いま見直したい、事業継続10のチェックポイント:特別企画 貴社の事業基盤は“万全”ですか?(2/2 ページ)
万一の対策は、訓練と継続的改善が大切
事業継続チェックポイント その6
バックアップは適切か?
情報システムに関する災害対策の基本は、バックアップである。中でも特に重要なのが「データ」だ。OSやアプリケーションは(かなり面倒だが)再インストールが可能だが、データは失われると取り返しがつかない。
情報システム部門では日常的にバックアップ業務を行っているはずだが、基本的にはハードディスククラッシュなどを前提にしたものだろう。災害対策としてはバックアップ担当者(リストア担当者でもある)が出社できない、リストア環境も被災したといった状況を想定しておく。また、バックアップデータをシステムと同じ場所で保管していると、大規模災害では同時に壊滅的な打撃を受けるリスクがあるので遠隔地保管を検討する。また、バックアップの頻度は、復旧時間目標(RTO)/復旧時点目標(RPO)に直結するので、そうした観点からも検討する。
RTO、すなわちダウンタイム短縮の方法にリアルタイム・レプリケーションがある。最近ではオンラインでバックアップやレプリケーションを行うソリューションが安く使えるようになっている。仮想化技術やクラウドコンピューティングも災害対策技術として注目を集めているやクラウドコンピューティングも災害対策技術として注目を集めている。これらをうまく活用すれば、従来型のバックアップの手間も同時に軽減できるかもしれない。
事業継続チェックポイント その7
一般的な防災策を行っているか?
バックアップを取っているから、ハードウェアは壊れてもいい??とはいえない。一般的な防災対策もできる限り行っていきたい。
地震対策としてはコンピュータに限った話ではないが、機器が固定されているかどうかをチェックしよう。ラックマウント・サーバはラックにネジ止めするために固定されていると思われがちだが、ラック自体が床に固定してあるかを確認しておきたい。二重床の場合は上床ではなく、ビルの床にしっかりと固定する必要がある。直接固定する以外に、床とラックの間に置く免震装置(免震台)を使う手もある。タワー型サーバなどは、PCグリップや機器固定ベルトを使って固定する。
サーバルームが低い階にある場合、洪水やゲリラ豪雨で水没する危険性がある。階を移動できるか検討したい。落雷のリスクを考えた場合、サージ電流を減衰するタップの導入を検討する。
前述したUPSは数年で寿命を迎える。サーバ導入時にサービスで付いてきたがあとはメンテナンスをしていないということも多いのではないだろうか。これらも含めて、定期点検を行う仕組みを考えていくと良いだろう。
事業継続チェックポイント その8
実地トレーニングを行っているか?
緊急時対策は計画だけでなく、各項目で実地の訓練が必要だ。緊急時にマニュアルを読んでいる時間はないし、ぶっつけ本番でうまくいくはずもない。
よく指摘されるのが、バックアップデータのリストアだ。システムのバックアップは日常業務として行われているが、リストアは通常行う作業でないので、実際に行うことができるかどうか、年に1度ぐらいやってみることが必要だろう。特に差分バックアップが多い場合には、リストア手順が複雑になるので、ぜひ検討してほしい。
システムのシャットダウンにも正しい手順というものがある。緊急時に、きちんとシステムを終了できるように担当者と権限の分担を考えておき、実地訓練を行っておきたい。
事業継続チェックポイント その9
オフィスが被災しても業務継続できるか?
オフィスが被災して使えない、交通機関が止まっていて社員が出社できない、パンデミックで出社がはばかられる??というとき、ITばかりが復旧してもしかたがない。復旧計画は、業務部門や外部プロバイダの復旧状況を把握したうえで立案・実施すべきだろう。
逆にオフィスが利用不能という状況に対して、ITが貢献できる分野がある。テレワーク??在宅勤務だ。むろん、すべての業種・職種に適用できるわけではないが、電子メール、グループウェア、チャット、電子会議室、共有フォルダなどを利用して、オフィスワークを継続する方法を模索するというのも情報システム部門の役割の1つだろう。
事業継続チェックポイント その10
BCMは経営課題として取り組まれているか?
よく語られることだが、BCP/BCM(事業継続管理)は経営課題である。経営企画室や総務、情報システム部門、あるいは情報システム子会社に任せっきりという例も見られるが、それでは実効性は期待できない。トップが主導し、予算化し、毎年見直すことが必要だ。
よく見られるバッドケースが、BCPを作ったもののその後は忘れ去られ、ほとんどの社員が存在さえ知らないというパターンだ。これだと、最初の作った分だけ、何もしないよりも悪いかもしれない。こうしないためにも定期的・強制的に見直しのタイミングを設けることが重要だ。理想をいえば、できるだけ多くの社員も巻き込んでいきたい。
経営も、業務プロセスも、そしてITシステムも“生き物”であり、常に変化している。昨年決定した重要業務が今年はそれほどでもなくなっているかもしれない。技術革新により、よりよいソリューションが登場しているかもしれない。BCMとはBCPを常に見直す活動であり、継続的改善を意味する。単発的なBCPではなく、継続的なBCMが大切なのである。
いかがだっただろうか。あなたの会社の事業継続を強化するうえで、1つの参考にしていただければ幸いである。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。