブモニタリングを使用すると、企業は、毎日のデータバックアップの実行を監査対応で記録、品質保証、最適化することができます。記録されたプロセスデータは、内容を確認することでガバナンスとコンプライアンスを確保できます。これにより、例えばバックアップが失敗した場合や、実行時間が以前のプロセス実行から大幅に変化した場合などに通知を受けることが可能です。
|
|
25%
|
| Go 後に問題が発生した場合に、IT システムの以前のバージョンを復元するためのロールバック計画 |
Versio.io は、IT システムに対するすべての変更の文書化を完全に自動化します。変更が元に戻された場合、Versio.io は、変更前の IT システムの状態(アプリケーションの構成、データベーススキーマなど)に関する詳細な情報を提供します。
Delta Topology Analyser に基づいて、反転後に自動検証を実行し、構成が IT システムの最後の安定状態に対応していることを確認することができます。
|
|
50%
|
| 主要なロールバック計画の失敗に対処するための代替回復オプション |
バックアップやスナップショットなどの標準的な手順による復旧が不可能な場合、Versio.io は、IT システムの一部または全体の再インストールに必要な、IT システムの完全なドキュメントを提供します。
Delta Topology Analyser に基づいて、再インストール後に自動検証を実行し、構成が IT システムの最新の安定状態に対応していることを確認することができます。
|
|
50%
|
| 低リスクな構成変更やパラメーター設定(例:アプリケーションのレイアウト変更、故障したハードウェアコンポーネントの交換、プロセッサの接続など)に対しては、異なる手順仕様/制御を定義することができます(例:二重制御原則、変更の文書化、または下流工程での確認)。 |
評価上重要かどうかに関わらず、IT 環境におけるあらゆる変更は自動的に文書化され、記録されます。このようにして Versio.io は全体像を把握し、一見重要ではない設定から問題の原因を特定することも可能になります。
|
|
100%
|
8.6
通常の業務からの予期せぬ逸脱(機能不全)とその原因に関する報告は、適切な方法で記録し、評価し、特にその結果生じるリスクについて優先順位付けを行い、定義された基準に従ってエスカレーションしなければなりません。
この目的のため、標準手順を定義する必要があります。例えば、措置やコミュニケーション、責任分担(例:エンドデバイス上の悪意のあるコード、故障など)に関する手順です。処理、根本原因分析、解決策の検討(フォローアップを含む)は文書化されなければなりません。障害と障害の原因との間の可能性のある相関関係を分析するための整ったプロセスが確立されなければなりません。
障害とその原因の間の潜在的な相関関係を分析するための整然としたプロセスが確立されている必要があります。未解決のインシデントに関する報告の処理状況、および評価と優先順位付けの適切性は、監視および管理される必要があります。機関は、関係する当事者(例:管理層、管轄監督当局)にインシデントについて通知するための適切な基準を定義する必要があります。
リスクは、例えば、保護目標の違反を実証することで特定することができます。複数の IT システムを使用してインシデントおよび原因を記録および処理する場合は、根本原因の分析も実施しなければなりません。ここでは、標準化されたインシデントおよび問題管理ソリューションを使用することができます。
|
従来のインシデントおよび問題管理は、専用の ITSM システムによって提供されています。Versio.io は、レポートを引き継ぎ、それらをログに記録し、影響を受けるシステムコンポーネント(アプリケーション、サービス、プロセス、ホストなど)との既存の関係をマッピングすることができます。
Versio.io は、IT 環境におけるすべての構成および構成の変更に関する情報を提供することで、メッセージ処理をサポートしています。変更情報は、多くの場合、インシデントの起点となるため、根本原因の分析の基礎となります。
中央集約型の情報提供と根本原因分析に加え、問題を引き起こす設定に関するレポートや、場合によってはメッセージそのものも提供可能です。
トラブルシューティングの一環としてシステムコンポーネントに対して行われたすべての措置は、Versio.io によって自動的に記録されます(メモリの拡張、バージョンの更新、設定の変更など)。これらの変更は、ガバナンスおよびコンプライアンスの観点からそれぞれ検証することができます。
|
|
50%
|
8.7
データバックアップ手順(データアーカイブを除く)の要件は、データバックアップ概念書に書面により明記されなければなりません。顧客データおよび業務データの可用性、可読性、および適時性に関する要件、ならびに
データバックアップコンセプトに規定されている、その処理に必要な IT システムに関する要件は、ビジネスプロセスおよび事業継続計画の要件から導き出さなければなりません。データの復元および可読性の確保に関する手順は、少なくとも
1 年に 1 回、ランダムに、および必要に応じて定期的にテストしなければなりません。
データの可用性、可読性、適時性を確保するための措置、および実施すべきテストに関する要件は、関連するリスク分析から導き出されます。データバックアップの保管には、1
つ以上の追加の場所が必要になる場合があります。
|
Versio.io バッチジョブモニタリングを使用すると、企業は、毎日のバックアッププロセスや年次リカバリテストの周期的な実行を記録、品質保証、最適化を行い、監査対応も実現できます。記録されたプロセスデータは、ガバナンスとコンプライアンスを確保するために、内容について検証することができます。これにより、たとえば、バックアップまたはリカバリテストが失敗した場合、またはその実行時間が前回のプロセス実行から大幅に変化した場合に、通知を受けることができます。
|
|
25%
|
8.8
IT システムの現在のパフォーマンスおよび容量要件を決定する必要があります。将来のパフォーマンスおよび容量要件を見積もる必要があります。ボトルネックをタイムリーに特定し、適切に対応するため、サービスの提供を計画し、監視する必要があります。計画段階では、情報セキュリティ対策のパフォーマンスおよび容量要件を考慮する必要があります。
|
Versio.io の中央資産および構成インベントリは、レポートおよびオープン API を通じて、データセンターやクラウドなど、さまざまなデータソースから構成データを提供します。これにより、構成済みのリソースの割り当て(CPU
数、作業容量、ディスク容量など)を決定することができます。Versio.io は、実際に使用されたリソースの量に関するデータは一切収集しません。
|
|
25%
|
2017 年、IT に関する銀行監督要件 (BAIT) が、リスク管理 (MaRisk) の最低要件の仕様として公表され、IT 要件が盛り込まれました。金融機関は、移行期間なくこれを実施し、IT
部門は BAIT に準拠しなければなりません。
