不測の事態からビジネスの崩壊を防げ!(1/2 ページ)
100%の復旧を保証することは不可能だが、適切な計画を策定し、ステップを踏んでいけば、インフラ障害から迅速な回復を可能にすることができる。
災害復旧(ディザスタリカバリ)の問題が、IT管理者にのしかかっている。ビジネスにおける予想外のダウンタイムを引き起こす出来事が続いているためだ。自然災害や紛争など、セキュリティに対する侵害や攻撃が続いていることから、企業はその種類や規模にかかわらず、堅牢なITの災害復旧計画を備えた事業継続のための包括的な計画(Business Continuity Plan:BCP)の策定や改善を迫られている。
災害復旧計画に必要なもの
では、災害復旧計画に必要なものとは何だろうか? バックアップのポリシーか、リカバリのスクリプトか、あるいはセキュリティ上の侵害をエスカレーションするための手続きだろうか。
効果的な災害復旧計画とは、技術的な保護やリカバリを行うだけでなく、より広範な事業継続計画の一部として、人とプロセス、手続きなどが含まれる。そして、これらを確実に処理するものである。災害が発生しても、企業の存在に不可欠な過去のトランザクション記録を保護しつつ、エンドユーザーが企業リスクを管理し、潜在的な危機に対処し、新しいビジネス上のトランザクションを完了する能力を提供するものなのだ。
これらを行うのは、ほとんどの企業にとって困難なことである。データを保護し、安全に守るという、第一段階だけでも実行しようというIT管理者は多いが、理想とされる時間内に重要なビジネス上のプロセスを完全に復旧できるほど、準備を行っているものは少ない。Applied Researchが行った調査では、500人のIT管理者のうち、70%がデータのバックアップや複製、リカバリの準備をしていると回答した。しかし、十分な災害復旧計画を策定しているIT管理者は54%強にすぎなかった。
アプリケーションやエンドユーザーの復旧を行わずにデータだけ復旧するというのは、楽譜だけ用意して、交響曲を演奏するのに必要な楽器や演奏家、コンサートホール、指揮者をそろえないようなものである。それでは仕事を最後まで行うことなどできないのだ。
Infonetics Researchによると、大企業は予想外のネットワークのダウンタイムにより、年間売上を最大で16%を失っているという。では、災害や事件、危機への対応計画を策定するにあたり、IT部門が検討すべきことは何なのだろうか。
この質問で、計画の必要性をマネジャーに分からせる
Applied Researchの調査における回答者の約3分の1は、災害復旧計画の必要性を感じていないとしている。まずは経営陣のレベルに限らず、IT管理者のレベルにおいても、ニーズを認識し、それについてコミュニケーションを行うことが重要である。マネジャーが効果的な災害復旧計画の必要性について理解と意思疎通を深めるには、以下の質問が役に立つかもしれない。
- セキュリティ攻撃やITシステムの停止が続いた場合、顧客やパートナー企業、自社に重大な影響が生じるまで、どれだけ長く持ちこたえられるか
- アクセス権限を持つすべての人に情報が提供できる状態にあるか。また、それ以外の人々から情報が保護されているか
- 内外の脅威から情報を確実に保護できる適切なポリシーが適用されているか。緊急事態の発生後、情報はきちんと回復されるか
- バックアップされたデータは、規制上の要件を満たすようアーカイブされ、簡単にアクセスすることができるか。不要な情報は安全かつ完全に削除されているか
- 情報に対して正式な更新プロセスが適用されているか。オフサイトに長期保管されることの多いデータでも、完全性が保たれ、技術の更新やアップグレードが行われた後にも利用できることが確認されているか
- 購入したアプリケーションの在庫管理が定期的に行われ、ライセンス番号や最新バージョン、使用されているバージョン、所有しているコピーの追跡がなされているか。また、修復時の優先順位は定められているか
- アプリケーションの優先順位が認識され、関係者の間で合意がとれているか。アプリケーション間に存在する相互依存関係や、ビジネスプロセスの間に存在する相互依存関係は理解されているか。これらの関係は文書化され、関係者の間で合意がとれているか
- 最新の脆弱性や脅威に対しても、セキュリティと可用性の状態を改善することができるか
- 自社ネットワークの全体あるいは一部がダウンするような緊急事態が発生した場合、通常状態まで復帰するのに要する時間はどれくらいか
- 業務を継続するため、ビジネスプロセスを素早く、スムーズに再開するための準備ができているか
- 欠陥をなくし、監査や可視性の面で滞りなく動作することを証明するテストが行われているか
- サービスレベルを満たすのに必要なビジネス上のニーズを真に理解し、適切な投資を行っているか。期待と実際の能力、リスク許容性などのギャップは埋められているか
IT管理者は、想定事例を準備し、経営陣と連携の上、災害復旧計画の策定と実施に必要なリソースを手に入れるべきである。また、現行の管理をテスト・変更する場合でも、経営陣と連携の上、継続していくべきである。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。