2020/10/19 - 読み終える時間: 3 分

Data-Driven DevOps Part 5: Alignment and Governance の翻訳版です。

データ駆動型 DevOps パート 5: アライメントとガバナンス

2020年10月15日

著者: Steve Boone / HCL Software DevOps Head of Product Management

• Accelerate: データ駆動型 DevOps パート 1: 序章
• Accelerate: データ駆動型 DevOps パート 2: データ駆動型の文化
• Accelerate: データ駆動型 DevOps パート 3: データを使った追跡と計画
• Accelerate: データ駆動型 DevOps パート 4: ビジネス・アジリティ
• データ駆動型 DevOps eBookですべてを手に入れよう

多くの点で、データ駆動型のDevOpsは、ソフトウェア・ビジネスがどのように運営されているかを詳細に把握することを可能にします。この種の戦略は、製造工場の上の産業用キャットウォークのようなものだと考えてください。データは、アイデアからクライアントに至るまで、ソフトウェアのデリバリー・ライフサイクル全体を網羅することで、驚くほどの可視性を提供します。この可視性は非常に有益です。組織内で何が起こっているかを知ることができるだけでなく、再作業を減らし、コストを削減し、ビジネスにガバナンスを提供してリスクを軽減する機会を提供してくれます。

データ駆動型のDevOpsとバリュー・ストリーム管理は、「あったらいいな」と思う機能セットではないことを理解することが重要です。以下の問題解決に真剣に取り組みたいと考えている企業にとっては、「持っていなければならない」機能です。

ビジネスの整合性

まずは、いくつかの質問から始めてみましょう。顧客を喜ばせ、収益を向上させる機能は、積極的に取り組んでいますか？それらの機能はバックログに残っていますか？予定より早く、あるいは遅れていますか？いつになったら、クライアントに約束した価値を提供できるようになるのでしょうか？

簡単に言えば、ビジネスの整合性とは、エンジニアリングチームが行っている開発作業が、全体的なビジネス目標に可能な限り整合しているかどうかを確認することです。開発とビジネス目標が一致している企業は、より高品質なソフトウェアをより早く提供することができます。なぜでしょうか？それは、ビジネスの主な優先事項が明確だからです。個々のコントリビュータは、一日に何度も「すべきか、すべきでないか」の決断を迫られることはありません。

多くの企業は、エンジニアリングチームがどのような開発ツールやプラクティスを使用するかを強制しなくなっています。開発組織が毎日使いたいツールを選べば、より幸せで生産性の高いものになるという願いが込められています。これは必ずしも真実ではありませんが、ビジネスにとっては真の課題となります。実際にどのような作業が行われているかを可視化することは、すでに非常に困難な問題です。また、それぞれが独自のプロセスやツールを使用している何百もの開発チームのデータを集計しようとすると、さらに困難な手作業になってしまいます。

データ駆動型のDevOpsは、ビジネスの連携にこれまでにない機能を提供します。バリューストリームを流れる作業を可視化することで、開発マネージャ、プロダクトオーナー、リリースエンジニア、エグゼクティブなど、誰もがそれを見る必要がある人は誰でも、現在何に取り組んでいるのかを知ることができます。進行中の作業とまだ開発されていない作業（バックログ）の両方を検索して、実際のビジネス価値がどこにあるのかを明確にレポートすることができることを想像してみてください。

私の経験では、開発チームは正しいことをしたいと思っています。開発チームは、価値を提供してくれる機能に集中したいと考えています。多くの場合、最高の貢献者はいくつかの方向に引っ張られ、顧客を喜ばせ、真のビジネス価値を提供することに最も近い仕事から遠ざかってしまうことがあります。このような仕事は、時には無計画であるために、さらに困難を伴うこともあります。無計画な仕事は生産性を窒息させ、ビジネス価値を期限内に提供する組織の能力に大きな負担をかけることになります。

無計画な仕事

無計画な仕事を完全に払拭することはできませんが、それを管理できるかどうかは非常に重要です。計画外の仕事には多くの課題があります。

• それは計画された優先順位のある仕事から焦点を奪う
• 完成までの労力は不明
• 成功の明確な定義がないことが多い
• それは「スコープ・クリープ」の扉を開く。

企業は、計画していないことに対して、どのようにリソースと時間を配分しているのでしょうか？さらに重要なのは、どのようにして計画外の仕事を積極的に減らしていくかということです。その答えは、お察しの通り、私たちが毎日使用しているツールのデータの中にある。計画された作業を追跡するためにコードのコミットや作業項目を追跡するのと同じように、サポートツールや作業項目管理ツールからのデータを使用して、計画外の作業とそれがビジネス価値を提供する能力に与える影響を可視化することができます。

組織の最高の貢献者は、通常、予定外の作業に最も苦しんでいる人たちです。彼らは最も知識が豊富で、重要なサポート問題を支援するのに最も適していると考えられており、困難なシナリオでクライアントを支援した経験が最も豊富です。トップパフォーマーだけに頼ることの問題点は、同じ貢献者であっても、価値の高い非常に重要なビジネス上の成果物の大半を担っている可能性が高いということです。そのため、もしあなたのデフォルトの動きが、火事を消すために常に最も熟練した従業員を連れてくることであるならば、計画された仕事は苦戦を強いられることになります。

このような状況を改善するには、個々の貢献者がどの帯域幅を持っているかを可視化することで、余分なキャパシティを確保することができます。これにより、チームが一時的にフォーカスをシフトしている間に、ビジネス価値を牽引している余分な計画的な仕事を引き受けてくれる個人を特定することで、他のチームメンバーがそれぞれの役割で成長する機会を提供します。

計画外の仕事は予期せぬことであり、困難であり、主要なビジネスの専門家から労力を奪い、おそらく何よりも組織の文化を損なってしまう。計画外労働は、持続不可能な労働慣行と不健全な文化につながる可能性があります。計画外労働を根絶することはできませんが、データを利用してその影響を軽減し、組織の文化と生産価値を維持することはできます。

品質とセキュリティの取り組みを検証する

セキュリティと品質への取り組みが枯れてしまったり、早期に失敗したり、実を結ばなかったりするのを防ぐにはどうすればよいのでしょうか。個々のチームやビジネスユニットにとってはそれほど大変な作業ではないかもしれませんが、組織全体で管理することは非常に大きな作業です。

先に述べたように、多くの企業が生産性の向上を期待して、開発組織に自分たちが最も使いやすいと感じるツールを選択させています。これにはいくつかの利点がある一方で、全く新しい課題も発生します。組織は、何十ものツールセットと何十年もの技術にまたがるセキュリティと品質の取り組みをどのようにして追跡し、実施することになるのでしょうか？組織のすべてのアプリケーションとチーム全体の品質とセキュリティの結果を集約することで、企業はどの取り組みが健全で、どの取り組みにさらなる育成が必要なのかを見極めることができます。

リスクを軽減する自動化されたガバナンス

組織は、特定のリリースの「準備ができているかどうか」を計画し、検証するための会議にかなりの時間を費やしています。リリースエンジニアと変更諮問委員会 (CAB) のメンバーは、健全な量のチェックとバランスを提供していますが、これは大部分が長く、手動で行われるプロセスです。10年にわたる DevOps のベストプラクティスから何かを学んだとすれば、長くて手間のかかる手動の作業は、自動化されることを切望しているだけだということです。経験上、手動プロセスはエラーが発生しやすいことがわかっています。

品質とセキュリティのメトリクスの可視性を提供することは、最初のステップに過ぎません。次のステップは、ビジネスと顧客を保護するためにデータを使用することです。そのための最良の方法は、バリューストリームから送られてくるライブデータの定常的な流れを管理し、特定のビルド、デプロイメント、リリース、コンポーネント、機能、またはビジネスイニシアチブのセットがテストおよびスキャンされたかどうかに基づいて、インテリジェントな決定を下すことができるインテリジェントなゲーティングメカニズムを設定することです。

最高情報セキュリティ責任者 (CISO) は、組織内のすべてのバリューストリームを簡単に見ることができ、誰が会社で実施されているベストセキュリティプラクティスに従っているかを知ることができるので、コスト削減につながることを考えてみてください。また、リリースエンジニアが顧客に悪影響を及ぼす可能性のある品質リスクを簡単に特定できるようになれば、リリースエンジニアにとってのメリットを考えてみてください。

リスクを軽減し、セキュリティと品質を一貫して向上させる最善の方法は、これらを常にビジネスの優先事項とすることです。バリューストリームマネジメントは、お客様がこれらの取り組みを日々のタスクの最前線に置いておくことができるように支援します。

ベストプラクティスの特定

ベストプラクティスを見極めることは、重要なスキルです。ベストプラクティスは、問題を解決するための最も効果的な方法を伝えるのに役立ちます。組織のバリューストリーム全体のすべてのデータを見ることで、企業は単なる推測ではなく、何が本当にベストプラクティスなのかを特定し始めることができます。チームリーダーやその他の利害関係者は、パフォーマンスに関する重要な質問に答える機会を得ることができます。なぜ、あるバリューストリームの品質とセキュリティ（またはその他の技術的な側面）が他のバリューストリームよりも優れているのか？トレーニングの不足が原因なのか？適切なツールを使用していないのか？これらの質問に答えて質問することで、組織は社内で機能していることの根本原因を突き止め、それを組織全体で再現し、改善が必要なことは何かを迅速に対処することができるようになります。

データを使用してベストプラクティスを特定することのもう一つの大きな利点は、どのバリューストリームが高いパフォーマンスを発揮しているかが非常に明確になることです。高いパフォーマンスを発揮しているチームは、適切に定義されたDevOpsのベストプラクティスの結果である。組織内で高いパフォーマンスを発揮しているチームが特定されたら、そのチームの仕事を称えることは文化的にも重要です。彼らの努力は高く評価され、拍手喝采され、他のチームのベンチマークとして活用されるべきです。 データドリブンDevOps ebookデータドリブンDevOps eBookを入手する

私の新しいeBookで、データとDevOpsの関係について学び続けてください。ダウンロードはこちらから。

2020/10/15 - 読み終える時間: 2 分

Case Study- Preparing for Success with Unica Deliver の翻訳版です。

ケーススタディ- Unica Deliverでの成功への準備

2020年10月14日

著者: Gordon Patchett / Product Manager for Unica Deliver

Unica に入社して 14年以上になりますが、私は幸運にも、Unica のソフトウェアを使用して素晴らしい成果を上げたいくつかの驚くべきプロジェクトに携わることができました。個人的に一番好きな例は、あるお客様が、新聞社の個別出版物の 200 以上のニュースレターキャンペーンを1つのキャンペーンに統合した時のことです。繰り返しになりますが、200 の個別キャンペーンを 1 つにまとめたのです。これは、毎週、毎週、毎週、かなりの時間と費用を節約したことになります。

私のお気に入りのもう一つの例は、英国の大手小売業者が、完全に新しいデータウェアハウスの構築と Unica の導入に数百万ドルを投資したときのことです。最初のキャンペーンでのクーポン交換による利益が、プロジェクト全体の費用を賄うことができました。これらのツールが正しく実装されていれば、その報酬は観察可能で目に見えるものだけではなく、目に見えるものでもありません。そして、私の経験では、多くのケースで圧倒的にポジティブな結果が出ています。

しかし、私がこの記事で話したいのは、これらの結果を達成するための障害のいくつかです。最善を尽くしたにもかかわらず、スイートの採用が部分的にしか成功せず、最終的にいくつかのモジュールが置き換えられてしまうという状況に遭遇したことがありました。なぜでしょうか？なぜなら、これらの状況を認識していることで、将来のマーカーに気を配り、うまくいけば時間内に介入することができるからです。歴史を学ばない者は、それを繰り返す運命にあります。失敗は、そこから何も学ばないときだけ、絶対的なものです (Failure is only absolute when we learn nothing from it.)。

では、この特定のケースでは何が違っていたのでしょうか。Unica のデリバリーチームは同じでした。ソフトウェアも同じでした。導入を成功させようとする顧客の上級管理職チームの意欲はそこにあり、彼らは積極的に存在していました。ユーザーからのプロジェクトを成功させようという意欲もあった。ユーザーチームの主な代表者は、熟練していて、知的で、創意に富んでいました。パートナーチームは、才能があり、献身的で、親しみやすい人たちでした。

このプロジェクトを成功させるために必要な要素はすべて揃っていましたが、そうではありませんでした。デジタルメッセージングモジュールの採用という重要な 1 つの分野では、それは絶望的な失敗でした。私はこのことについて 5年以上考えてきましたが、いくつかの要因があります。それぞれの当事者が、それぞれの分野で微妙な方法で失敗に貢献したのです。最初の実装は順調に進み、ソリューションは計画通りに稼働しました。私の役割はテクニカル・アカウント・マネージャーとして、週に最低1日はこの顧客の成功のために数年かけて時間を割いていました。

ソリューションは、パートナー組織によってリモートでホストされ、管理され、管理されていました。パートナー企業は、データのインジェストと変換を担当し、Unica Campaign 内でキャンペーンを作成する顧客のデータチームがデータを利用できるようにしました。パートナーの問題は、そのサービスの障害点が1つだけあったことでした。彼らのチームの中でも特に優秀な個人が、データの読み込みと問題の修正を担当していました。彼がコンサルティング事業を立ち上げるために退職することを決めたとき、ソリューションの ETL とデータ層の技術的な知識は彼の手元に残っていました。

顧客ユーザーチームは、新しい働き方の実装に加えて、日々の生産キャンペーンを実施しなければならないという厳しいプレッシャーにさらされていました。時間が経つにつれ、新しい働き方を採用することが難しくなってきました。自動化のための大きなチャンスがあったにもかかわらず、彼らはしばしば物事を行う方法を見つけ、その方法に固執していていました。私が、自動化の機会を最大限に活用する方法について明確な提案をしたレポートを書いたとき、データマネージャーは、彼らは「まだそこにはいない」と主張しました。デジタルメッセージングソフトウェアのいくつかの欠陥は、チームに否定的な印象を与えました。これらの欠陥はすぐに修正され、簡単な回避策が提供されているにもかかわらず、最初は理解できたが、時間が経つにつれて理解するのが難しくなる製品について否定的な空気がありました。

発売後すぐに、新しい最高マーケティング責任者が任命されました。彼のマーケティング戦略は理解しやすく、達成可能なものであり、イノベーションはこの戦略の重要な要素でした。彼は成功の結果に影響を与えるために人々を引っ張っていきましたが、マーケティングオートメーションの領域は彼にとって新しいものであることがすぐに明らかになり、彼は詳細に悩まされることなく、チームへのプレッシャーやテクノロジーの可能性を完全に理解することなく、ただそれが機能することを望んでいるという印象を与えました。私自身の個人的な失敗は、最も強力な生産性機能を採用するためのバイインを得ることができなかったことでした。顧客のリーダーシップチームは、ソフトウェアを革新的に使用したいという意欲を持っており、適切な提案をしていましたが、データマネージャーはその提案を実行することを単に拒否し、最終的には経営陣に新しいデジタルメッセージングツールを探すように影響を与えていました。

適切なビルディングブロックが配置され、適切な勧告が出され、適切な戦略が伝達されたにもかかわらず、そのモジュールについての書類は壁に残されたままでした。では、この場合の鍵となる要因は何だったのでしょうか？5年以上このことを考えてきた結果、私はモルタルが答えだと考えています。この場合、欠けていたモルタルは戦略の実行でした。

マーケティング戦略には正しい言葉が含まれていた。ソフトウェアは、ビジネスが達成したいと思っていることを実証的に達成することができました。ユーザーは明らかに可能であり、それが動作するようにしたが、実際に製品が生き生きとした最も強力な自動化機能を実装するために必要な時間を投資することができませんでした。何が欠けていたかは、戦略の実施の監視であった。これが、上級管理者とユーザーの間にギャップを生み出していた。

戦略的実施の一部は、戦略目標の継続的なモニタリングである。あなたのチームが革新的であることを望んでいますか？それをどのように測定する計画ですか？あなたのチームに顧客を理解してもらいたいですか？それをどのように測定する計画ですか？競争より速く成長したいか。どのようにしてそれを測定するつもりですか？もしあなたが戦略の実施に投資し、それを監視する気がないのであれば、そもそも戦略を書かない方が良いかもしれません。

どんなソフトウェアツールも完璧ではありません。どんなツールにも長所と短所があります。Unica Deliver の中核となる強みは、自動化と生産性向上の機能です。これらの機能を活用すれば、コストを節約することができます。Unica Deliver の詳細については、Unicaチームまでお問い合わせください。

2020/10/15 - 読み終える時間: 5 分

HCL Accelerate Quick Start with Linux and Docker-Compose の翻訳版です。

HCL Accelerate を Linux と Docker-Compose を使ってクイックスタートする

2020年10月14日

著者: Daniel Trowbridge / Technical Lead

HCL Accelerate の無料の Community Edition を使えば簡単に始められます。このクイックスタートは Linux 上の Docker-Compose を対象としていますが、他のオーケストレーションプラットフォームにも対応しています。Mac や Windows 用のクイックスタートもありますが、コンテナ化されたアプリケーションなので手順は非常に似ています。詳細については、詳細なドキュメントを参照してください。

始める前に必要なものは以下の通りです。

• Docker Composeがインストールされ、実行されていること
• HCL Accelerate User Access Key (ここで入手できます)

1. インストーラのダウンロード

以下のリンクをクリックして、HCL Accelerate Linux インストーラをダウンロードしてください。

最新バージョン https://hcl-velocity-binaries.s3.amazonaws.com/accelerate-hcl-install-latest-linux

2. インストーラの実行

インストーラが実行に必要なパーミッションを持っていることを確認してください。

sudo chmod +x accelerate-hcl-install-latest-linux

インストーラーを実行します。

./accelerate-hcl-install-2.6.0-linux

以下の設定値を入力するように求められます。

• アクセスキー: アクセスキー：製品版に応じたアクセスキーを入力してください。
• ライセンス: ライセンス: ライセンスの承認が必要です。ライセンスを読んだ後、再度プロンプトが表示されたくない場合は、インストーラーに ?license=accept 引数を渡してください。
• プラットフォーム: プラットフォーム: "Docker Compose" をプラットフォームとして選択してください。
• インストールディレクトリー: Installation Directory: インストールフォルダーの親ディレクトリーーへのパスを指定します。インストールファイルは親ディレクトリーの下のバージョンフォルダーに配置されます。これにより、同じ親ディレクトリーを将来のアップグレードに使用することができます。
• ホスト名: HCL Accelerate のホスト名を指定します。デフォルトは localhost です。ホスト名は、DNS 解決または hosts ファイルなどで、すでに構成されている必要があります。
• ポート: ポート番号を指定します。デフォルトは 443 です。
• Startup (起動): インストーラから HCL Accelerate を起動するか、以下の「HCL Accelerate の起動」を参照してください。

インストーラのオプション: インストーラには多くのコマンドラインオプションがあり、完全に自動化することができます。-help を付けてインストーラを実行して、何をサポートしているかを確認してください。

settings.json: アプリケーションの重要な一意のキーは、ユーザー固有のもので、[ユーザーホームディレクトリー] /.ucv/settings.json に保存されていることに注意してください。このファイルは、将来の再インストールやアップグレードで使用するために、インストーラーの入力も保存します。値は、必要に応じてバックアップおよび/または移動してください。

3. HCL Accelerate の起動

インストーラから直接 HCL Accelerate を起動するか、インストールされたバージョンのディレクトリーに移動して docker-compose up -d を実行します。この時点で HCL Accelerate イメージがDocker Hub からプルされているはずです。Docker Hub からプルできない場合は、圧縮されたイメージを含むオフラインインストーラも利用できます。

Docker Compose を学ぶには: Docker Compose CLI については、docker.com で詳しく説明しています。

4. 最初のログイン

ブラウザー（ChromiumベースまたはFirefoxを推奨）を開き、インストーラーに提供されたホスト名とポートに従って、HCL Accelerate のアドレス（https://<ホスト名>:<ポート>）に移動します。有効な証明書を設定していない場合、デフォルトの証明書は自己署名されているため、証明書の警告が表示されます。この警告を過ぎて進むと、HCL Accelerate ログイン画面が表示されるはずです。ユーザー名とパスワードの両方に「admin」を使用して、最初にログインすることができます。

5. 次のステップ

• チュートリアルとブログ: https://blog.hcltechsw.com/accelerate/
• 動画： https://www.youtube.com/playlist?list=PL2tETTrnR4wviGuleB2xwSR7-P7m-rzTa

ナレッジセンター

• 管理
  • 概要
  • 統合の設定
  • LDAP でユーザーを設定する
  • インストーラと SSL 証明書
• バリューストリームマネジメント
  • バリューストリーム
  • 洞察力
  • メトリクス
• その他
  • リリース
  • パイプライン
  • 用語解説

2020/10/14 - 読み終える時間: 2 分

HCL Domino Notes Client 11 New Feature の翻訳版です。

HCL Domino Notes 11 新機能

2020年10月9日

著者: Ren Mark Tapang / HCL L2 Notes Support Engineer

2020年1月に、よりクリーンでモダンな UI、ミニマリストメニュー、簡素化されたフォーム、メールのユーザーエクスペリエンスの改善を含むHCL Notes クライアント の新バージョン (V11) を発表しました。

2020/10/14 - 読み終える時間: 4 分

Using BigFix for Security Configuration Management の翻訳版です。

セキュリティー構成管理に BigFix を使用する

2020年10月14日

著者: Ben Dixon / HCL

構成管理 (Configuration Management) は 1991年に、特にソフトウェアエンジニアリングの分野における変更の管理として定義されました。2011年までに、米国国立標準技術研究所 (NIST) は、「セキュリティーに焦点を当てた構成管理 (Security-focused Configuration Management,)」という用語を使用しており、ITセキュリティーの必須要素とみなされていました (1)。

セキュリティー構成管理とは、現在では、管理されている項目の機能的、物理的、または状態の変化を識別、制御、監視するための方法とツールを持つ正式な規律となります (2)。

セキュリティー構成管理の目標は、誤った構成を特定し、それを修正し、変更されないように監視することで、システムの攻撃面を減らすことである。その結果、ベースライン構成が組織のセキュリティー標準として施行されます。これにより、時間の経過とともに変更が加えられても、システムが期待通りに動作することを確認できます。構成設定を効果的に管理することで、変化を管理し、変化に管理されないようにします。

BigFix 構成管理を使用することで、組織は、脆弱性に対する継続的な可視性をITセキュリティー・オペレーションに提供し、その脆弱性に対応するために必要なツールをITオペレーションに提供する一連のツールを手に入れることができます。BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持する能力を組織に提供します。

このブログは、システム・セキュリティーの必要性、システムを保護するために取るべき行動、およびこの保護を実施するために利用可能なツールとリソースに対処することを目的としています。その目的は、システムセキュリティーの姿勢を強化し、継続的なコンプライアンスを確保するために役立つ情報を提供することです。

リモートワークがセキュリティーリスクを悪化させる

そう遠くない昔、ほとんどの従業員はオフィスで働き、オフィスのドアはロックとネットワークファイアウォールで保護されていました。毎日のように、悪者がファイアウォールを突破しようとしていましたが、うまくいけば成功することはありませんでした。

今日では、リモートワーカーが使用するすべてのエンドポイントがターゲットになっているため、企業内にはさらに多くのドアがあります。これらのモバイル・エンドポイントは、企業のネットワーク・ファイアウォールでは保護されておらず、常に攻撃を受けています。「モバイルワーカー」は新しい概念ではありませんが、世界的なパンデミックの影響でワーカーが自宅に留まることを余儀なくされているため、2020年の間に大きく成長します。CSO Magazineが実施した調査によると、2020年の初めには、従業員の16.5％が大部分の時間を在宅で仕事をしていました。3月末にはその数は77.7%にまで上昇している (3)。悪質な行為者は悪用から休むことなく、おそらくパンデミックの間に攻撃をステップアップさせ、あらゆる角度から悪用してきたのでしょう。

重要なのは、リモートワークはそれ自体が悪いことではなく、本質的に安全ではないということです。最大の問題は、ホームネットワーク上の時代遅れの機器や設定にあるようです。多くのホームネットワークでは、ISPから提供されたモデムやルーターを使用しており、それらを設定したり更新したりする方法についてほとんど知識がありません。他のホームネットワークでは、一度インストールされても更新されていないコンシューマーレベルの機器を使用していますが、その中には、検索して悪用するのが簡単なデフォルトパスワードも含まれています。日常的に使用されているネットワークの安全性を考えると、それに接続されているシステムを安全なものにすることがより重要になります。

幸いなことに、エンドポイントを安全に保つ方法についての貴重なガイダンスがあります。Center for Internet Security は、コミュニティー主導の非営利団体であり、IT システムとデータの安全性を確保するための世界的に認知されたベストプラクティスである Controls and Benchmarks の発行を担当しています。

CIS コントロールとは？

CIS コントロールとは、組織内での優れたセキュリティー衛生を特定、優先順位付け、実装、および維持するのに役立つ一連のサイバーセキュリティーのベストプラクティスです。コントロールは3つのグループに分けられます。基本的なもの、基盤的なもの、組織的なものです。Center for Internet Securityの調査によると、基本的なコントロールのうち最初の5つだけを導入するだけで、全サイバー攻撃の85%から組織を守ることができるという結果が出ています。

CIS ベンチマークとは？

CIS 統制がベストプラクティスであるのに対し、CIS ベンチマークは、脆弱性をどのように保護するかについての具体的なガイドラインです。ベンチマークの中には、規制上の義務化されたものもあります。各ベンチマークは、パスワードの長さ、ポートアクセス、プロトコルの設定など、悪用されやすい項目について、アプリケーションやOSに特有の一連のチェックを含んだチェックリストです。これらのベンチマークを適用することで、組織は自社環境の脆弱性を特定できます。

基本的な CIS 対策の概要

前述したように、最初の数回のバック・コントロールを実施するだけで、大多数のサイバー攻撃から組織を守ることができる。ここでは、エンドポイントの安全性を確保するための取り組みにおいて、ほとんどの組織にとって重要な基本的な CIS 対策 (最初の 6 つの対策) を列挙する。

CIS Control Number 1

この管理は、ハードウェア資産のインベントリーと管理を扱う。この管理では、ネットワーク上にどのようなシステムがあるかを組織が把握する必要があります。簡単に言えば、組織は、そこにいるはずのない人がネットワーク (有線または無線) にアクセスすることを望まないということです。ネットワーク上の誰かが、ネットワーク上のすべてにアクセスできる可能性があります。組織は、誰がアクセスできるのか、何にアクセスできるのか、そして何ができるのかを管理しなければなりません。

また、コントロールナンバー1では、組織はネットワーク上のハードウェア資産の構成設定をコントロールできるようにすべきだと述べています。この可視性がなければ、組織内のエンドポイントのセキュリティー確保に着手することすら本当にできません。これが、コントロールナンバー1である理由です。

CIS Control Number 2

この制御は、ソフトウェア資産のインベントリーと制御を扱い、「ネットワーク上のすべてのソフトウェアを積極的に管理 (インベントリー、追跡、修正) し、許可されたソフトウェアのみがインストールされて実行できるようにし、許可されていないソフトウェアや管理されていないソフトウェアを発見してインストールや実行ができないようにする」能力を必要としています。

ソフトウェア資産にはお金がかかります。そのため、ソフトウェアライセンスのインベントリーを作成し、使用状況に関する情報を収集しています。しかし、不正なソフトウェアや組織にセキュリティーリスクをもたらすソフトウェアを特定するために、ソフトウェア資産の棚卸しも行っています。ソフトウェアのインベントリーを作成して、何がインストールされているかを確認し、承認されたソフトウェアと承認されていないソフトウェアを識別することができるようにしたいのです。ソフトウェアをホワイトリスト化できれば、それに越したことはありません。ホワイトリストは承認されたもののリストであり、リストにないものは承認されていないということを覚えておいてください。ソフトウェアは、リスクがあるからといって、リスクがあるわけではありません。

CIS Control Number 3

このコントロールは、継続的な脆弱性管理を管理します。これは、脆弱性を特定し、修正し、攻撃者の機会を最小化するために、新しい情報を継続的に取得し、評価し、対策を講じる能力のことです。

第一の要件は、容易に悪用される可能性のある既知のソフトウェアの脆弱性を修正するために、できれば定期的なスケジュールで、オペレーティング・システムとアプリケーションの自動パッチ適用を行うことです。また、同管理では、自動化された脆弱性スキャンツールの使用、脆弱性修正の優先順位をつけるためのリスク評価プロセス、スキャン結果の経時的な比較を推奨しています。

脆弱性管理とは、発見だけではなく、発見と改善を意味するものであることに言及しておくことが重要です。単に脆弱性を発見して優先順位をつけることは、脆弱性評価として知られており、セキュリティー構成管理の貴重な要素ではあるが、継続的な脆弱性管理のすべての要件を満たすものではありません。

CIS Control Number 4

このコントロールは、管理者権限の制御された使用をカバーし、コンピュータ、ネットワーク、およびアプリケーション上の管理者権限の使用、割り当て、および設定を追跡、制御、防止、および/または修正するために使用されるプロセスとツールを含みます。

システム管理者は、時間とエネルギーを節約するために近道をすることがよくあります。なぜシステム管理者は、管理者アカウントに既にログインしているのに、ユーザーアカウントでログインしなければならないのでしょうか？なぜシステム管理者は、何もできないときに私に連絡してくることを知っていながら、ユーザーのアクセスを制限しなければならないのでしょうか？そして、セキュリティーの暴露を引き起こすショートカットのリストは、まだまだ続きます。

管理者は企業内で起こるすべてのことをコントロールできないので、組織が管理者権限の使用をコントロールし、それらを使用する人の行動を監査することが重要です。今日のオペレーティング・システムは、セキュリティーではなく、使いやすさを目的として構築されているため、組織は、管理者権限を持つ者を制限し、どのような行動を取るかを監査することによって、オペレーティング・システムを安全にしなければならない。

CIS Control Number 5

この管理では、モバイルデバイス、ラップトップ、ワークステーション、およびサーバー上のハードウェアとソフトウェアの安全な構成を対象としています。この管理の最初の部分では、構成管理を制御するための変更管理プロセスの実装を義務づけており、次の部分では、攻撃者が脆弱なサービスや設定を悪用することを防ぐためのこのプロセスの実施について説明しています。

最初にプロセスを実装してから、そのプロセスをサポートするツールを見つけてください。システムにパッチを当てたり、ソフトウェアを提供したりするために使用するツールのように、ツールを中心にプロセスを構築すると、ツールの能力を超えてプロセスを調整することができません。

我々のプロセスはビジネスをサポートすべきであり、ツールはプロセスをサポートする能力を持つべきです。

CIS Control Number 6

この管理は、監査ログの維持、監視、および分析に焦点を当てています。組織は、攻撃を検知し、理解し、または攻撃から回復するために、イベントログを収集、管理、分析しなければなりません。

私たちの組織が最初の5つのコントロールを実施している完璧な世界では、監査ログをチェックする理由はありません。しかし、世の中は完璧ではないので、組織は定期的にログを監視し、分析する必要があります。そうしないと、重要なイベントや変更を見逃す可能性があり、組織は同じ問題に繰り返し対応することになる運命にあります。

覚えておくべきことがいくつかあります。第一に、ログはオンにしておく必要があります。第二に、ログのタイムスタンプが一貫しているように、同期化された登米ソースを使用してください。次に、ログを保存するシステムに十分なスペースがあることを確認してください。最後に、定期的にログをレビューして異常を探し、環境で何が通常発生しているかを理解する。この点では、SIEM (System Information & Event Management) やログ解析ソフトが役立ちます。

BigFix によるセキュリティー構成管理

BigFix は、エンドポイントを常にコンプライアンスの状態に保つことで、エンドポイントの保護において、反応しないのではなく、プロアクティブな対応ができるようにします。BigFix は、ITセキュリティー・マネージャが脆弱性を継続的に可視化し、IT運用チームが脆弱性に対応するために必要なツールを提供するソリューションを提供します。BigFix を使用すると、企業ネットワークから外れたエンドポイントであっても、環境内のすべてのエンドポイントに適切な CIS チェックリストを実装できます。これにより、BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持できます。以下に、BigFix がどのようにしてそれを達成するかを示します。

脆弱性評価

BigFix には、CIS ベンチマークを含む数千もの事前設定済みのすぐに使えるチェックが含まれています。チェックが管理されているエンドポイントに適用されると、エンドポイントのコンプライアンス状態を可視化できます。BigFix は、エンドポイントのコンプライアンス状態を継続的に評価し、その状態を BigFix サーバに報告するインテリジェントなエージェントを利用して、環境の脆弱性の可視性を提供します。

脆弱性の修復

すべてのエンドポイントにすべてのパッチを適用することで、すべての脆弱性が確実に対処されていることを確認するというのは、簡単な解決策のように思えるかもしれません。問題は、エンドポイントが脆弱性を抱えているかどうかがわからなければ、それがいつ、あるいはいつ修正されるかわからないということです。それは、薬が対処してくれる症状が出たときのために、必要のない薬を毎日飲んでいるようなものです。第二に、パッチのインストールの中には、その内容が適用されない場合に失敗するものがあります。パッチが適用できなかったから失敗したのか、それとも他の理由で失敗したのか？さらに、パッチや設定の中には、適用できなくても適用できるものがあり、何かを壊す可能性があります。幸いなことに、パッチや関連性や適用可能性の条件は BigFix のコンテンツに組み込まれているため、必要な場所にのみパッチがインストールされることを保証します。

組織は、脆弱性評価と脆弱性修正のために異なるツールを使用する可能性がありますが、BigFix にこれら2つの機能を統合することで、企業全体の脆弱性管理を合理化し、ITセキュリティーチームと運用チームの両方の労力を削減することができます。

継続的な実施

脆弱性を特定して修復した後、組織はコンプライアンスを維持するために、その状態を維持することを保証しなければなりません。評価と修復プロセスを達成するために脆弱性のスキャンとレポートを繰り返す必要がある他のツールとは異なり、BigFix はエンフォースメントを統合しているため、エンドポイントが継続的にコンプライアンスを遵守することができます。

BigFix エージェントは、管理されているエンドポイントのバックグラウンドで継続的に実行され、パッチの状態や構成設定 ( CIS チェックリストに記載されているような設定) を分析します。設定が指定したものと異なる場合は、システム上の設定を指定した値に変更します。構成が設定されるかパッチが適用されると、BigFix はシステムを監視して、その構成項目の値が変わらないことを確認します。また、何らかの理由で設定が変更された場合は、BigFix がチェックリストで指定した設定に戻します。

BigFix コンプライアンスは、可視性、レスポンス、およびエンフォースメントを統合

市場には、1つ以上の関連するITプロセスをサポートするコンプライアンス管理製品が数多く存在します。BigFix は、可視性、対応、実施を提供する唯一のソリューションであり、継続的なコンプライアンスの特定、修正、維持を可能にします。BigFix は、環境に対する継続的な可視性を提供するソリューションであり、組織は脆弱性を発見するだけでなく、脆弱性に対応することができます。また、同様に重要なこととして、BigFix を使用することで、組織はどこにいても、すべてのエンドポイントで継続的なコンプライアンスを維持できます。

エンドポイントのパッチ適用とコンプライアンスの維持についての詳細は、www.BigFix.com をご覧ください。

(1) Jackson, W. (2011, August 16). NIST offers tips on security configuration management. Retrieved from Government Computer News: https://gcn.com/articles/2011/08/16/nist-configuration-security-rules.aspx

(2) Johnson, A., Dempsey, K., Ross, R., Gupta, S., & Bailey, D. (2011 (Updated 10-10-2019)). NIST Special Publication 800-128: Guide for Security-Focused Configuration Management of Information Systems. US Department of Commerce.

(3) Bragdon, B. (2020, April 1). Pandemic impact report: Security leaders weigh in. Retrieved from CSO: https://www.csoonline.com/article/3535195/pandemic-impact-report-security-leaders-weigh-in.html

2020/10/13 - 読み終える時間: 3 分

HCL AppScan's DAST Engine Enhancements Superpower Your Application Security Testing の翻訳版です。

HCL AppScan: DAST エンジンの機能強化により、アプリケーション・セキュリティー・テストを強力にサポート

2020年10月12日

著者: Billy Weber / Senior Product Manager, HCL AppScan

HCL AppScan は、ますます改善され良くなってきています。私たちは過去1年間、ダイナミック・アプリケーション・セキュリティ・テスト（DAST）技術に多大な投資を行い、過去 6 ヶ月間に 3 つの AppScan 製品のリリースを発表しました。このブログの目的は、HCL Software の主要な DAST エンジン機能アップデートのいくつかにスポットを当て、みなさまご自身でテストドライブできるようにすることです。

AppScan V10 アップデートのまとめ

2020年3月には、製品ラインが HCL ファミリーの一部となってから初めての AppScan のメジャーリリースを祝いました。

V10 リリースでの AppScan DAST のハイライトには、以下が含まれています。

• Test Optimization Slider - DevSecOps のさまざまなフェーズでより高速なスキャンを提供します。テスト最適化スライダ - DevSecOps のさまざまなフェーズでより高速なスキャンを提供します。テスト最適化スライダでは、4 つの最適化レベルで問題のカバレッジとスキャン速度のトレードオフを制御できます。

• インクリメンタルスキャン - アプリケーションの変更を識別してテストフェーズ中に送信されるテスト数を大幅に削減することで、より短いスキャンを提供します。

• 機械学習を使用した最適化されたアクションベースのエクスプローラ - 機械学習を利用してエクスプローラ段階の効率を向上させました。AppScan は、すでに発見されている部分につながる可能性の高いアクションを予測するため、それを回避できます。

• AppScan DNS を使用した帯域外の脆弱性 - AppScan の DNS 解決を使用して、OS Commanding、SSRF、XXE 攻撃など、テスト済みのアプリケーションでは直接検出できない脆弱性の検出が改善されました。

AppScan V10 のポートフォリオのアップデートは、Eitan Worcel 氏のブログに掲載されています。

AppScan V10 .0.1と V10 .0.2の機能強化

DAST の強化はそれだけではありません。HCL は、最新の Web アプリケーションをより良くサポートし、より包括的で正確な結果を提示するために、DAST エンジンのコア機能への大幅な投資を続けています。新しい DAST 機能のハイライトは以下の通りです。

新しいテスト機能と改善されたテスト機能

アプリケーションがより複雑になり、より頻繁なアップデートが必要になるにつれ、ユーザーからはテスト機能の拡張を求める声が上がっています。そのため、当社では一連の新しいテスト機能強化を導入し、より広い範囲をカバーし、新しいセキュリティルールを活用できるようにしました。

AppScan V10 .0.1 および V10 .0.2 のリリースにおけるテスト改善のアップデートには、以下のものが含まれています。

• アプリケーションの直接反映ではなく、アプリケーションの外部から観測可能な動作に依存する AppScan ドメインネームサーバー（A DNS）機能の拡張。A DNS についての詳細は、Shahar Sperling 氏の包括的なブログを参照してください。

• ブラインドXPATHインジェクションとブラインドLDAPインジェクションのための新しいテスト。

• マルチステップテストのための検証の強化。

• 拡張されたディレクトリ推測オプションにより、より広いテスト範囲を提供します。

• クロスサイトスクリプティング(XSS)アナライザーは、リファラーヘッダーをサポートするようになりました。

• 多くの新しいセキュリティルールが追加されました。詳細については、リリース情報を参照してください。

カバレッジの向上、精度の向上、結果の向上

ユーザーが必要としているのは、テスト機能の拡張だけではありません。実際、Ponemon Instituteの最近の報告書によると、米国企業のサイバーセキュリティ担当者は、受信したセキュリティ警告が誤っていたために、誤検知の追跡に約25%の時間を無駄にしていることがわかりました。もっと良い方法があるはずです。

私たちは、DAST スキャンエンジンが誤検出の割合が低いことを確認するために多くの努力を費やしています。また、新しいリリースを行うたびに、お客様からのフィードバックと社内でのテスト活動に基づいて、検出結果の精度を向上させています。

ユーザーに提示する結果のカバレッジと精度をさらに向上させるために、AppScan V10 .0.1と V10 .0.2には以下の改善点が盛り込まれています。

• AppScan V10 .0.1および V10 .0.2には、以下の改善点が盛り込まれています。当社ではAction-Based-Exploreの機能を継続的に強化しており、最近のリリースでは特にAngularアプリケーションのスキャンに関連した改善点に焦点を当て、自動カバレッジを向上させています。

• AppScan のエラーページの自動検出機能が大幅に改善されました。ほとんどのアプリケーションでは、アプリケーションエラーを示すためにカスタマイズされたエラーページを使用しています。エラーページが正しく識別されない場合、AppScan は脆弱性が見つかったと考え、偽陽性の結果になることがあります。エラーページの自動検出のための改良されたアルゴリズムにより、結果の精度が向上しています。

• 課題の統合機能の改善により、頻繁に発生する課題が統合され、結果として、よりコンパクトな結果セットが作成され、レビューと管理が可能になりました。例えば、単一のソース（サーバー構成など）を共有し、アプリケーションの複数の場所で発生するissueは、1つのissueに統合されますが、詳細はすべてバリアントとして表示されます。統合により、必要な重要な詳細を失うことなく、全体の課題数を減らすことができます。

統合機能

当社のお客様の多くは、複数の AppScan 製品を使用しています。例えば、大規模な組織のセキュリティ専門家は、AppScan Standardを使用してスキャン構成を作成し、それを後で開発者が AppScan Enterprise や AppScan on Cloudを使用してアプリケーションをスキャンする際に使用することがよくあります。開発者は、AppScan Enterprise または AppScan on Cloud からスキャンを AppScan Standard にダウンロードして、必要に応じて後から AppScan Standard に戻して、詳細なトリアージを行うことができます。これらのフローを簡素化するために、私たちは V10 で AppScan Connect 機能を導入し、次のリリースではさらに多くの機能を追加して改善しました。

AppScan を DevOps 環境に統合することで、組織はセキュリティテストを自動化することができます。これは通常、お客様が AppScan Enterpriseまたは AppScan on CloudのREST API を使用して実施します。当社では、お客様の自動化プロジェクトのニーズに対応できるよう、ほぼすべてのリリースでこれらの API の追加と改善を続けています。最近では、このプロセスをさらに容易にするために、Jenkinsプラグインを AppScan Enterprise に追加しました。

詳細はこちら

私たちの新機能のすべてをご自身でご覧になるには、今すぐデモをリクエストしてください。注意事項として、私のブログで紹介したすべてのアップデートを利用するには、HCL Software AppScan のライセンスが必要です。

2020/10/9 - 読み終える時間: 2 分

2020年10月8日開催の「HCL Notes/Domino 最新ライセンス体系ご紹介ウェビナー」にご参加いただきありがとうございました。リプレイならびに『Notes/Domino ライセンスガイド』はこちらにございます。

https://www.hcljapan.co.jp/software/license/hcl-notes-domino-license-guide/

当日ご回答しきれなかったものを含め、いただいたご質問と回答を掲載いたしますが、一部のご質問につきましてはビジネス・パートナー様向けの情報や、お客様固有の環境を前提とした内容などのため、こちらには掲載していないものもございます。別途弊社担当者よりご連絡するようにさせていただます。

Q: アニバーサリーデートの考え方はないということですか？ ライセンスの開始と終了の時期が契約ごとにずれることになりますか？

A: はい。HCL Software のライセンス契約では Passport Advantage のアニバーサリーデートに該当する仕組みは採用しておりません。また、最短の契約期間を12か月とさせていただいておりますので、複数の契約を異なる時期にいただいた場合、期間・終了日が異なることになります。アニバーサリーデートがありませんので、更新時に「月割り」でそろえる形はできませんが、12か月以上であれば月単位での契約が可能なことと「開始日」の指定をあわせて、追加のご契約をいただく際や、更新の際に調整いただく形となります。

Q: 現在 ILMT を利用していますが、ライセンス体系に関係なく停止してよいのでしょうか？

A: ILMT 自体は IBM ソフトウェアの管理のために IBM が提供しているものであり、HCL ソフトウェアを対象として提供されているものではありません。他に対象となる IBM ソフトウェアのご利用がなければ ILMT は不要です。 ただし、PVU 単位のライセンスの契約を継続いただいている場合、PVU数の管理自体は必要となります。『Notes/Domino ライセンスガイド』でご案内しているPVU管理の方法での管理をお願いします。 Notes Domino Complete Collaboration などの「ユーザー単位のみ」のライセンスで契約をいただいている場合は、PVU 数の管理も不要となります。

Q: Domino Designer (開発者)、Domino Administrator (管理者) のライセンスは必要ですか？

A: Notes/Domino のユーザーライセンスでは、「開発者」や「管理者」を分けておりませんので、ユーザーライセンスを保有いただいているユーザーであれば、Designer、Administrator は必要な方がご利用いただけます。開発者や管理者を別途カウントしていただく必要はありません。開発または管理のみを行う方がいた場合は、その方もユーザーライセンスをご利用いただく形になります。(Domino Designer を利用したローカルでの開発についてはユーザーライセンスも不要です)

Q: SafeLinx は Notes Domino Complete Collaboration で利用可能ですか？

A: 利用可能です。(ウェビナーの中ではすでに License Agreement の従プログラムに記載があるように回答してしまっておりますが、現時点では記載が更新されておりません。今後従プログラムに追加されます)

Q: Domino ドメインが分かれている場合、その単位で契約をする(分けて契約する)必要がありますか？

A: いいえ。お客様の社内で Domino 環境を複数のドメインに分けて運用をいただいている場合でも、ライセンス・S&Sのご契約は全数であっていれば問題ありません。

Q: Notes/Domino 9.0 のサポート終了予定はありますか？

A: Notes/Domino 9.0.x のサポート期間については IBM の当時に発表した「最短でも2021年9月末まではサポート」の方針は現時点で変更ありません。2021年9月末まで1年となりましたので、今後なんらかの追加のアナウンスを検討しておりますが、本日時点ではお伝えできる確定事項はまだありません。ただ、9.0.1 は2013年のリリースからすでに7年が経過しておりますので、サポート終了の有無にかかわらず、V11 へのバージョンアップをご検討いただけますようお願いいたします。

Q: 使用するクライアントの種類でライセンスは変わりますか？

A: Notes Domino Complete Collaboration をご利用いただくと、すべての種類のクライアントをご利用いただくことが可能です。また、クライアントの種類を限定したライセンスなどは提供しておりませんので、利用するクライアントの種類にかかわらず Notes Domino Complete Collaboration をご契約いただく形となります。

Q: 現在 Utility Server を使用していますが、今後どうなりますか？ Utility Server の後継ライセンスはいつ頃発表されますか？

A: 現在、Notes Domino Complete Collaboration ライセンスで可能な Web アクセス等の方法と、新しいライセンス(CCX : Complete Collaboration for External)についての基本的な方針を策定し、以下のブログ(英語)でご紹介を開始しております。 Licensing Update: Introducing CCX, External User Entitlements https://blog.hcltechsw.com/domino/licensing-update-introducing-ccx-external-user-entitlements/ 当ライセンスの正式なドキュメント(License Agreement)の公開と、日本語でのご案内の準備を進めておりますので、可能になり次第『Notes/Domino ライセンス・ガイド』を改訂し、HCL Software 日本語ブログなどでご案内いたします。

2020/10/9 - 読み終える時間: 2 分

Why Video is More Essential Now than Ever in the Digital Workplace の翻訳版です。

デジタルワークプレイスで動画がこれまで以上に重要になっている理由

2020年10月8日

著者: Dan Allen / Product Marketing Manager, HCL Digital Solutions

デジタルワークプレイスでリモートワークをするチームが増えている今、ニュースやコンテンツにすぐにアクセスできるようにすることは、企業にとっても従業員にとっても、これまで以上に重要なこととなっています。情報の消費と伝達の方法は劇的に変化しており、情報発信の手段としての動画の価値はさらに明らかになってきています。実際、調査によると、67%の人は視覚的に伝えられた情報をよりよく理解しており、若年層の従業員は同世代の従業員の2倍の確率で視覚的なコミュニケーションを好むことがわかっています。

従業員がコンテンツ配信にビデオを好むだけでなく、ビジュアルコンテンツはより簡単に吸収され、理解される可能性があります。そのため、重要なメッセージや情報を伝える必要がある場合には、ビデオが好まれるだけでなく、より効率的なのです。動画が、職場でも家庭でも私たちのコンテンツ消費習慣を完全に変えてしまったことは、驚くに値しません。

リモートワーカーの台頭

COVID-19 パンデミックが発生する以前から、リモートワーカーの数は過去 10年間で 159%増加していましたが、これは進行中のデジタルワークプレイスへの移行も一因となっています。COVID-19 の大流行はこの傾向を加速させ、企業にコミュニケーションの重要な課題をもたらしています。高度に分散した労働力を持つ企業にとって、オンデマンドのビデオコミュニケーションは非常に大きなメリットとなります。

最小限の対面で従業員の関心と生産性を維持することは、より困難になってきています。"社員の3分の1 (36%) が、全社的なコミュニケーション不足がモチベーションレベルに影響を与えていると答えています。長時間の企業メールは多くの従業員の興味をそぎ、読まれないままになっています。ビデオは多感覚的なエンゲージメントを提供し、同僚と同じ部屋にいるような感覚をより忠実に再現することができます。動画は、リモートワーカーのコミュニケーションギャップを埋めるのに役立ちます。

従業員の注意を引きつけ、維持する

"ハーバード・ビジネス・レビューによると、「会社の目標、戦略、戦術について十分な情報を得ていると報告している従業員は、わずか40%にすぎない」とのことです。何が起こっているのかを知らない従業員に、どうやってモチベーションと生産性を期待することができるのでしょうか？実際にどれだけの情報が消費され、理解されているのでしょうか？Forrester Research の調査によると、従業員はテキストを読むよりも動画を見た方が75％も多いという。ビデオが好まれる理由は、より人間的で個人的なタッチを提供するからです。

企業文化を構築したり、シフトしたりすることも大きな課題であり、特にデジタルワークプレイスに移行する際には重要な課題です。従業員のイントラネットは重要な要素であり、企業文化を促進するためには、オンデマンドビデオは戦略の重要な一部となるべきです。 従業員のオンボーディングやトレーニング、組織発表、チュートリアル、製品発表、ライブストリーミングイベントの録画など、動画は配信と情報の両面で一貫した体験を保証します。また、動画は視聴者に関する洞察を得る機会にもなります。また、視聴率やエンゲージメント指標は、プロセスの指針となり、従業員が最も注目し、価値を認めているコンテンツや情報のタイプに会社を誘導するのに役立ちます。

従業員に愛されるイントラネット体験

もともとイントラネット・ポータルは、ニュースや情報を共有するための社内ホームページであり、主に企業の掲示板でした。今では、真の対話を促進し、従業員のセルフサービスを促進し、eラーニングを提供し、ビジネスアプリケーションへのゲートウェイとして機能するために、現代のデジタルワークプレイスに不可欠な要素と考えられています。さらに、ビデオクイズや投票は、従業員の注意を引くのに役立ちます。

何かを素早く行う方法を学ぶ必要がある場合、あなたはどこに目を向けますか？もちろんYouTubeです。YouTubeには、どんな問題にも簡単に対処できるハウツービデオの信じられないほどのライブラリがあるからです。従業員のイントラネットポータルは、ポータルサービスやアプリケーションへのビデオベースのガイドを利用して、同じアプローチを採用する必要があります。このアプローチは、新入社員の学習曲線を短縮し、セルフサービス文化を促進します。

従業員に権限を与え、コストを節約する

教室でのトレーニングではなく、eラーニングのビデオを使用することで、トレーナーの費用、出張費、出張時間を削減することができ、従業員に柔軟なスケジューリングを提供することができます。

従業員セルフサービス（ESS）ポータルは、管理費を削減すると同時に、個人情報をより最新の状態に保つことができます。新入社員の入社手続きのスピードアップから、休暇の申請、新入社員の福利厚生の展開まで、ESS は従業員のエンパワーメントと満足度を高めるための効果的なツールとなります。福利厚生パッケージの説明やハウツーガイドを提供するオンデマンドビデオを組み込むことは、セルフサービスポータルを成功させるために非常に重要です。また、従業員がビデオを作成、アップロード、編集できるようにすることで、従業員のエンゲージメントを高め、より強い所有感を生み出すことができます。

デジタルワークプレイスの課題に対応する

デジタルワークプレイスの計画は、ビジネスの目標に沿ったものでなければならず、生産性とコラボレーションに焦点を当てた環境とワークツールを従業員に提供しなければなりません。高いパフォーマンスを発揮する従業員を生み出すことは、戦略の核心であるべきです。高いパフォーマンスを発揮する従業員をサポートするためには、コミュニケーションを合理化し、ビジネスアプリケーションを提供し、文化的変化を促進するための従業員イントラネットポータルが必要です。

イントラネットポータルからアクセスできるビデオライブラリを構築し、デジタルトランスフォーメーションのサポートとスピードアップに役立てましょう。社内の専門家を活用して見識を共有したり、経営陣に会社の発表や目標、成功事例を共有する場を提供したりすることができます。動画は、デジタルトランスフォーメーションをサポートするために必要不可欠なものから、必須のものへと変化しました。

2020年10月27日に開催される Kaltura 社とのウェビナーに参加して、オンデマンドビデオの詳細をご確認ください。

ウェビナーに登録