あらゆるリスクを想定した“オールハザードBCP”が必要
2022年3月16日23時36分ごろに宮城県と福島県で最大震度6強を観測した地震がありました。
東京でも大きな揺れを感じましたが、このような地震があるとうちの会社のBCPはどうなっていたっけ?と考える企業様も多くいらっしゃるのではないでしょうか。
もちろん、「有事対応の平時化」の取り組みをしている企業様もいらっしゃると思いますが、BCPの重要性を理解しつつも実効に移せていない企業様が多いのも現状です。
リスクマネジメントのコンサルティングを行う中で、企業様のBCPへの意識の変化を紹介したいと思います。
①東日本大震災の直後から、主に“大地震”のリスク
②全国的に頻発する豪雪や豪雨、大型台風といった“風水害”のリスク
③新型コロナウイルス(COVID-19)の登場で“感染症”のリスク
④サイバー攻撃の頻発で“セキュリティ”のリスク
当初は個別の事象に対するBCPを策定した企業様も、ようやくあらゆるリスクを想定したオールハザードBCPが必要だと気付き始めているのです。
IT-BCPの重要性
ほとんどの企業で、ITがビジネスにとって不可欠なものである以上、ITリソースもBCPの策定において考慮しなければならない重要な「経営資源」の一つです。
有事下において、システムやデータを含むITリソースへの可用性をいかに確保するかは「IT-BCP」と呼ばれています。
ビジネスに必要なデータの可用性をいかに確保するかが、IT-BCPにおけるデータ保護の大命題
情報セキュリティの3要素として“可用性”“完全性”“機密性”があります。
☑可用性:システムを障害(機器やパーツの故障・災害・アクシデントなど)で停止させることなく稼働し続けること、またはその指標のこと
☑完全性:データを最新かつ正しい状態で維持すること
☑機密性:決められた人だけが対象のデータにアクセスできるようにすること
大規模災害などでシステム障害が発生した際に、重きを置かれるのが上記のうちの”可用性”です。
ビジネスに必要なデータの可用性をいかに確保するかが、IT-BCPにおける”重要なデータの安全確保”の大命題です。
その代表的なソリューションが“バックアップ/リカバリー”です。
具体的なバックアップ方法
●3個以上
●2種媒体以上
●1個は遠い場所
重要なファイルは3個以上のバックアップ(複製)を行う。
そのうち2個は物理的に異なる媒体(外付けのハードディスク、パソコン内部の専用ディスク、あるいは、サーバ など)に保管
残りの1個は拠点外の場所(クラウド、別の拠点に置かれたサーバ など)に保管する。
これは、2種類以上の媒体に分けてバックアップを行うことにより、媒体の破損等による喪失を防止します。
そして、(使用する時にも接続する)外付けのハードディスクに保管することで、万が一のサイバー攻撃の際のデータ破壊や改ざんの被害を防止します。
なお、サーバに関して、クラウドを使用している場合には、サーバとして使用しているクラウドとデータ保管用のクラウドとを分けておくことで、「1個は遠い場所」を実現することができます。
また、Microsoft社のOneDriveやTeamsを使用している場合には、これらのバージョン管理機能でバックアップを代替させることができます。
これらのサービスでは、ファイル更新のたびにバージョン管理をしてくれるので、実質的にバックアップを行っていることになります。また、Box社のサービスでも同様の機能が備えられています。これらの機能はバックアップそのもののバージョン管理にも使用できます。
バックアップの目安
もっとも、分単位や時間単位で更新されるデータに関しては、上記のようなバックアップを毎回行うのは現実的ではありませんので、1日の終わりに行う。
あるいは、1週間で決まった日に行う、などの弾力的な運用が必要になってきます。
基本的には、そのデータが失われたり、改ざんされた場合、バックアップから戻したデータを直前の状態にする手間を考慮します。
目安としては、データを失われる直前に戻すのに1日程度で済む頻度でバックアップを行うことがおすすめです。また、重要度合いも考慮する必要が有ります。
原則として、重要度高以上のデータは上記で記した「1個以上、2種媒体以上、1個は遠い場所」の理想的状態が望ましいので、今一度IT-BCPの大命題であるバックアップについて見直ししてみてはいかがでしょうか。