- 午後Ⅱ(小論文)でいつもつまづいている
- 小論文のネタを探している
- 合格者のアドバイスを受けたい
ITサービスマネージャ試験の午後Ⅱの小論文を作成してみました。小論文のネタ探しや午後Ⅱ対策の参考にしてもらえるとうれしいです。
問題文および設問
問題の原本はIPAにてご確認ください。
問題文
問2 クラウドサービスを活用したITサービスのサービスマネジメント活動について
組織が提供するITサービスの一部に、クラウドサービスプロバイダ(以下、CSPという)が提供するクラウドサービスを活用したITサービスが増加している。クラウドサービスを活用したITサービスのサービスマネジメント活動は、ITサービスマネージャの重要な業務である。
クラウドサービスの活用に当たっては、組織が提供するITサービスの目標に照らして、CSPが提供するサービスカタログのサービス内容や、提案依頼に対してCSPが提示するサービス内容を、関係部署とも連携を図り、十分に検証することが重要である。
クラウドサービスでは、使用されるリソースのモニタリングやリソースのコントロールをCSPが実施するので、オンプレミスで提供するサービスとは異なり、例えば、次のようなサービスマネジメントにおける問題に直面する。
・クラウドサービスの障害対応はCSPが行うので、CSPの作業の進捗状況が把握できず、利用者へのサービス回復時刻の見通しなどの連絡がタイムリーに行えない。
・顧客からのクラウドサービスに関連する改善要求及び苦情対応はCSPと調整することになるので、顧客へのフィードバック及び対応に時間を要する。
ITサービスマネージャは、このような問題の解決に向けて、組織の管理プロセスを見直すCSPと十分対応を協議するなどして、対応策を決定する必要がある。
あなたの経験と考えに基づいて、設問ア~ウに従って論述せよ。
設問ア
あなたが携わったITサービスの概要と、活用するクラウドサービスの概要を組織が提供するITサービスの目標に照らして、400字以上800字以内で述べよ。
設問イ
設問アで述べたクラウドサービスの活用において直面したサービスマネジメントにおける問題、解決に向けて実施した対応策、及び対応策を決定する上で工夫した点について、800字以上1,600字以内で具体的に述べよ。
設問ウ
設問イで実施した対応策の評価、及び改善に向けて今後取り組むべきと考えていることについて、600字以上1,200字以内で具体的に述べよ。
解答例
設問ア
1.ITサービスとクラウドサービスの概要
1.1.ITサービスの概要と組織目標
私が担当するITサービスは、CSIRT運営業務である。設立3年、5名体制でインシデント対応と予防策を担う。設立背景は、主力製造事業の海外拠点への攻撃増と、従来の分散対策の遅延にあった。過去ランサムウェア攻撃で基幹システムが停止し、約2億円の損害があった。これを受け経営トップより、抜本的な監視体制の強化が指示された。
本CSIRTの運営目標は、サイバー攻撃による致命的事業影響の未然防止である。KPIとしてインシデント検知から初期トリアージ完了までの平均時間(MTTA)を、従来の4時間から1時間以内への短縮を目指す。MTTA短縮は過去の重大インシデントの再発防止という、最重要経営課題解決、事業継続性確保に不可欠だった。
1.2.活用クラウドサービスの概要と選定理由
上記目標達成のため、PaaS基盤上のSaaSとして提供される、B社製クラウド型SIEM/SOARプラットフォーム(以下、本クラウドサービス)の活用を決定した。主要機能は、ログのリアルタイム相関分析による脅威予兆検知、脅威インテリジェンス連携による最新攻撃パターンへの即応、そしてプレイブック自動実行による初動対応の迅速化があり、これらを期待した。
選定の最大の理由は、深刻な経営資源の制約であった。高度なセキュリティ分析人材の採用は困難を極め、予算も限定的だった。セキュリティ運用の外部委託は高額で柔軟性に欠け、オンプレミスSIEMの初期投資は莫大で採用は難しかった。本クラウドサービスは初期費用を抑制し迅速な導入が可能で、B社の専門家サポートも得られる。これにより、限られたCSIRT要員をコア業務に集中させ、特にプレイブック自動化によってMTTA短縮という最重要目標達成に貢献すると判断した。
(793文字)
設問イ
2.クラウドサービス活用における問題と対策
2.1.サービスマネジメント上の深刻問題
本クラウドサービス活用開始約半年で、二つの深刻な問題が顕在化した。
1)CSP起因の情報提供遅延と信頼性低下
CSP(B社)起因の情報提供遅延が発生した。マルウェア検知エンジン等の機能不全が断続的に起こったが、B社からの障害通知はSLAを大幅に超過し、復旧見通しも曖昧だった。このためセキュリティ監視に空白が生じ、海外拠点でのランサムウェア感染アラート検知が約2時間遅延した。実害はなかったが、基幹システムへの影響があれば数億円規模の損失リスクがあり、取締役会で問題視され私はCIOから対策を厳命された。CSIRTの信頼問題に発展した。
2)重要ニーズへの対応遅延とCSIRT活動停滞
組織の最重要ニーズであるICS環境保護へのB社の対応遅延が問題となった。主力A事業の特定ICS向け攻撃検知ルールの緊急開発を経営層から要請したが、B社は個別開発は高コスト・長期間を理由に実質拒否。結果、最重要リスクへの対応が不可能となり、クラウド導入の価値が疑問視された。CSIRTは非効率な手動ログ確認に忙殺され、他の業務停止とモチベーション低下という組織内影響が生じた。
2.2.問題解決のための具体的対応
これらの問題に対し、以下の段階的な対応策を計画・実行した。
1)情報提供遅延問題への段階的対応と体制整備
第一段階として、B社とのSLA見直しに着手した。取締役会での指摘と、事業影響の深刻さを踏まえてB社役員と交渉し、SLAに通知時間・報告内容・プロセスを明記、未達時ペナルティ条項も加えて合意した。B社側責任者の明確化と専用ホットラインも設けた。第二段階として、クラウド障害時の暫定監視体制を、既存ツールで緊急構築し、監視の空白リスクを低減した。
2)ICSルール開発遅延問題への協調と自衛による対応
まずB社との関係再構築を試みた。「共同開発パートナー」としての協力を打診し、当社知見を提供しての共同開発を提案、月次の技術ワーキンググループを設置した。B社の開発負担軽減と、成果の他社展開可能性も伝えた。しかし、B社の正式対応には時間がかかると判断し、次のステップとしてリスク受容前提で、限定的内製化に踏み切った。クラウドのカスタムスクリプト機能を若手1名に集中教育し、私の指導でICSの既知の単純な異常パターンに絞った検知スクリプトを約1ヶ月で開発した。経営層には非対応範囲と誤検知リスクを説明し、暫定策としての理解を得た。
2.3.対応策決定における工夫点
上記対応策の決定と実行にあたり、特に以下の工夫を行った。
1)情報遅延問題への二段階対応
経営層を巻き込みCSPへ圧力を形成しつつ、現場の実態を踏まえた迅速な代替策を決定した。具体的には、SLA再交渉ではCIOへ事前報告し、重要局面での短時間参加を取り付け、B社に本気度を示し交渉を有利に進めた。代替監視体制の構築では迅速さを優先し、「何もしないよりまし」との現実的判断から、既存リソースで数日以内の稼働を最優先とし、監視の空白期間を最小限に抑えた。
2)ICS問題への連携と自社対応
CSPを「開発パートナー」と位置付け、共に課題解決を目指す意識改革を促し、限られた人的リソースの中で、「選択と集中」による現実的な内製化範囲を設定した。具体的には、B社へは当社情報資産を提供し、共同プロトタイプ開発を提案する「共創」アプローチによって、受動的対応から能動的協力関係への転換を狙った。内製化では全脅威対応は不可能と判断し、発生頻度が高くスクリプトで対応可能な単純パターンに開発対象を絞り込み、経験の浅いメンバーでも短期間で成果を上げ、リスク低減目標を達成した。
(1596文字)
設問ウ
3.対応策の評価と今後の改善活動
3.1.実施した対応策の評価と課題
前述の問題への各対応策は、一定の成果を得られたが、課題も残った。
1)通知迅速化の達成と新たな運用負荷
CSPの障害一次通知平均時間は、SLA目標30分以内に対し達成率約90%(直近3ヶ月)を記録した。代替監視によりICS関連アラート検知遅延も平均15分以内に抑えられた。組織変化としては、B社の対応意識と具体性が向上し、経営層の信頼も一部取り戻した。しかし、代替監視の運用負荷とスキル属人化が今後の課題である。
2)自衛策による効率化と技術的限界
内製スクリプトがICSへの不審な通信を月平均約10件検知、手動ログ確認時間を月約40時間削減した。ICS専用ルールの約30%はB社次期バージョンでの実装候補となった。組織変化としては、ワーキンググループで当社ニーズへの理解が深まり、協力関係の土台ができた。内製化担当のスキルと士気も向上した。だが、内製スクリプトの精度限界、維持負荷、未反映の高度要求が課題として残った。
3.2.今後の改善に向けた戦略的取り組み
前述の評価と課題を踏まえ、ITサービス価値向上と事業継続性強化のため、以下の戦略的取り組みを推進する。
1)CSPとの連携深化とリスク分散戦略
CSPとの対等なパートナーシップ構築を目指し、B社テクニカルアドバイザリーボードへの参画や、製品ロードマップ策定の初期段階から関与する。また、ICS監視機能については、リスク分散と競争促進の観点から、セカンドソースとなり得る別CSPサービスの限定的なPoCを経営層へ提案し、その効果を評価する。これにより、単一CSPへの過度な依存から脱却し、主体的なリスクコントロール体制を構築する。
2)脅威対応能力の高度化と運用自動化の推進
CSIRTの脅威インテリジェンス活用能力を強化し、脅威情報を活用して検知ルールへ迅速に反映するプロセスを確立する。さらに、SOARによる自動化範囲を拡大し、現状の一次対応自動化に加え、インシデントのトリアージや影響範囲特定といった分析業務の一部も、段階的に自動化する。これらによりCSIRTメンバーを高付加価値業務へ注力させ、受動的な対応から能動的な活動にとシフトする。
3)全社的セキュリティ意識向上とサービス管理態勢の強化
CSIRTの活動成果やインシデント事例を定期的に全社へ発信し、従業員のセキュリティ意識向上とCSIRTへの理解・協力を促進する。加えて、ITIL等のベストプラクティスを参考に、クラウド利用実態に即したマネジメントプロセスを継続的に最適化し、定期的な内部監査とPDCAサイクルを通じてその定着を図る。組織全体のセキュリティレベルを底上げし、CSIRTサービスの継続的な価値提供を図る。
(1190文字)
まとめ
自分自身の論文のネタにするためには、サンプル論文はいくらあってもよいと思います。
このブログに記載したサンプル論文が役に立つとうれしいです。
参考図書
自分が受験したときに使用した参考図書は、下記の旧版です。
「最速の論述対策」で、回答文章のモジュール化と章立ての基本テクニックを学び、「合格論文の書き方」で自分の経験でモジュール化できなかった部分の補強を行い、過去問で実際に手書きの練習をしました。
上記はプロジェクトマネージャ試験の対策本ですが、ITサービスマネージャ試験でも通用する内容です。
コメント