こんにちは、BackStore チームです。
9月に入り、幾分暑さも和らいできましたが、まだまだ日向は辛いものがあります。
さて今回は【データに関する BCP 対策】についてお話しします。
データに関する BCP 対策について、特に考えるべきは下記3つの項目です。
- バックアップ対象
- バックアップ先
- 復元の方法と所要時間
前回記載した通り、「BCP 対策」が含む範囲は非常に広いですが、データに限って言えば、考慮すべきは上記3つのみといっても過言ではありません。
その1. バックアップ対象について
会社のデータが全て消えてしまったと想定してみてください。
どのデータを復元できれば、業務を再開できるでしょうか。
会社によっては全てのデータがなくてはいけないかもしれないですし、あるいは一部の顧客データがあれば復元できるかもしれません。
ちなみに意外と見落としがちなのが、パソコンに残っているデータです。
ファイルサーバにデータを集約するポリシーにしていたのに、実際重要なデータはパソコンに入っていた、ということは往々にしてあります。
その2. バックアップ先
最低限「社外」に取ることが必須です。
次に「都道府県外」、さらに「堅牢なデータセンター」へ取ることが重要です。
「社外」へのバックアップのお話をすると、「ビルが倒壊するほどの地震があったら、業務継続どころじゃない」と答える会社様が多い印象です。
ですが、社内のデータが失われるために、ビルが倒壊する必要はありません。社内機器を取り巻く危険は、想定されるだけでも下記の5つがあります。
- NAS などハード機器は揺れに弱いため、適切な処置をしないと大きな揺れで故障の可能性
- スプリンクラーによる機器故障の可能性
- 台風などによる浸水
- 土砂災害
- パンデミックやテロにより長期間出社できない
なお、ランサムウェアの場合、外付け HDD や同一ネットワーク上のサーバも暗号化の対象となります。クラウドかバックアップアプライアンスサーバへのバックアップが必須になります。
次に「都道府県外」「堅牢なデータセンター」ですが、どちらも大規模災害のための処置です。
距離と通信速度はある程度比例するので、バックアップ先は近くにあった方が日々の復元やバックアップには便利です。また、障害などにもベンダーがすぐ対応してくれます。
ですが、大規模な災害に襲われた場合、堅牢なデータセンターであっても、例えばサーバのケーブルが外れるなどの危険が0ではありません。
そのため、最低限「社外」にバックアップすることは必須ですが、事業継続計画をさらに確実なものにするため、「都道府県外」の「堅牢なデータセンター」にバックアップすることが重要です。
その3. 復元の方法と所要時間
「復元」は意外と見落としがちですが、このためにこそバックアップは存在しています。
毎日毎時間バックアップを取っていたとしても、この復元が果たせなければ、意味はありません。
復元について、特に重要なのは下記です。
- 誰が復元をするのか?
- どのくらい時間がかかるのか?
- 必要な機器や回線などはあるか?限定的ではないか?
- どこへ復元できるのか?
上記に最適な答えは会社によって異なります。
「誰が復元をするのか?」に関しては、担当者が出社できない、連絡が取れない場合を想定して複数人設定しておくことが望ましいです。
同時に、セキュリティのため、会社のデータにアクセスできる人間を限定したいというニーズもあるでしょう。この2つのバランスを柔軟に取れるようなサービスを選定することが大切です。
また、「どのくらい時間がかかるのか?」に関しては、言い換えれば、「どの程度事業を停止していても問題がないのか?」という問いになります。
事業停止時間、つまりダウンタイムを 0 にしなくてはいけない場合、バックアップよりもサーバレプリケーションの方が望ましいでしょう。ダウンタイムを数時間程度しか許せない場合、テープバックアップやコールドストレージは現実的ではありません。
「必要な機器や回線などはあるか?限定的ではないか?」は、上記の問いとも関連があります。
ハイスペックな回線でなければ復元できない、特別な機器を用意しないと復元できないなどの場合、災害など有事の際には対応できない可能性があります。
必要な機器がある場合、復元環境が限定的な場合、有事の際にどのようにそれらを調達するのかまで考える必要があります。
「どこへ復元できるのか?」に関しては、例えば万が一の場合は自宅などからでもデータを復元して業務をすることが可能なのか、社内からしか復元できないのか、バックアップ対象と同じ OS やスペックの機器にしか復元できないのか‥ということを考える必要があります。
バックアップ以上に、この「復元」には注意を払う必要があります。
最後に
長々と書きましたが、いかがだったでしょうか。
データの BCP 対策は「当たり前」「耳タコ」のような向きがある一方、「うちはまだいい」「時機を見て」という会社様が多いのも現状です。
ですが、BCP 対策を用いなければいけないような事態は、時機を見て来てくれはしません。
何かが起こる前に対策を考えておく必要があります。
今後の対策、あるいは見直しのご参考になれば幸いです。