NOCとはネットワークオペレーションセンター( Network Operations Center )の略称で、ITチームが通信ネットワークのパフォーマンスと健全性を常時監視する集中管理・運用する施設のことです。NOCは、ネットワークの中断や障害に対する防御の第一線を担っているため、24時間365日稼働していることが多いです。
企業はNOC (「ノック」と読みます) を通じてネットワーク全体の状況を把握できるため、異常を検知して問題の防止策を取ることや、発生した問題に迅速に対処することができます。NOCでは、インフラストラクチャと機器 (配線からサーバーまで)、ワイヤレスシステム、データベース、ファイアウォール、各種の関連デバイス (IoTデバイスやスマートフォンなど)、遠隔通信、ダッシュボード、レポートを監視します。さらに、カスタマーサポートの受付電話、ヘルプデスクのチケットシステム、顧客のネットワークツールとの統合なども監視対象に含まれるため、NOCはカスタマーエクスペリエンスの向上においても大きな役割を果たします。
NOC(ネットワークオペレーションセンター) は、社内 (多くの場合はデータセンター内) に設置されることも、ネットワークとインフラストラクチャの監視と管理を専門とする外部企業にアウトソーシングされることもあります。いずれにしても、NOCスタッフは、問題を特定し、その解決方法をすばやく判断する責任をおっています。
NOC (ネットワークオペレーションセンター) の目的
NOCの目的を簡単に言えば、ネットワークの最適なパフォーマンスと可用性を維持すること、稼働の継続性を確保することです。NOCは、以下を含む多くの重要業務を担っています。
- ネットワークで特に注意が必要な問題の監視 (外部ソースが原因の問題など)
- サーバー、ネットワーク、デバイスの管理 (ソフトウェアのインストール、更新、トラブルシューティング、デバイスへの配布など)
- インシデント対応 (停電や回線障害への対応など)
- セキュリティ (セキュリティ運用に関連する監視、脅威分析、ツール導入など)
- バックアップと保管、障害回復
- メール、音声、ビデオデータの管理
- パッチ管理
- ファイアウォールとIPS (侵入検知システム) の管理、ウイルス対策サポート
- ポリシーの適用
- フィードバックやユーザーの意見に基づくサービスの改善
- SLA (サービスレベル契約) の遂行
- ベンダー、フリーランサー、請負業者の管理
今日、ネットワーク管理とパフォーマンス監視はかつてないほど難しくなっています。海外拠点の設置、在宅勤務の導入、管理および監視対象のデバイスの増加などにより、ネットワークが複雑化しているためです。
ユーザー、Webサイトトラフィック、マルウェアの増加もネットワークのパフォーマンスに影響するため、問題の引き金はいたるところにあると言ってよいでしょう。一見ささいな問題がネットワークの停止を引き起こし、業務や顧客へのサービス提供に大きな損害を与えることもあります。
数年前、ガートナー社はあるレポートの中で、「1分のダウンタイムは企業に5,600ドルの損失をもたらす」と述べています。ネットワークの停止は、収益を低下させ、生産性を奪い、ITチームと企業全体の信頼を傷付けます。こうした点を念頭に置いて、NOCは、避けられないインシデントや停電が発生したときでも顧客や社内のユーザーに影響を一切与えないように、特にダウンタイムを回避することに重点を置いて活動しています。
NOCでの重要な役割
NOCには、エンジニア、アナリスト、オペレーターで構成される技術者チームがあります。また、多くの場合、チームリーダーやシフト監督者が数人います。NOCスタッフには、ネットワークを監視、保守して問題を迅速に解決するための専門的なスキルセットが求められます。その知識レベルは一般的に、専門でないIT担当者の知識範囲をはるかに超えます。NOC技術者は、通常、多くの実務経験を積んでおり、ネットワーク監視とネットワークツールについては特に経験豊富です。また、多くの技術者はネットワーク分野の高度な資格を取得しています。
ネットワークパフォーマンス管理に特化した大規模チームを作ることが難しい中小企業のために、社内NOCに代わるNOCサービスを提供するサードパーティーのサービスプロバイダーもあります。
NOCのシステム運用体制と管理
理想的な体制は、NOC専用の部屋を用意することです。1つの壁には一面にディスプレイを設置し、各ディスプレイにネットワーク全体のリアルタイムのパフォーマンスと、発生中のインシデントや警告を表示します。ディスプレイは縦横に並べて相互に接続し、1つの大型高解像度スクリーンとして機能するようにします。NOCの作業スペースやチームの規模は、企業やデータセンターの規模によります。
壁に設置されたディスプレイは、アラートが最初に表示される場所です。このアラートには、問題の発生地点と、影響を受けるデバイスや回線が具体的に示されます。また、影響範囲が拡大する可能性のある継続中の問題について技術者がより的確な計画を立てられるように、一部のディスプレイにはニュースや天気予報が表示されます。また、ディスプレイは室内の各ワークステーションに接続され、ワークステーションで担当の技術者が特定のリソースや状態を監視します。その画面では、関連する問題を確認したり、インシデントを解決するために定められた手順を実行したりできます。
各ワークステーションには複数のモニターがつながれ、技術者がすばやく簡単に情報を分析し、効率的にインシデントに対応できるようになっています。各ワークステーションは、一種のPAシステムにもつながれているため、技術者同士でコミュニケーションを取ったり、情報をすばやく共有したりすることもできます。さらに、ワークステーションから、アラートの詳細を壁のディスプレイに表示して、室内の全員に見せることもできます。
大規模企業では、重大なネットワークインシデントに対応するチーム専用の部屋が設けられていることがあります。
一般的に、NOCはインシデント管理において階層型のアプローチを取ります。すべてのNOC技術者は、特定の問題を解決するスキルと経験に基づいて、レベル1、2、3のように分類されます。問題を発見した技術者は、アラートのタイプと重要度に基づいて問題のカテゴリーを判断し、その他の条件を識別して、チケットを作成します。特定のレベルに割り当てられた技術者がその問題を十分な時間内に解決できなかった場合は、チケットが上のレベルの技術者に回され、問題が完全に解決するまでエスカレーションされます。
高度なスキルを持つスタッフが、優れた設備を使用して、厳格に定められた手順に従って任務を遂行することで、NOCのオペレーションは24時間365日保たれています。
NOCとSOCの違い
NOC (ネットワークオペレーションセンター) は、ネットワークのパフォーマンスと可用性の管理に特化しているのに対して、SOC (セキュリティオペレーションセンター)ではセキュリティの専用ツールと専任スタッフが社内のセキュリティの状況を24時間365日監視し、問題を検出、分析しています。
NOC技術者の任務はネットワークの速度や可用性を低下させる可能性のある問題を監視すること、SOC技術者の任務はサイバーセキュリティの脅威を防ぎ、攻撃に対処することです。SOCはさらに、顧客データや知的財産を保護する任務も担います。NOCが対応するネットワークイベントは自然発生的でよく起こりがちなものであるのに対して、SOCが対応するセキュリティイベントは社内ネットワークを標的にした外部からの脅威がほとんどです。
NOCとSOCのどちらも、社内で問題を特定、調査、解決するという重要な役割を担い、業務に影響が及ばないように問題をすばやく解決すべく尽力しています。また、両者ともインシデント対応に階層型のアプローチを採用している点も似ています。しかし、扱う問題はまったく異なります。そのため、スタッフに求められるスキル、知識、取り組み方も異なります。NOC技術者はネットワークやアプリケーションの監視と管理に関して、SOCアナリストは特にセキュリティに関して、深い知識が求められます。
こうした違いがあっても、SOCとNOCは、重大なインシデントでは協力して対応し、危機を乗り切る必要があるため、完全に切り離すべきではありません。しかし驚くべきことに、SANSの調査(英語) では、約3分の1の企業が、NOCとSOC間の接触はほぼない、またはまったくないと回答し、20% の企業が、両チームが協力するのは緊急時のみと回答しています。専門家は、NOCとSOCの連携を深めることを推奨しています。日常業務は基本的に別々に行うとしても、NOCとSOCの両チームがネットワーク監視データを収集および共有できるように、まずはオペレーション手順を設定し、一部の対策を自動化して、専用ツールを導入するとよいでしょう。
NOCでSOCを代用できるか?
NOCとSOCを別々に設置するのが難しい場合は、NOCでセキュリティの問題を監視して対応することもできますが、その体制は理想的とは言えません。たしかに、セキュリティの脅威はネットワークパフォーマンスにも影響するので、NOCで検出することが可能であり、実際に検出されます。そして、スタッフに十分な知識があれば、それらの脅威に効果的に対応することもできます。ただし、この点が問題です。スタッフはセキュリティの脅威を識別する必要があり、それに対応するためのスキルも求められます。しかし、ネットワークパフォーマンスとセキュリティの両方について高いスキルを持つ技術者はそう簡単には確保できません。
さらに、NOCでセキュリティにも対応するのであれば、スキルに加えてセキュリティの問題を解決するための適切なツールも必要になります。たとえば、ネットワーク上のすべての活動を単一のシステムで可視化するSIEM (セキュリティ情報/イベント管理) システムは必須です。SIEMシステムでは、ネットワーク上のさまざまなソースからデータが収集され、解析、分類されて、リアルタイムで対応できるように分析結果が即座に示されます。つまり、SIEMは、通常のSOCチームが行う作業の大部分を自動化するツールです。インシデントを特定すると同時に誤検知を抑えることができるため、ある程度のスキルを持つスタッフがいればNOCでも比較的簡単にセキュリティを監視できます。
NOCのベストプラクティス
NOCのベストプラクティスは、トレーニングを最優先し、役割を明確に定義して、コミュニケーションの手順と手段を明確に定めることです。
トレーニングと知識向上を最優先にする:NOCスタッフは、特にネットワークパフォーマンスとITインフラストラクチャの監視、管理、これらに固有の問題の解決方法について、高いレベルの専門知識を身に付ける必要があります。あらゆるイベントの対処法や手順に関する充実したトレーニングを頻繁に実施して、テクノロジーの進化や自社のIT環境の変化に常に対応できるようにします。ネットワークパフォーマンスの問題に関するトレーニングが最も重要ですが、セキュリティの問題に関するSOCとの共同対応手順も見落とさないようにしましょう。手順を学ぶ上で重要なのがエスカレーションです。問題が手に負えないときは上のレベルのスタッフに速やかにエスカレーションするための判断のタイミングと方法をしっかりと身に付けてもらうことが大切です。
役割を明確に定義する:最近では、階層のないフラットな組織構造が注目されています。変化が激しくすばやい対応が求められるネットワーク監視の分野においても、レベルまたはロールベースの階層をかたくなに守るのではなく、各スタッフに一定の権限を持たせることは理にかなっています。しかし、各スタッフが問題にすばやく対応してネットワーク障害を防ぐための知識と権限を持っていたとしても、エスカレーション階層と、NOC全体を監督するシフト監督者はやはり必要です。
NOCスタッフには、それぞれの任務とインサイト提供の大半を各自の裁量に委ねるべきで、仕事についてあまり細かく管理すべきではありません。一方で、スキルに基づいて各スタッフにタスクを割り当てる、タスクの優先順位を判断する、レポートを作成する、インシデントが適切に解消されたことを確認する、必要に応じてイベント発生を組織全体に通知するといった業務を担うリーダーは常に必要です。スタッフ側も、自分は何をすべきか、自分のスキルレベルはどのくらいか、インシデントのエスカレーションまたは対応時に誰に報告すべきかを把握しておく必要があります。
コミュニケーションを強化する:NOC内のコミュニケーションやSOCなどの外部チームとのコミュニケーションを常に保つことは容易ではないかもしれません。定期ミーティングを数回開くだけでは、十分なコミュニケーションは築けません。スタッフに情報をいつどのように共有すべきかを教え、それを継続して実践してもらうには、教える側の努力とスタッフの協力が必要です。それでも、NOCの団結のためには、共同作業や連携を行う定期的な機会を作ることが欠かせません。
明確なガイドラインと手順を設定する:以下の点について明示的なポリシーを作成すれば、円滑な対応が可能になります。
- インシデント管理:インシデントが発生した際にスタッフが従うべき手順を明文化します (各種の判断基準、エスカレーションすべき状況、ほかのスタッフへの通知のタイミングなど)。
- 解決:よく起こる問題に対処するための手順をまとめ、緊急時の応急対策を示します。
- エスカレーション:問題をエスカレーションする方法と通知先を定めます。
- 優先順位付け:優先度が最高レベルのインシデントを定義し、そのインシデントを担当するスタッフレベルを決めます。インシデントの優先順位は、業務への影響範囲に基づいて決めます。
手順が明確に定められていれば、チーム内で認識を共有し、一貫した対応をして、スタッフの責任感を強めることができます。もちろん、適切な人材を配置して適切なプロセスを設定することを前提としても、実際の作業では適切なツールが欠かせません。
自社のNOCに最適なツールを選択する方法
どのツールを導入すべきかは、基本的に自社のビジネスニーズによりますが、NOCには少なくとも以下の機能を持つツールが必要です。
- インフラストラクチャの包括的な表示:物理環境、仮想環境、クラウド環境を問わず全体を把握できるものを選びます。
- 自動化: 定型作業を減らして、レベル1のスタッフにより優先度の高いインシデントに注力してもらうことができます。また、アラートの大量発生を抑えることもできます。
- チケット管理:オープンチケットに関する情報 (優先タスクや担当者など) を確認して、社内外の問題をよりすばやく解決できます。
- インシデントレポート:視覚的な分析機能 (しきい値、アラーム、インジケーター、傾向のグラフ表示など) があれば、問題を調査して今後のために記録する作業が容易になります。
- シンプルなインターフェイスと導入:導入方法が複雑で使い方を覚えるまでに時間がかかるツールは避けて、効果をすぐに得られるものを選びましょう。
- 拡張性:ビジネスの成長にNOCが対応できるようにする必要があります。
ネットワーク全体を完全に可視化し、必要に応じて詳細を掘り下げて問題を調査でき、時間とともにインシデント対応能力が向上するようなツールを選択することをお勧めします。
NOCは重要
NOCは、IT分野で重要な任務を担うチームの1つです。社内ユーザーも顧客も、ITサービスを毎日のように利用しています。そのため、企業はSLA (サービスレベル契約) を遵守し、基幹業務の生産性を向上させ、顧客のデジタルエクスペリエンスを維持する必要があります。
すべてのITサービスの稼働時間を最大限に維持し、大損害を招くシステム停止を避けるために、NOCは重要です。多くの企業がNOCを設置していますが、人材の確保から、適切なトレーニングの実施、最適なツールや自動化機能の提供まで、そのオペレーションを維持するのは容易ではありません。自社でNOCの能力を維持できないのであれば、サードパーティーのサービスプロバイダーに委託するのも良い選択肢です。
