ITサービス継続性管理――災害対策を講じているか？：初心者歓迎！ ITIL連載講座（2/3 ページ）

[谷誠之，ITmedia]

ITサービス継続性管理の活動

　ITSCMの活動は、図1の通りである。全体としては4つの段階に分かれている。

図1：ITサービス継続性管理の活動

1.開始

　最初に全員がITSCMの必要性や重要性を認識するよう組織としてのポリシーを明確にし、全員に周知するところから始まる。また、ITSCMの責任範疇や適用範囲を明確にし、メンバーの確保と役割の決定、予算の確保といった作業を行う。ITSCMは、最初の段階ではプロジェクトとして立ち上げる。そして一連の導入が完了した段階で、継続した改善を行うための日々のプロセスに変化する。

2.要件と戦略

　次に、災害など考えられるリスクを想定し、その災害が発生した場合にビジネスに与えるインパクトを明確にして評価する。どのようなリスクがあるのか、そのリスクが顕在化したらどのようなビジネス上の損失があるのか、リスクに対してどのように対応するのか、ということを考える段階である。

　ビジネスに対するインパクトは、売上げの損失、資産喪失や修理に関する損失、マーケットシェアの損失、社会的信用の損失などについて考える。リスクを評価するには前回紹介したCRAMMなどの方法を用いる。これは「資産」「脅威」「脆弱性」の3つの観点で考えると分かりやすい。例えば本社ビル内の顧客データという「資産」に対して「本社ビルの近所にある川が大雨で決壊してビルが浸水し、顧客データを失う」という脅威があり「堤防や耐水対策などの措置をとっていない」という脆弱性を持っているのであれば、それはリスクである。資産価値の高いものに対して大きな脅威があり、脆弱性が高い場合は「リスクが高い」といえる。

3.導入

　ITSCMを実施するための組織を設立したり、リスクの高さにあわせてさまざまな対策を導入したりする段階である。また、対策を実施するメンバーは全員がITに詳しい人間であるとは限らない。手順を自動化できない部分は必ずその手順を文書化して安全な場所に保管し、校正管理データベース（CMDB）内に一つのCIとして登録しておくことが望ましい（災害が発生したときにその手順が参照できないのでは何にもならない）。

4.運用管理

　導入が完了すると、ITSCMを通常業務の一環として継続して活動する必要がでてくる。防災訓練と同様、ITSCMの復旧計画は定期的にテストされなければならないし、その復旧計画が適切であるかどうか、ビジネスの変化に対応できているかどうか定期的にレビューされる必要がある。また、ビジネスの変化に伴ってITサービスそのものが変化していたり、CIが変更されたりした場合は、復旧手順も変更管理に基づいて変更する必要がある。

　ちなみにITILでは「教育」と「トレーニング」を違う意味で使っている。ここでいう教育とは、ITSCMの意義や役割を関係するすべてのメンバーに理解させ、それが重要なプロセスであるという認識を周知徹底する活動のことである。またトレーニングとは、災害時の復旧計画に備えてメンバーの活動能力を高めることである。