パブリケーションズ 事業継続計画【BCP】において求められているものとは

サイオスのBCP(事業継続計画)と災害復旧ソリューション

あなたの会社に最適なBCPにおける災害復旧対策の3ステップ 目標復旧時間(RTO)と目標復旧時点(RPO)がカギ

東日本大震災の影響がいまだ続くなか、BCPにおける、自社の情報システムの早急な災害対策策定や既存の対策の見直し、つまり「災害復旧計画」の見直しが求められている。
サイオステクノロジー セールスコンサルティング部 担当部長の小野寺章氏が、「災害復旧計画」を、最も重要となる復旧時間や復旧したい過去データなどとともに検討項目を挙げて解説する。

事業継続計画【BCP】と災害復旧計画【DRP】

災害復旧計画(DRP)は事業継続計画(BCP)の一部であるので、BCPの策定や体制の構築が不可欠ではないか?という誤解に陥りがちだ。BCPに立脚したDRPを立案することが理想的なことは言うまでもないが、DRPは対象が情報システム=コンピューターシステムであるということに着目すれば、DRPは単独で策定・実行することも可能となる。以下がそれらの定義である。

事業継続計画:BCP

BCPとは、「自然災害など不測の事態が発生した場合の対応策を計画したもので、ビジネスの中断状態の回避、またはビジネスを通常状態に迅速に復旧し、ビジネスを継続させるための計画」のことをいいます。

災害復旧計画:DRP

「災害や障害が発生した場合の情報システムにおける対応を策定したもので、情報システムの停止状態の回避、または停止した情報システムを稼働状態に復旧するための計画」

サイオステクノロジー株式会社 セールスコンサルティング部 担当部長 小野寺 章 氏

サイオステクノロジー
株式会社
セールス
コンサルティング部
担当部長
小野寺 章 氏

コストと目標復旧時点【RPO】/目標復旧時間【RTO】のバランスが重要

BCPのうち、DRP(災害復旧計画)を実行するには、コストとRPO(目標復旧時点)/ RTO(目標復旧時間)のバランスが重要となる。 BCPにおいて、情報システムを過去どの時点まで復旧させることを目標とするか(RPO)と、その復旧の達成はいつを目標とするか(RTO)でコストやソリューションとの関連性は以下のようになる。

障害発生直前まで復旧させる(目標復旧時点、RPO=0と表現される)ということは、通常稼働中の更新データは常に最新の状態でデータ保存される必要があることを意味する。そのためには、遠隔地へのデータレプリケーションなどの仕組みが必要となる。

コストと目標復旧時点(RPO)/目標復旧時間(RTO)のバランスが重要

また、システムの再開に要する時間を、障害発生後数時間内にする(目標復旧時間、RTO<24hと表現される)ためには、予備システムがいつでも稼働できるようにしておく必要がある。そのためにはOS/アプリケーション/データなどがあらかじめ用意されている「ホットサイト」という形態が必要となる。これらは目標復旧時間を数日から数週間に設定する「コールドサイト」「ウォームサイト」と比較すると、当然コストは高くなる。

このように、BCPにおける自社の各システムに対する災害復旧対策を検討する場合には、復旧におけるコストやRPO/RTOなどの要求レベルに応じ、データリプリケーションやホットサイトなどから最適なソリューションを選択することが必要となる。

LifeKeeper/DataKeeperについての詳細はこちら

LifeKeeper/DataKeeper製品概要

ページトップへ戻る

災害復旧計画(DRP)検討の3ステップ

BCPに密接に関係する目標復旧時点(RPO)、目標復旧時間(RTO)およびそれに応じたコストやソリューションとの関連性が分かったところで、ここでは具体的に、災害復旧計画(DRP)を策定する3つのステップを具体的に見ていく。
検討のステップは、1.リスクシナリオの策定、2.ビジネス影響度分析(BIA)、3.災害復旧計画の作成となる。

  • 1.リスクシナリオの設定
  • 2.ビジネス影響度分析(BIA)
  • 3.災害復旧計画立案

図2 3ステップで災害復旧計画(DRP)を検討

STEP-1リスクシナリオの策定

リスクシナリオとは災害復旧計画(DRP)で想定する脅威(地震、火災、交通網遮断)と、その結果生じるITリソースのダメージ(インフラ面、オペレーション面)の組み合わせであり、DRPはこのシナリオごとに作成する。

インフラ面で想定されるリスクシナリオは、サーバー、アプリケーション、ストレージ(データ)が格納されているマシンルームおよびマシンルームが存在する建物が地震により崩壊し機能しなくなるというものである。また、マシンは正常に稼働しているが外部とのネットワークが遮断されてしまい結果として外部向けのサービスが提供できなくなるというリスクシナリオも想定される。

オペレーション面で想定されるリスクシナリオは、代替データセンターなどに配置されたサーバーやストレージを運用するオペレーターを災害発生時に確保できないうことがある。

また代替システムを運用するオペレーター自身が被災した、代替データセンターへの交通手段が遮断されてしまい、データセンターに移動できない、といったリスクシナリオも考えられる。

想定されるリスクシナリオ(例)
オペレーションに
おけるリスク		 代替オペレーターの存在
代替オペレーターの安全性の確認
オペレーターやデータ移行の交通手段
インフラに
おけるリスク		 マシンの安全性
マシンルームの安全性
建物自体の安全性
外部とのネットワーク確保

STEP-2ビジネス影響度分析(BIA)

次にBCP(事業継続計画)では災害による業務プロセスの停止が事業にどれだけの影響を与えるのかを分析する手法である「ビジネス影響度分析(BIA)」の実施をする。通常BIAは業務プロセスごとに特定の評価指標を設定し定量的、定性的な観点から評価する。

これらの評価指標は特に決まったものはなく、システム/サービスに応じた適切な指標を選択するが、定量的な評価指標としては、売上損失額、影響を受けるユーザー数やパートナー数が挙げられる。定性的な評価指標としては、社会的な信用の失墜や従業員のモチベーション低下が挙げられる。

災害復旧計画(DRP)では情報システムを対象として対策を検討していく。BCPを策定する際には、必ずしもすべての業務プロセスを対象とする必要はなく、サーバーで稼働する情報システムが災害で機能しなくなるという状況を想定し、情報システムが停止してしまった場合に影響を受ける業務プロセスの特定と復旧する際の優先順位、そして目標復旧時点(RPO)/目標復旧時間(RTO)の検討におけるたたき台となる目標値がそろえられればよい。

まず災害復旧計画(DRP)の対象となる情報システムごとに、復旧要件である目標復旧時間(RTO)、目標復旧時点(RPO)と目標復旧レベル、重要度を決定する。

例えば、24時間稼働していて年間100億円の売上があるオンライン受注システムの場合、1日システムが停止することによる想定損失金額は3000万円と計算でき、システムの処理能力はピーク時の2倍の処理ができるとした場合、許容できる停止時間は1時間と見積もることができる。システム停止直前までのデータを全て有効としたいという要件を満たす、RPO(目標復旧時点)はゼロとなる。RTO(目標復旧時間)は最大許容停止時間以内であると設定すると1時間以内となる。

注意したいのは、ここで設定する許容停止時間やRPO/RTOはあくまでも理想的な値であり、後に実装手段を検討する際の参考値であるといことだ。

表1は、システムごとに分析した結果を纏めたものである。

表1 ビジネス影響度分析結果

表1 ビジネス影響度分析結果

STEP-3災害復旧計画立案

ビジネス影響度分析とリスクシナリオの分析結果から、リスクシナリオで想定した事態が発生した場合に、復旧要件に従ったシステム構成を検討し、またそれを運用するための体制や手続きを検討し災害復旧計画を立案する。

以下はシステムごとの要件を満たすシステム構成を検討したものである。

■オンライン受注システム

優先度1(RPO=ゼロ、RTO=1時間、許容停止時間=1時間)

遠隔地へのHAクラスター(マルチサイトクラスター)とデータの同期複製が必須要件となる。常時稼働状態のバックアップサーバーを外部のデータセンターに配置することはコストの面で割高となるため、大阪支店のサーバールームにバックアップサーバーを配置し、データの同期にはホストシステムで稼働するレプリケーションソフトによる同期レプリケーション構成とした。災害発生時にはシステムは自動で、数分以内にバックアップサーバーへと切り替わり、オンライン受注システムが再開できる。

■グループウエア

優先度2(RPO=8時間、RTO=16時間、許容停止時間=24時間以内)

オンライン受注システムのインフラをそのまま流用しコストをセーブするとともに、データ同期回線の帯域を圧迫しないように、データの同期は3時間ごとの非同期レプリケーション構成とした。災害発生時には数分以内にバックアップサーバーへと切り替わり、グループウエアシステムが利用できる。

■ERPシステム

優先度3(RPO=2日、RTO=24時間、許容停止時間=3日以内)

災害時に24時間以内に2日前までのデータで業務が再開できればよいことから、外部データセンターにバックアップサーバーを設置し、通常は電源を落とした状態のコールドスタンバイ構成とした。データは即時性が求められないため、DLTによる日次バックアップをトラック便で毎日搬送しデータセンター内に保管。災害発生時に、データセンターのオペレーターがマニュアルに従って、システムを起動しデータを最新のDLTからデータをリストアすることでERPシステムが利用できる。

■ファイル共有システム

優先度4(RPO=5日、RTO=24時間、許容停止時間=特になし)

災害時に24時間以内に5日前までのデータを利用できればよいことから、ERPシステムと同じインフラを利用した外部データセンターでのコールドスタンバイ構成とした。データはDLTによる週次バックアップを毎週金曜日深夜に行い、ERP用データと同じトラック便で搬送しデータセンター内に保管。災害発生時に、データセンターのオペレーターがマニュアルに従って、システムを起動しデータを最新のDLTからデータをリストアすることで最大5日前までのデータが利用できる。

これまでに述べたように、情報システムにおけるBCP/ DRP(災害復旧計画)は、RPO(目標復旧時点)とRTO(目標復旧時間)の観点とそれを実現するためのコストがポイントになる。特にRPO/RTOの実現レベルは実装方式・運用方式と密接に関係する。RPO/RTOを中心に様々な方式の中から最適な災害対策を選択することが重要だ。

図4 災害復旧計画に基づいたシステム構成の例

図4 災害復旧計画に基づいたシステム構成の例

表2 災害復旧計画に基づいたシステム構成(解決策)の例

表2 災害復旧計画に基づいたシステム構成(解決策)の例

BCP/DRPソリューションについてのページをご覧の皆様

震災などの災害時に損害を最小限に抑えるために、BCP(事業継続計画)の策定は不可欠です。なかでも、主に災害によるシステムの停止は、前もって対策をしておかないと、経営上大きな打撃となるでしょう。本頁では、BCPの中でも特に重要なDRP(災害復旧計画)について解説しています。

LifeKeeper/DataKeeperについての詳細はこちら

LifeKeeper/DataKeeper製品概要

ページトップへ戻る

事業継続:LifeKeeper/DataKeeper/vAppKeeper トップページへ戻る