中小企業におけるIT災害対策を考える《中小企業応援リレーコラム vol.33》
がんばる中小企業応援リレーコラム
『危機に立ち向かえ!中小企業』~ピンチをチャンスに変えるために~
第5回 「中小企業におけるIT災害対策を考える」
中小企業診断士/ITコーディネータ 町田 行雄
(PDFでお読みになりたい方はこちら)
今月のリレーコラムを担当致します町田行雄です。区の経営相談やIT関連の戦略策定・利活用支援などを行っております。
昨年3月11日14時46分、私は某市役所の会議室入口で15時から開始される月例システム運用会議に臨もうとしていました。まさにその時、今まで体験したことの無い激しい揺れに身動きも出来ずその場にうずくまりました。
幸いにも被害は受けず無事でした。市役所のサーバー類も1月に庁舎内から別所のデーターセンターに移設し、新システムの運用が行われていました。このため地震による被害も無く、通常通りのサービスを継続できました。
ディザスタリカバリ
ITは企業の経営基盤として欠かせない存在で、システム障害などのトラブルが企業経営に重大な影響を与えることもあります。震災や電力不足に伴う計画停電を契機に、事業継続計画(BCP)の見直しや関心が高まり、BCPを確立する取り組みの一環としてディザスタリカバリ(DR:Disaster Recovery)がいっそう重要性を増しています。
ディザスタリカバリとは、被害を受けたシステムの回復措置、あるいは被害を最小限に抑えるための予防措置のことです。"システムを災害から守る"だけでなく、種々の障害は必ず起こりえるものと想定し、いかに効率よく迅速に復旧するかという考え方から災害対策を講じて、システム停止による利益の損失を最小限に抑える事を目的とします。
システム規模や特性及び想定できる被害状況から、回復には相応の費用が発生しますし、将来の災害に対してどの様に対応するかは非常に難しい課題です。
ITサービス継続ガイドライン
経済産業省が公表している「事業継続計画策定ガイドライン」では、ディザスタリカバリを想定するケーススタディとして、「大規模なシステム障害への対応」、「セキュリティインシデントへの対応」、「情報漏えい、データ改ざんへの対応」が例示されています。従来、この様な対応は大企業中心でしたが、今日では企業規模の大小を問わず、IT利用が進んでおり、事業継続計画を含めて何らかの対策を考える必要があります。
これらの状況を踏まえて「事業継続計画策定ガイドライン」のITに関する部分について、企業をはじめとするユーザ組織を念頭にした実施策等を具体化するものとして策定された「ITサービス継続ガイドライン」が公表されています。当ガイドラインでは、組織におけるITサービスの企画、開発、調達、導入、運用、保守などに携わる部門や担当者が、事業継続マネジメント(BCM: Business Continuity Management)に必要なITサービス継続を確実にするための枠組みと具体的な実施策が示されています。「ITサービス継続ガイドライン」は下記からダウンロードが出来ます。
経済産業省サイト:
http://www.meti.go.jp/press/20080903001/02_it_gl.pdf
ITサービス継続とは
事業継続の一部で災害、事故等の発生に際しITサービスの中断・停止による事業継続に与える影響をサービスレベルに応じて最適化するための取り組みです。ITサービス継続は組織が使用しているITサービスを洗い出す事から始めます。洗い出したITサービスの提供範囲やサービスレベルを明確にします。どのITサービスがどの業務に大きな影響を与えるかを事前に調査しておく必要があります。また、これにはITサービスが依存している基盤となる共通サービス(ネットワーク、電源・空調設備等)も含んで確認しておきます。
次にITサービス継続に対するリスクを発生頻度と影響を考慮して想定します。以下にリスクの想定リスクと被害の例を示します。
ITサービス継続の検討事項
ITサービス継続ために事前に検討しておく事項を以下に示します。
- 緊急時の対策本部体制
- 緊急時の連絡体制、連絡方法
- 安否確認方法
- 緊急時初期対応手順
- 業務影響を考慮したITシステムの復旧優先度・依存度
- 重要システムの災害対策
- 代替機などの手配手順代替要員手配手順
- ITシステム復旧手順
IT災害対策の目標設定
ITサービスの中断・停止につながる障害の復旧対策を考えるには、目標の設定が必要です。ITサービス継続で最も優先する目標は業務の復旧時間です。
災害等が発生した場合を想定し、該当業務の復旧を何時までに行わなければいけないのか?(目標復旧時間 RTO:Recovery Time Objective)、どのレベルまで復旧していないと業務が再開できないのか?(目標復旧レベル RLO:Recovery Level Objective)、また復旧すべきデータが何時の時点でなければいけないのか?(目標復旧ポイント RPO:Recovery Point Objective)を設定します。
目標復旧時間(RTO)が短いほど、目標復旧レベル(RLO)が高いほど、目標復旧ポイント(RPO)が短いほど、それらの対策に必要な費用は高額になっていきます。設定した目標に合わせた対策と適切な投資を行い実効性のあるITサービス継続計画を策定することが必要です。
ITサービス継続計画
ITサービスの適切な継続のためのITサービス継続計画として下記を作成します。
- 事前対策計画:ITサービスの中断・停止を避ける、または中断・停止した際に被害を最小限に抑える対策
- 事後対策計画:緊急事態が発生したときに、復旧までの手順をまとめて被害を最小限に抑える対策
ITサービス継続対策
ITサービス継続を支援する様々な方法や設備、サービスがありますが、ここでは紙面の関係もあり最低限必要でITサービス継続で必須であるデータバックアップについて述べます。
企業規模の大小に関わらず事業継続に必要不可欠な重要データは必ず存在します。今やパソコン(PC)の無い企業は皆無と言っても過言ではありません。例え1台のPCしかなくとも顧客や売上、経費等の事業を継続するためのデータは存在しているはずです。前述したIT災害対策の目標復旧時間(RTO)等を基準に検討を行います。頻繁に更新される重要なデータであれば目標復旧ポイント(RPO)を小さくするため可能な限り定期的なバックアップの実施も必要でしょう。
バックアップを行うにはデータを保存する記録媒体や保管場所が必要です。遠隔地の専用保管場所が理想的ですが、移動手段や移動時間、費用を考えると中小企業では実施が困難でしょう。中小企業の場合はデータ量や費用の観点から無料のクラウドサービスの利用も考えられます。バックアップの保管先として利用できる無料クラウドストレージサービスを以下に示します。
| サービス名 | 容量 | URL |
|---|---|---|
| NAVER Nドライブ | 30GB | http://ndrive.naver.jp/ |
| quanp | 1GB | http://www.quanp.com/ |
| Dropbox | 2GB | https://www.dropbox.com/ |
このようなクラウドサービスへバックアップデータを保管する場合は以下の事項を考慮しましょう。
- 情報漏洩に備えて暗号化とパスワード保護する
- データ復旧時に必要な復号化、パスワードを忘れないこと
- クラウドサービスの中止を想定し複数の保存先を考慮する
- 保存するデータ形式や件数を明確にしておく
- 可能ならばCSV(カンマ区切り)等の共通形式で保存する
ITサービス継続対策の監査
ITサービス継続の事前対策計画の適切な運用と事後対応計画の整備・テスト・訓練が確実になされているか定期的にチェックして客観的な評価を実施します。「ITサービス継続ガイドライン」では下記について言及されています。
- リスク評価に基づき策定されているか
- リスクに対応して統制、提言するものとなっているか
- 事前対策計画は適切に整備運用されているか
- 事後対応計画は適切に整備され、実施可能なものとしてテスト・訓練が行われているか
- 外部委託先についても整備、運用が講じられているか。
最後に
震災後に「想定外」を耳にする事が多く有りました。ITサービス継続計画への投資は、業績や生産性向上には直接的には寄与しないため優先的に取り組む事が少ないようです。しかし、ITサービス継続のためには「想定外」を含めて現状を知る事が重要では無いでしょうか?
これを機会にITサービス継続計画の必要性を感じて頂ければと思います。
コメントする