では、法規定を順守するためには、具体的にデータはどのように管理されていればよいのだろうか?
最初のステップとなるのは、企業がデータをどのように管理していくか「データ管理ポリシー」を明確にすることである。企業がコンプライアンスを宣言するためには、明確なポリシーが策定され、それに基づく運用がなされていなければならない。そうしなければ、コンプライアンスの判断自体ができないからだ。ポリシーを策定する際には、次の5項目を念頭にしておくといいだろう。
1.情報が完全に保管、保護されている
2.情報の所在が明らかになっており、容易に検索可能である
3.情報が不用意に消失しない
4.情報には適切な権限も持つ人以外は、許可なくアクセスできない
5.情報は許可なく変更できない
上記の項目を見てみると、「データは単にバックアップされていればいい」という意味ではないことが理解できるだろう。コンプライアンス対応を目標としたデータ管理では、データ保存期間以外にも、データへのアクセス権や、改ざん/改変の防止、さらには保存期間終了後の確実な消去について、厳格に管理されている必要がある。
次のステップとしては、データ自身をこの要件を満たせるストレージシステムに移動し、アーカイビング製品を利用して適切に管理するということになる。例えば、情報の改ざん/改変を防止する機能として、WORM(Write Once Read Many)機能を持つストレージシステムを利用するなどだ。
既にWORM機能を持つストレージシステムは、米EMC、米NetApp、富士通などといったストレージベンダーからリリースされている。WORM機能を使用することで、ストレージに1度保存されたデータは参照できるが、変更や削除といった操作に制限をかけて、不正を防止できるようになる。データの元本性、信ぴょう性が確保できるというわけだ。
とはいえ、バックアップ作業だけでも大きな負荷となっているIT管理者に「さらに別のストレージに保管しろ」という要求は容易に受け入れられるものではない。現在、データ管理の主流となっているバックアップ製品を使って、コンプライアンスに対応するデータの管理を行うことはできないのだろうか?
現在、データや文書を管理するシステムは、大きく3つに分類できる。1つは従来のデータ保管を目的とするバックアップ製品で、2つ目は、主に文書データの作成から削除までを管理するドキュメント管理製品である。加えて、長期のデータ管理を目的としたアーカイブ製品の3種類である。それぞれ、開発の基本となるコンセプトが異なるため、細かな機能や対応するハードウェアも異なっている。しかし、この異なる3つのアプローチを知ることがコンプライアンス目的でデータ管理を行う場合に重要になってくる。
■ソリューション別の主な特徴と機能
バックアップ | ドキュメント管理 | アーカイビング | |
---|---|---|---|
主目的 | 短長期のデータ保管 | データの作成から削除までの管理 | 長期のデータ管理 |
データへのアクセス者 | 管理者、バックアップ担当者 | 権限を持つユーザー、管理者 | 権限を持つユーザー、管理者、コンプライアンス担当者 |
自動でのアーカイブ(バックアップ)処理 | 可能 | N/A | 可能(構成による) |
アーカイブ処理対象の選択(企業の管理ポリシーに基づく) | 不可 | N/A | 可能 |
ユーザー、管理者による ストレージからのデータの取り出し | 不可 | 高速な検索は可能。 | 可能 |
データの高速・容易な検索 | 不可 | 可能 | 可能 |
データ消去対象の選択(保存期間終了後) | 不可 | 可能(製品により異なる) | 可能(製品により異なる) |
情報の改変の制御 | 可能 | 可能(製品により異なる) | 可能 |
検索など他のアプリケーションとの連携 | 不可 | 可能 | 可能 |
この表を見ても分かるとおり、コンプライアンスで求められるデータ管理の機能は、バックアップ製品では十分に対応ができないのが現状だ。例えば、コンプライアンスで必要となるデータの高速な検索や保存期間など、企業独自のポリシーに準じたデータ保存は、バックアップ製品では対応できない。また、重複するファイルの保存を抑制し、ストレージの使用容量を効率化するような機能は専用のアーカイブ製品を利用するしかないことが分かる。残念ながら、純粋なバックアップ製品はコンプライアンス用途では対応しきれないとうことになる。
今後は、アーカイブとバックアップを効果的に組み合わせることがデータ管理の主流となっていくはずだ。例えば、事業継続計画を主眼にした対応では、システムのリカバリや災害時の対策、オフサイトでのメディアの管理が可能なバックアップ製品が有効になる。特にリカバリ専用のオプション製品または専用製品は費用対効果にも優れる。一方で、コンプライアンスを考慮する場合なら、バックアップ製品だけでは不十分であり、専用のアーカイブ製品が必要となる。
バックアップとアーカイブ――これからのIT管理者にとって、この2つの適材適所な使い分けが重要になってくるのは間違いない。
Copyright © ITmedia, Inc. All Rights Reserved.