ディザスタリカバリ対策──6つのステップ【前編】：事例から学ぶ（3/3 ページ）

ある推計によると、米国企業の約半数はお粗末なディザスタリカバリ対策しか実施していないという。予期せぬ災害や事態にどう対応するのか……。いま必要とされている対策の中身と構築の手順とは？

[Michael Ybarra，ITmedia]

Step02

リカバリの範囲と時間を設定しどの程度必要性があるかを定義する

実際的で具体的なビジネスリカバリ目標を設定する。RTOとRPOの要件をリスク／効果の観点から定義、どの程度の保護が本当に必要か、そのためにいくらまで投資してよいかを詰める。その際会社にとってどの程度強力なDR対策が必要か十分検討して決める。

　CIO（最高情報責任者）は、公開されている方法論、例えばITIL、COBIT、ISO 17799や27001規格などを利用して、構造化された体系的なアプローチでリスクや脅威、管理を定義しなければならない。

　Foresterのクロジニュースキー氏は、経営陣は非現実的な、あるいは過大なコストを要する業務継続を求める場合があると語る。IT部門が現実的な観点からチェックをかける必要があるという。

　「IT部門とビジネスサイドの認識の食い違いは、大きな問題になる」と同氏。「問題を提起する役割はIT部門が担わなければならない。ただし、どれだけの対策を講じるかは、あくまでビジネス上の決定事項だ」

　CIOは、ビジネスプロセスを重要度によって分類し、文書化しなければならない。一般に4〜5段階の分類が使われている（図1）。顧客やパートナーとの接点となるアプリケーションは、このうち最高の段階に分類されることが多いが、バックオフィス業務アプリケーションは重要度が低いと見なされる。しかし、後者の中でも、ミッションクリティカルなシステムとの連携の仕方から見て、重要度が高いと考えなければならないものもあるだろう。

　クリス・フォームズ氏が住宅建設を手掛ける年商8億8800万ドルの上場企業、ブルックフィールド・ホームズのITマネジャーになったとき、同社はDR対策を講じていなかった。そこで同氏は、脅威の評価とリカバリ戦略の策定のために専門業者を雇った。フェールオーバーにより最高レベルのコンティニュイティを実現しようとする場合、DR対策の費用として、20万ドルのハードウェア投資に加えて、初年度に9万ドルのサービスコストが必要になると試算された。

　「わたしは、しっかりした対策を導入することが重要だと思っていた」と同氏。「しかし、費用試算を踏まえて社長と話し合い、われわれのような仕事では、そこまでの対策を行ってもあまり意味がないということになった。地震のような災害が起きたら、どのみちわれわれの仕事はすぐには何も動かない」

図1 ディザスタリカバリのために資産を分類する

事業継続コストを1カ月1200ドルにとどめる

　カリフォルニア州デルマーに本拠を置くブルックフィールド・ホームズは代替策として、RTOを8時間とし、テープバックアップを利用することを選択した。

　同社はアリゾナ州に本拠を置くインサイト・エンタープライゼスを雇ってテープシステムを導入し、1時間ごとにSANのスナップショットを取っている。また、ミモザ・システムズの電子メールソリューション「NearPoint」も導入し、Microsoft Exchangeサーバのデータをアーカイブしている。これらにより、ビジネスコンティニュイティのコストを1カ月当たり1200ドルにとどめることができたと言う。

　「DRはいわば保険プランだ」とフォームズ氏。「保険料と保険金のバランスが肝心だ。われわれの場合、トータルなビジネスコンティニュイティのために、当初試算された保険料を払うのは割に合わなかった。今のやり方でもは売り上げを失う心配はない。一時的な不都合はあっても、家を建てるプロセスが止まることはないだろう」