先日、PCが不運に見舞われた。そして、お恥ずかしいことに私は、バックアップを取っていなかった。
言い訳させてもらえば、微妙に普段と違う兆候が現れていたから、ぼつぼつバックアップを取らなきゃなぁ、とは考え始めていたのだ。しかし普段の忙しさにまぎれて、とりあえず動くからいいやとだましだまし使っていたのである。マザーボードがいかれてしまい、マシンがうんともすんともいわなくなってしまったのは、その矢先のことだった。マーフィーの法則そのままである。結局そのPCは修理に出し、急遽(きょ)手配した代替機でしのいだ。
またその間、自宅での作業用にと、久しく使っていなかったマシンに火を入れた。だがこっちはハードディスクの調子が悪い。うまく起動するときとそうでないときがあり、どうにも不安定だ。
一連のごたごたにすっかり反省した私は、メインマシンが修理から戻ってきたその日のうちにディスクイメージングツールを導入して、少なくとも少し前の状態にまでは戻せるようにした。そして、マイマシン運用手順の中にバックアップを組み入れよう、と固く誓っているところである。結局は自分も、「イタイ目」に遭わなければ分からないだめだめ人間だったというわけだ。
バックアップを取ることなど当たり前であり、初めからそうしておくのが当然だ、という批判には声もなくうなだれるしかない。これまでいろいろと偉そうなことをいっておきながら、基本的な事柄をしっかり実行していなかったのだから。ということで、ごめんなさい。
セキュリティはビジネス継続の一環
ここまでは自業自得なのだが、この体験を機に考えた。どうしたって、絶対に故障を避けることはできない。自分や同僚の操作ミスもあるだろうし、天災や事故、そのほかのトラブル――不正アクセスなど――の可能性だって否定できない。そうしたケースを織り込んだうえで、なるべく早く元の業務に復帰できるようにするビジネス継続性の確保というのは、やはり大事なのだと実感している。
マイマシン1台ならばまだいい。メールサーバやアプリケーションサーバ、基幹システムともなれば、システム停止によって生じる損失はかなりの額に上るはずだし、そうした論調はすでにあちこちの調査会社やコンサル企業、メディアなどで見られるはずだ。例えば、どこまで現実に近い額かは分からないが、米ストラテジック・リサーチによると、システム/アプリケーション障害による1時間あたりの損失額は、金融仲介業で650万ドル、クレジットカード業界では260万ドル、カタログショッピングやチケット予約・販売でも9万ドル前後になるという。
いま挙げた数字は、ミッションクリティカルな特殊な業界、もしくは顧客と直接相対する分野での試算だが、社内のバックエンド業務やサプライヤー・パートナーをつなぐシステムだって、明確な数値化は難しいにせよ損失が生じる。表立った金額としては現れてこないが、エンドユーザーや顧客、パートナーの“いらいら”指数も相当なものになるはずだ。以前、社内のメールサーバが落ちてしまったことがあるが、実際にはほんの1時間強だったにもかかわらず復旧するまでが非常に長く感じられ、ついつい愚痴もこぼれてしまった。
こうした事態を防ぐにはどうしたらいいだろうか? 回答は、いわゆる冗長化やディザスタリカバリといった技術的な手法や管理プロセスの明示化など、たくさん挙げられるだろう。情報セキュリティの確保も、その一環として、いや正確にはかなりの程度重なり合う措置としてとらえることができる。
以前このコラムの中で触れたと思うが、世の中には100%のセキュリティはありえない。それと同じで、100%完全に、24時間365日稼動するシステムというのもありえない。潤沢な予算があれば、年間99〜99.5%位の稼働率までは実現できるかもしれない。しかし、システム全体として、稼働率をそこからコンマ1桁増やすにはとんでもない額の投資が必要になるだろう。世の中には、99.9999%の稼働率をうたう単体のサーバ、ストレージシステムなども登場しているようだが、現実の運用からいえば非現実的な数値だ。
ならば考え方を変えて、避けられないトラブルを考慮に入れたうえで、できる限り迅速に元の状態に復帰させるような仕組みを作るほうが、得策ではないだろうか。いわゆるバックアップ/リストアである。世間一般でいわれているストレージソリューションの多くは、それをローカルでやるかリモートでやるか、オンラインで実現するかどうか、インフラにファイバチャネルを利用するかどうか、といったあたりでいろいろと違いはあるが、要は大事なデータやシステム構成を安全なところに保管しておき、いざというときにはそれを持ち出す、ということに尽きる。
ここで最も大事な心得とは何だろうか。私がバックアップ初心者として頭をひねった結果は、いざというときに備えて手順やツールを整え、できれば何度かリハーサルしておくこと、のように思える。
単体のPCとシステム全体とでは複雑さが違うため、乱暴な議論になるけれども、私の経験からいうと、イメージングツールのインストール自体はさして困難ではなかった。バックアップデータを取る作業も、まぁ注意しながら行ったため問題なくできた。問題は、いざというときのリストアだ。こうしたツールは、いざというときにきっちり動いてくれるからこそ意味があるのである。
しかし、その緊迫した状況で、何から手を付ければいいのか分からないようだと不安が残る。ただでさえ慌てているときに、何の用意もないままリストア作業をスムーズに行う自信は私にはない。そこで自分なりに、ローカルで作業するとき、あるいは無理やりネットワークにつなげてリストアするときの手順をメモにまとめてみた。ついでにそれに沿って、1、2度模擬的にリストアを試みてみた。これで少しは安心できる。
パソコン防災の日を作ろう
その意味で、先日情報処理振興事業協会(IPA)がまとめた「情報セキュリティの実態に関する調査」の中で「情報セキュリティマネジメントの実態調査」の結果(http://www.ipa.go.jp/security/fy14/reports/current/2002-Sec-manage.pdf)は興味深かった。この調査は2003年2月、IPAが国内5000社を対象に行ったもので、うち回答を寄せた企業は1005社だ。
これによると、情報システムがダメージを受けた際の対策準備として、データのバックアップを行っている企業は実に69.5%に上るという。情報セキュリティ対策としての「メールサーバでのウイルスチェック」(34.0%)や「全クライアントPCでのウイルスチェックソフト導入」(29.8%)、「ファイアウォール」(29.3%)に比べても格段に高い。
にもかかわらず、情報システムがダメージを受けた場合に備えた明文化されたルールがない、と回答した企業が56.4%に上っている。情報セキュリティに関連した事故・事件発生時の連絡体制についても、それらを把握する部門がないとする回答が39.9%で最多だ。せっかく導入したバックアップなのに、それをどういった管轄やルールの下で運用するかが明確になっていないのは、組織的としての対応ならばなおさら、もったいないことだと思う。
こうなったら年に1回くらい「パソコン防災の日」でも定めて、バックアップはきちんと取れているか、リストアをスムーズにできるか、ついでにパッチなどが適用できているかを確認するように推奨するのもいいかもしれない。防災訓練もあながち、無駄ではないのかもしれないと思っている。
情報セキュリティマネジメントの実態調査であるが、ほかにも非常に興味深い結果が出ている。回答企業のうち70%では「情報セキュリティに関する規定がない」。59.5%では、情報セキュリティ関連の「予算はない」。4分の3では「情報セキュリティ管理部門がない」状態で、情報セキュリティ管理「者」にしても、約半数では存在しないという。見事なまでにないないづくしだ。ついでに、サーバに対する「パッチは未適用」とした企業は29.9%。もう1つついでに、システム構成変更時の手続きが定められていなかったり、ライセンス管理を実施していない企業も40%前後という。
なおIPAセキュリティセンターでは、3月末以降、猛烈な勢いで、セキュリティに関するさまざまな調査報告書やガイドラインを公開している。私の目に付いたものだけでも、上記の調査と同時に出された「被害額算出モデル」報告書(http://www.ipa.go.jp/security/fy14/reports/current/2002-calc-model.pdf)や「WebDAV システムのセキュアな設定・運用に関する調査」などはなかなか面白い内容なので、興味のある方は参照されたい。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.