非機能要求グレードの歩き方 Vol.10 C4運用環境

はじめに - Vol.10

本記事では、IPA^[1] が公開する 非機能要求グレード^[2] の「C.4 運用環境」を対象に、
金融 IT 基盤に 30 年以上携わって得た知見をもとに “やらかしがちな” 技術課題と対策を解説します。

筆者は非機能要求グレード初版の執筆に関わった経験があり、行間を含めて解説します。

シリーズ全体の構成は 👉 非機能要求グレードの歩き方 Index をご覧ください。

---

C.4 運用環境

中項目「C.4 運用環境」では、運用保守フェーズにおけるシステム環境に影響する要件を定義します。
なお、運用保守フェーズにおける管理に関する要件は「C.6 その他の運用管理方針」に記載します。
下表は、大項目「C 運用・保守性」-中項目「C.4 運用環境」を抜粋したものです。

表: 「C.4 運用環境」の小項目とメトリクス（折りたたんでいます）

大項目	中項目	小項目	メトリクス(〇: 重要項目)
C 運用 ・保守性	C.4 運用環境	C.4.1 開発用環境の設置	C.4.1.1 ○ 開発用環境の設置有無
〃	〃	C.4.2 試験用環境の設置	C.4.2.1 ○ 試験用環境の設置有無
〃	〃	C.4.3 マニュアル準備レベル	C.4.3.1 ○ マニュアル準備レベル
〃	〃	C.4.4 リモートオペレーション	C.4.4.1 ○ リモート監視地点 C.4.4.2 ○ リモート操作の範囲
〃	〃	C.4.5 外部システム接続	C.4.5.1 ○ 外部システムとの接続有無 C.4.5.2 　 監視システムの有無 C.4.5.3 　 ジョブ管理システムの有無

以降、小項目ごとに解説します。

C.4.1 開発用環境の設置

小項目	メトリクス(〇: 重要項目)
C.4.1 開発用環境の設置 ユーザがシステムに対する開発作業を実施する目的で導入する環境についての項目。	C.4.1.1 ○ 開発用環境の設置有無

メトリクス内容（折りたたんでいます）

項番 メトリクス	レベル0/1/2/3/4/5 備考
C.4.1.1 ○ 開発用環境の設置有無	0: システムの開発環境を設置しない 1: 運用環境の一部に限定した開発環境を設置する 2: 運用環境と同一の開発環境を設置する 【メトリクス】 開発用環境とは、本番環境とは別に開発専用に使用することのできる機材一式のことを指す。本番移行後に本番環境として利用される開発フェーズの環境は、本項目に含めない。 【レベル】 開発フェーズでは開発環境として使用していたが、本番移行後は本番環境となる環境については、レベル0のシステムの開発環境を設置しないを選択する。

運用保守フェーズとの関係を明示

• 小項目「C.4.1 開発用環境の設置」には、開発フェーズに限らず、システム稼働後の運用保守フェーズにおける開発作業を含めた、開発環境全般の取り扱いに関する事項を記述します。
  ※　メトリクスのレベルは本質的ではありませんが、小項目を記述すると自ずと定まります。
• 特に、システム構築を外部に発注する場合には、開発時に必要となる開発用資材と、運用保守フェーズに必要となる資材の関係を明確にしておくことが重要です。

C.4.2 試験用環境の設置

小項目	メトリクス(〇: 重要項目)
C.4.2 試験用環境の設置 ユーザがシステムの動作を試験する目的で導入する環境についての項目。	C.4.2.1 ○ 試験用環境の設置有無

メトリクス内容（折りたたんでいます）

項番 メトリクス	レベル0/1/2/3/4/5 備考
C.4.2.1 ○ 試験用環境の設置有無	0: システムの試験環境を設置しない 1: システムの開発用環境と併用する 2: 専用の試験用環境を設置する 【メトリクス】 試験用環境とは、本番環境とは別に試験専用に使用することのできる機材一式のことを指す。本番移行後に本番環境として利用される試験フェーズの環境は、本項目に含めない。 【レベル】 試験フェーズでは試験環境として使用していたが、本番移行後は本番環境となる環境については、レベル0のシステムの試験環境を設置しないを選択する。

パッチと性能問題にどう対処するか

• 小項目「C.4.2 試験用環境の設置」には、開発フェーズに限らず、システム稼働後の運用保守フェーズにおける試験も含めた、試験環境全般に関する事項を記述します。

• 特に、性能問題が発生した際にどの環境で性能試験を実施するかが論点となります。
  ※　メトリクスのレベルは本質的ではありませんが、小項目を記述すると自ずと定まります。

  保守作業	試験観点	必要な環境
  AP改修	機能確認試験	APから見て本番と互換性のあるミニ環境
  パッチ適用	リグレッション試験	本番と同じバージョン・パッチレベルのミニ環境
  性能問題対応	性能試験	本番同等の処理能力
  システム移行	移行試験	本番同等のセキュリティ対策

• 高信頼な業務システムの場合、上表の全ての保守作業を実施できるよう、以下の環境を設けるのが一般的です。

  • 本番同等の処理能力・セキュリティを備えたステージング環境（疑似本番）
  • 複数のAP保守を並行して実施できるよう複数のミニ環境

C.4.3 マニュアル準備レベル

小項目	メトリクス(〇: 重要項目)
C.4.3 マニュアル準備レベル 運用のためのマニュアルの準備のレベル。	C.4.3.1 ○ マニュアル準備レベル

メトリクス内容（折りたたんでいます）

項番 メトリクス

レベル0/1/2/3/4/5 備考

C.4.3.1 ○ マニュアル準備レベル

0: 各製品標準のマニュアルを利用する 1: システムの通常運用のマニュアルを提供する 2: システムの通常運用と保守運用のマニュアルを提供する 3: ユーザのシステム運用ルールに基づくカスタマイズされたマニュアルを提供する 【レベル】 通常運用のマニュアルには、システム基盤に対する通常時の運用（起動・停止等）にかかわる操作や機能についての説明が記載される。保守運用のマニュアルには、システム基盤に対する保守作業（部品交換やデータ復旧手順等）にかかわる操作や機能についての説明が記載される。 障害発生時の一次対応に関する記述（系切り替え作業やログ収集作業等）は通常運用マニュアルに含まれる。バックアップからの復旧作業については保守マニュアルに含まれるものとする。 【運用コストへの影響】 ユーザの運用に合わせたカスタマイズされたマニュアルは、作成するためにコストがかかるため導入コストが増大するが、ユーザが運用時に手順を調査する負担が減少するため運用コストは減少する。

運用引継ぎの前提や条件を明示

• 小項目「C.4.3 マニュアル準備レベル」には、運用引継ぎ全般に関する事項を記述する必要があります。
• 対象となるのは、自動化された作業とSE対応の中間にあたる、システム運用部門が担う作業領域です。
  • 作業の自動化については、小項目「C.2.2 運用負荷削減」に記載します。
  • SE対応については、小項目「C.3.3 システム異常検知時の対応」、および「C.5 サポート体制」の小項目で取り扱います。
• 近年、DevOpsやSREなどの普及により、運用部門が担う作業範囲やスキルセットも多様化しており、実態に即した運用引継ぎの前提や条件を明確に定義することが、これまで以上に求められています。

C.4.4 リモートオペレーション

小項目	メトリクス(〇: 重要項目)
C.4.4 リモートオペレーション システムの設置環境とは離れた環境からのネットワークを介した監視や操作の可否を定義する項目。	C.4.4.1 ○ リモート監視地点 C.4.4.2 ○ リモート操作の範囲

メトリクス内容（折りたたんでいます）

項番 メトリクス	レベル0/1/2/3/4/5 備考
C.4.4.1 ○ リモート監視地点	0: リモート監視を行わない 1: 構内LANを介してリモート監視を行う 2: 遠隔地でリモート監視を行う 【レベル】 監視の内容については、通常運用の運用監視の項目にて確認する必要がある。 【運用コストへの影響】 リモート監視を実装するためには、特別なハードウェア・ソフトウェアを導入する必要があり導入コストが増大する。しかし、運用状況の確認のために管理者がわざわざサーバの設置場所まで移動する必要がなくなるため、運用コストは減少する。
C.4.4.2 ○ リモート操作の範囲	0: リモート操作を行わない 1: 定型処理のみリモート操作を行う 2: 任意のリモート操作を行う 【メトリクス】 リモート監視地点から実施できる操作の範囲を検討する。 【レベル】 定型処理のみリモート操作を実現するためのソフトウェアは安価であったり、任意のリモート操作を認める場合はセキュリティやその他の面での検討項目が増えることを考慮し、定型処理よりも任意のリモート操作を行う方のレベルを高く設定している。 【運用コストへの影響】 リモート操作を実装するためには、特別なハードウェア・ソフトウェアを導入する必要があり導入コストが増大する。しかし、メンテナンス操作のために管理者がわざわざサーバの設置場所まで移動する必要がなくなるため、運用コストは減少する。

リモート対応全般を記述、海外対応に注意

• 小項目「C.4.4 リモートオペレーション」には、運用保守フェーズにおけるリモート対応全般に関する事項を記述します。
• 本項目は2009年の策定当時リモート対応が可能だった「監視業務」を対象に記述されていますが、コロナ禍（2019/12発生）を経てリモート対応が一般化したため、監視に限らず、障害対応・保守作業・運用業務全般も対象として記述することが適切です。
• また、個人情報など機微情報の海外持ち出しや、地震などの広域災害時における運用継続性を考慮し、リモート対応の「場所」に関する要件も定義する必要があります。

C.4.5 外部システム接続

小項目	メトリクス(〇: 重要項目)
C.4.5 外部システム接続 システムの運用に影響する外部システムとの接続の有無に関する項目。	C.4.5.1 ○ 外部システムとの接続有無 C.4.5.2 　 監視システムの有無 C.4.5.3 　 ジョブ管理システムの有無

メトリクス内容（折りたたんでいます）

項番 メトリクス	レベル0/1/2/3/4/5 備考
C.4.5.1 ○ 外部システムとの接続有無	0: 外部システムと接続しない 1: 社内の外部システムと接続する 2: 社外の外部システムと接続する 【メトリクス】 接続する場合には、そのインターフェースについて確認すること。
C.4.5.2 　 監視システムの有無	0: 監視システムは存在しない 1: 既存監視システムに接続する 2: 新規監視システムに接続する 【レベル2】 新規監視システムに接続とは、当該システムに対する監視機能の新規構築が要件定義範囲に含まれていることを意味している。
C.4.5.3 　 ジョブ管理システムの有無	0: ジョブ管理システムは存在しない 1: 既存ジョブ管理システムに接続する 2: 新規ジョブ管理システムに接続する 【レベル2】 新規ジョブ管理システムに接続とは、当該システムに対するジョブ管理機能の新規構築が要件定義範囲に含まれていることを意味している。

接続先システムごとに依存性を記述

• 小項目「C.4.5 外部システム接続」には、まず接続先システムごとに依存性を記述する必要があります。最終的には、監視やジョブ管理システムなどの、システム共通基盤などの利用についてもここに記載します。
• 外部システム接続は本来機能要件に属しますが、特にトラブル時の運用に大きな影響を及ぼすため、中項目「C.4 運用環境」の一つに位置づけられています。
  また、可用性・性能・セキュリティ・運用要件など、各種非機能要求の拠り所となることから、「〇：重要項目」となっています。

あったら怖い本当の話

※　実際に起きたことを、脱色デフォルメしたフィクションにして紹介します。

😱接続先のさらに先まで影響…

• 業態企業の基幹システム間を接続するElectronic Data Interchange (EDI) に対する、Gateway (GW) 機能の更改を実施しました。
  

敗因

• EDI接続機能は、一見、自社内の機能に見えますが、障害が発生するとEDI連携を通じて他企業へと波及するリスクがあります。さらにその後続業務にまで連鎖し、社会問題にまでなるリスクがあることの認識が不足していました。
• 本来、多系統構成や業務継続計画 (BCP) と組み合せて設計し、どの系統がいつ停止しても業務を継続できる仕組みを備える必要がありました。

再発防止：多重構成での段階的更改運用を徹底

• EDI接続GWは、1企業あたり複数系統を構築し、いずれかが停止しても他系統で業務を継続できる運用を徹底。
• GW更改時には、一括切替せず、系統単位でタイミングをずらした段階リリースを徹底。

まとめ

本記事では、運用環境として、運用保守環境だけでなく、運用保守フェーズの開発試験環境の要件まで定める必要があることを説明しました。

最後に、NTTデータの金融高度技術本部では、ともに金融ITの未来を切り拓く仲間を募集しています。

[募集要領]
https://nttdata-career.jposting.net/u/job.phtml?job_code=1172
[NTTデータ 金融分野の取り組み]
https://www.nttdata.com/jp/ja/industries/finance/

脚注

1. IPA（独立行政法人 情報処理推進機構, Information-technology Promotion Agency, Japan） ↩︎

2. 非機能要求グレード:
   参照用pdf: 非機能要求グレード2018 改訂情報(PDF:897 KB)
   活用用xls: 非機能要求グレード本体（日本語版）、利用ガイド［活用編］一括ダウンロード(ZIP:9.7 MB)の　06‗活用シート.xls ↩︎