ILMあるいはDLM(Data Lifecycle Management)など表現の違いは多少あるものの、関心や興味、期待はユーザーやIT業界全体に高まり、広まってきた。
しかし、ILMは基本的なコンセプトであり、すべてのアプリケーションデータにすぐに適用できる単一のソリューションではなく、主には最も大きいデータの伸びを示している電子メールやファイルサーバ、動画像やドキュメントなどの固定コンテンツといった保存あるいは共有中心のデータ、およびデータ保護が主な対象である。
しかしながら、保存データには財務データ、大容量化する電子メール、「個人情報保護法」にかかわる個人データなど、機密性や完全性など特別な保存方法まで求められるものがある。これらは、直接的にビジネスの拡大に貢献するものではないが、いいかげんな管理をして、例えば個人情報を外部に流出させたりした場合、企業の社会的、刑事的責任を問われることになりかねず、ビジネスそのものにも大きなダメージを与えかねないため、きちんとしたリスク対策が重要である。
一般に、日本版SOX法と呼ばれる企業コンプライアンスにかかわる法規制の施行に伴い、ITシステム上の企業情報資産についても、求められる機能と管理運用に関する指針が示され、企業は情報の長期間の保持・保存・管理などに対し、より厳密性が求められている。
具体的には、下記の「工業標準の制定・日本工業規格の改正に関する説明資料」をぜひ参照していただきたい。特に、ITによる情報通信システム環境では、リスクマネジメント、脅威の例とセーフガード(リスク対応のための慣行、手順または仕組み)など、より実践に近い紹介がされているので必読である。
上述の規格はIT以外の情報もその対象としているが、昨今のITシステム化の流れとネットワークの発展、ITネットワーク利用者がますます増大していく中で、ITシステム上の情報が脅威にさらされる危険性とその影響の大きさも高まるばかりだ。従って、情報セキュリティ対策は、企業にとって重要課題の1つといえる。
情報セキュリティとは、情報の「機密性」「完全性」および「可用性」を維持することである。ここからは、ITシステムにおける「機密性」「完全性」「可用性」について、技術面でのリスク対策について紹介する。
主なリスク対策例:
●機密性
情報に対するアクセスについて制御されていること(情報に対するアクセス可能な部署、人、場所などが明確になっていること、そして実行されていること)。データが盗難、紛失しないように管理されていること(直接人手に渡ってしまったり、破壊されたりしないように保存・保管がされていること)。
例えば、「ID管理システム(ファイルに対するアクセス可能な人やプログラムなどを登録制御するシステム)」「自動テープライブラリーによる自動化」「データの暗号化」など
●完全性
一度書き込んだデータを上書きや消去できないようにする。データそのものの改ざんがないことを保証する記録などが取られていること。
例えば、「システム、アクセスログ(稼働、更新記録)管理」「WORM(Write-Once-Read-Many)テクノロジカートリッジテープ」など
●可用性
データを必要に応じて利用できるように運用されていること。ハードウェアやソフトウェアあるいは人的、自然災害など多岐にわたる状況に対してリスクを想定し、データを復元できるように考慮されていること。
データ復元に備えたリスク対策 |
|
事態 |
有効な対策 |
A.ディスクやテープなどのメディア障害、故障 | 故障 ミラーリング、ニ重コピーや冗長化、世代保管(プログラムの修正と正しい過去データでの再処理) |
B.プログラムミスによる誤データ | 世代保管 |
C.盗難や紛失 | 盗難防止、無人/自動化、世代保管、複製、暗号化 |
D.オペレーションミスによる破壊 | 盗難防止、無人/自動化、世代保管、複製 |
E.改ざん | 複製、世代保管、改ざん不可技術 |
F.災害 | 災害、遠隔コピー/保管 |
もちろん、こうしたリスク対策には投資が必要となるが、その投資をより有効にそして長期的な視点で検討し、その際には物理的な統合化と論理的な分離、そして増加に備えた拡張性や技術面の進化への容易な対応(新技術を取り入れたり、容易な移行)が行えるようなストレージ基盤の構築を考えるべきである。
特に、拡張性と新技術への移行性は最も重要視すべきと考える。なぜならこれらのデータは、減ることなく増加し続けるものであり、予測以上に増加する可能性も高い。
データ増に伴って性能面での増強も必要となり、後に物理的な製品寿命などによりデータ移行を行う必要性も必ずやって来るからである。作り直しのできない増加するデータをいかにして長期的に安全に確実に維持し続けるか、一時的な価格や性能だけではなく、幅広い拡張性、将来性を考慮した構築をを考えるべきである。
Copyright © ITmedia, Inc. All Rights Reserved.