痛い目に遭って考えた、ビジネス継続性の重要さ：Security&Trust ウォッチ（13）

　一連のごたごたにすっかり反省した私は、メインマシンが修理から戻ってきたその日のうちにディスクイメージングツールを導入して、少なくとも少し前の状態にまでは戻せるようにした。そして、マイマシン運用手順の中にバックアップを組み入れよう、と固く誓っているところである。結局は自分も、「イタイ目」に遭わなければ分からないだめだめ人間だったというわけだ。

　バックアップを取ることなど当たり前であり、初めからそうしておくのが当然だ、という批判には声もなくうなだれるしかない。これまでいろいろと偉そうなことをいっておきながら、基本的な事柄をしっかり実行していなかったのだから。ということで、ごめんなさい。

セキュリティはビジネス継続の一環

　ここまでは自業自得なのだが、この体験を機に考えた。どうしたって、絶対に故障を避けることはできない。自分や同僚の操作ミスもあるだろうし、天災や事故、そのほかのトラブル――不正アクセスなど――の可能性だって否定できない。そうしたケースを織り込んだうえで、なるべく早く元の業務に復帰できるようにするビジネス継続性の確保というのは、やはり大事なのだと実感している。

　マイマシン1台ならばまだいい。メールサーバやアプリケーションサーバ、基幹システムともなれば、システム停止によって生じる損失はかなりの額に上るはずだし、そうした論調はすでにあちこちの調査会社やコンサル企業、メディアなどで見られるはずだ。例えば、どこまで現実に近い額かは分からないが、米ストラテジック・リサーチによると、システム／アプリケーション障害による1時間あたりの損失額は、金融仲介業で650万ドル、クレジットカード業界では260万ドル、カタログショッピングやチケット予約・販売でも9万ドル前後になるという。

　いま挙げた数字は、ミッションクリティカルな特殊な業界、もしくは顧客と直接相対する分野での試算だが、社内のバックエンド業務やサプライヤー・パートナーをつなぐシステムだって、明確な数値化は難しいにせよ損失が生じる。表立った金額としては現れてこないが、エンドユーザーや顧客、パートナーの“いらいら”指数も相当なものになるはずだ。以前、社内のメールサーバが落ちてしまったことがあるが、実際にはほんの1時間強だったにもかかわらず復旧するまでが非常に長く感じられ、ついつい愚痴もこぼれてしまった。

　こうした事態を防ぐにはどうしたらいいだろうか？ 回答は、いわゆる冗長化やディザスタリカバリといった技術的な手法や管理プロセスの明示化など、たくさん挙げられるだろう。情報セキュリティの確保も、その一環として、いや正確にはかなりの程度重なり合う措置としてとらえることができる。

　以前このコラムの中で触れたと思うが、世の中には100％のセキュリティはありえない。それと同じで、100％完全に、24時間365日稼動するシステムというのもありえない。潤沢な予算があれば、年間99〜99.5％位の稼働率までは実現できるかもしれない。しかし、システム全体として、稼働率をそこからコンマ1桁増やすにはとんでもない額の投資が必要になるだろう。世の中には、99.9999％の稼働率をうたう単体のサーバ、ストレージシステムなども登場しているようだが、現実の運用からいえば非現実的な数値だ。

　ならば考え方を変えて、避けられないトラブルを考慮に入れたうえで、できる限り迅速に元の状態に復帰させるような仕組みを作るほうが、得策ではないだろうか。いわゆるバックアップ／リストアである。世間一般でいわれているストレージソリューションの多くは、それをローカルでやるかリモートでやるか、オンラインで実現するかどうか、インフラにファイバチャネルを利用するかどうか、といったあたりでいろいろと違いはあるが、要は大事なデータやシステム構成を安全なところに保管しておき、いざというときにはそれを持ち出す、ということに尽きる。

　ここで最も大事な心得とは何だろうか。私がバックアップ初心者として頭をひねった結果は、いざというときに備えて手順やツールを整え、できれば何度かリハーサルしておくこと、のように思える。

　単体のPCとシステム全体とでは複雑さが違うため、乱暴な議論になるけれども、私の経験からいうと、イメージングツールのインストール自体はさして困難ではなかった。バックアップデータを取る作業も、まぁ注意しながら行ったため問題なくできた。問題は、いざというときのリストアだ。こうしたツールは、いざというときにきっちり動いてくれるからこそ意味があるのである。

　しかし、その緊迫した状況で、何から手を付ければいいのか分からないようだと不安が残る。ただでさえ慌てているときに、何の用意もないままリストア作業をスムーズに行う自信は私にはない。そこで自分なりに、ローカルで作業するとき、あるいは無理やりネットワークにつなげてリストアするときの手順をメモにまとめてみた。ついでにそれに沿って、1、2度模擬的にリストアを試みてみた。これで少しは安心できる。

パソコン防災の日を作ろう

　その意味で、先日情報処理振興事業協会（IPA）がまとめた「情報セキュリティの実態に関する調査」の中で「情報セキュリティマネジメントの実態調査」の結果（http://www.ipa.go.jp/security/fy14/reports/current/2002-Sec-manage.pdf）は興味深かった。この調査は2003年2月、IPAが国内5000社を対象に行ったもので、うち回答を寄せた企業は1005社だ。

　これによると、情報システムがダメージを受けた際の対策準備として、データのバックアップを行っている企業は実に69.5％に上るという。情報セキュリティ対策としての「メールサーバでのウイルスチェック」（34.0％）や「全クライアントPCでのウイルスチェックソフト導入」（29.8％）、「ファイアウォール」（29.3％）に比べても格段に高い。

　にもかかわらず、情報システムがダメージを受けた場合に備えた明文化されたルールがない、と回答した企業が56.4％に上っている。情報セキュリティに関連した事故・事件発生時の連絡体制についても、それらを把握する部門がないとする回答が39.9％で最多だ。せっかく導入したバックアップなのに、それをどういった管轄やルールの下で運用するかが明確になっていないのは、組織的としての対応ならばなおさら、もったいないことだと思う。

　こうなったら年に1回くらい「パソコン防災の日」でも定めて、バックアップはきちんと取れているか、リストアをスムーズにできるか、ついでにパッチなどが適用できているかを確認するように推奨するのもいいかもしれない。防災訓練もあながち、無駄ではないのかもしれないと思っている。

　情報セキュリティマネジメントの実態調査であるが、ほかにも非常に興味深い結果が出ている。回答企業のうち70％では「情報セキュリティに関する規定がない」。59.5％では、情報セキュリティ関連の「予算はない」。4分の3では「情報セキュリティ管理部門がない」状態で、情報セキュリティ管理「者」にしても、約半数では存在しないという。見事なまでにないないづくしだ。ついでに、サーバに対する「パッチは未適用」とした企業は29.9％。もう1つついでに、システム構成変更時の手続きが定められていなかったり、ライセンス管理を実施していない企業も40％前後という。

　なおIPAセキュリティセンターでは、3月末以降、猛烈な勢いで、セキュリティに関するさまざまな調査報告書やガイドラインを公開している。私の目に付いたものだけでも、上記の調査と同時に出された「被害額算出モデル」報告書（http://www.ipa.go.jp/security/fy14/reports/current/2002-calc-model.pdf）や「WebDAV システムのセキュアな設定・運用に関する調査」などはなかなか面白い内容なので、興味のある方は参照されたい。