Comments
Description
Transcript
情報システム部門における BCP(事業継続計画)
ITライブラリー(pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ 情報システム部門における BCP(事業継続計画) 一般社団法人 情報処理学会 正会員 腰山 信一 [email protected] 本資料の関連資料は下記をクリックして PDF一覧からお入り下さい。 ITライブラリー(pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 940番 他 2 震災後に各企業のCIOが強化を 指示した項目ランキング 3 ①リスク管理の強化 ②バックアップセンタの強化 ③情報システムの節電 ④システム/データバックアップの パブリック上での構築 4 ⑤BCP・DR(ディザスタリカバリ)の強化 ⑥スマートフォン利用の拡大 ⑦テレワーク、在宅勤務の拡大 ⑧国内で震災・電力の影響の少ない 地域への事業拠点のシフト 5 ⑨パブリッククラウドへの移行の強化 ⑩セキュリティを強化した上での ソーシャル・ネットワーク利用の拡大 ⑪海外への事業拠点のシフト ⑫コラボレーションツールのパブリッ ククラウド上での利用 6 ⑬ITアウトソーシング利用の拡大 ⑭シンクライアント利用の拡大 ⑮ジャストインタイムの生産体制の見直し ⑯サプライチェーン・マネジメントの修正 7 情報システム部門におけるBCP (事業継続計画) チェック項目 8 重要業務の指定と復旧の優先 順位は設定されていますか? システムごとの回復目標時間は 明確に設定されていますか? 9 平時と有事の組織体制は明確ですか? 平時において事業継続 計画の会社全体のマネジメントは確立されていますか? 災害発生時、復旧対応時、そして完全復旧までの間の業務プロセスは 確立されていますか? 1 有事のIT復旧手順は確立されていますか? アプリケーションの回復優先順位は明確になっていますか? 11 アプリケーション単位に回復目標時間が明確になっていますか? 回復に必要はデータは適切にバックアップされていますか? 12 目標回復時間は定期的に検証されていますか? 既存インフラは目標回復時間を達成するために十分な性能ですか? (十分であることを検証できていますか?) 13 被災した場合の機器類の損害想定と再調達の可能性は 検証できていますか? リスク対策と想定される被害のGAP分析を常にされていますか? 14 被害を軽減するための対策は実施していますか? (対策を実施した場合の被災予想を評価していますか?) 15 各システムが業務に与える影響を事前に分析し 台帳として整備しておく事が必要です。 16 業務名称 システムを利用する業務名称 対応するシステム 対象となるシステム名称 17 関連部門 当該業務に関するユーザー側の責 任者と情報システム部門の担当者 名と連絡先(協力企業を含む) ユーザ数 実際にシステムを利用する ユーザの延べ数 生産管理の場合は部品展開図の 再精査も必要。 18 必要リソース 情報システム以外に業務遂行上、 必要なリソースの再点検 想定リスク 情報システム停止により想定さ れるリスク(協力企業を含む) 19 影響度指標 様々な影響内容について、 その重大度を項目(顧客・仕入 先・売上・利益・協力企業・社 員・・・・)ごとに指標化(5段階) そのシステムが停止する事に よる売上・利益に対するインパ クトも事前に数値化しておく。 優先度 各システムごとの復旧優 先度を6段階程度で分類 20 目標復旧時間 当該システムを復旧させるまでの 期間を時間、または日数で指定 (エンドユーザーの承認ももらう) 目標復旧ポイント システム復旧時の保護されるデータ 内容において、リカバリー作業で 追いかけに必要な予想される時間 または日数 各システムのDB構造におけるリカバ リーポイントの再精査と徹底 21 現行災害対策レベルの再精査 現行の災害対策の内容と 対策レベルの再精査 (エンドユーザーの承認ももらう) 現行レベルと災害対策要件のGAP 詳細分析の結果確認された 必要対策と現行対策内容の GAPを分析 22 災害対策の基本的な指標の設定 業務の重要度ごとに、復旧目標を確認します。復旧目標は全業務、同一ではなく 重要度に応じて設定します。 23 業務別・システム別に事前に下記の項目を設定する必要があります 情報システム部門及びエンドユーザーのIT窓口担当者にも徹底 ①データを何時の時点に戻すのか? ②何時までにシステムを復旧させるのか? 24 災害対策における情報システム部門を取り巻く様々な課題 災害対策に対する投資額 1 2 3 4 5 6 在庫管理 顧客管理 人事システム 社内ポータル ナレッジ管理システム 部内システム システムの優先度 25 事前にシステムごとに許容停止時間と復旧ポイントを明確にしておく 対象システム 販売管理・物流(SCM) 許容停止時間 0~30分 復旧ポイント 業務継続には必須・データ損失 皆無が必須条件 CRM 障害発生~1日 要業務継続・障害直前 まで復旧する 人事システム 障害発生~3日 定期バックアップからの 復旧が可能 障害発生~1週間 業務再開状況も踏まえ 復旧時期を決定 障害発生~2週間 バックアップと基幹DB から再構築可能 企業ポータルサイト 情報系システム 26 レイヤごとの冗長化の見直しと強化 メインサイト Portal -Application 層 Open な技術とActive-Activeなクラスタ構成 クラスタ構成のデータベース 性能・耐障害性に優れ、拡張性が高い Active-Activeによる負荷分散による リソース活用 ストレージの仮想化技術の導入もディザスタリカバリに 有効。 依然より安価になり、高圧縮や暗号化への対 応可能。 27 注意点 迅速な「リカバリー」には各レイヤでの 冗長化が効果的。 28 事業継続を視野に入れたITシステム基盤の構築 投資対効果に優れたディザスタリカバリ・ソリューションの導入 メインサイト スタンバイサイト 接続先の自動変更 データのリアルタイムな同期 29 東日本大震災で表面化した 情報システム部門の課題 30 優先度の低いシステムまで災害対策が十分実施されて いる企業は少ないのが実態です。 テープにバックアップコピーを保存 31 テープによるデータ保管時に生じうる課題 テープ紛失により復旧が困難 テープ管理が煩雑でコスト増 定期的なコピーのため、障害時の データ損失が発生 テープ輸送に時間がかかり、 復旧時間が長期化 32 現実問題としてBCP対策の壁となる問題 許容停止時間が ほとんど取れない 既存システムに は負荷がかけ えられない 障害時に、素早く 確実に復旧する には、かなりの熟 練が必要 ディザスタリカバリ サイトの構築は費用 対効果について役 員承認が難しい 33 限られた予算と時間で、効率的なBCP (事業継続計画)を実行するには どうしたら良いのか?! 34 災害対策(情報システム部門) まずは既存システムの 情報収集と再整理 重要なAシステムを動かすに は、小さなサブシステムBが 必要な場合もあります。 優先度の設定 緊急時に立ち上げる災害 対策サイトの早期構築と 事前訓練 35 節電・省エネ対策 運用方式の再策定 効率的なDC運用 システムの集約/統合 省エネ構成の採用 省スペースの実現 36 投資対効果に優れたBCPソリューションの選定 基本的な要件 データ保護機能 障害時のサービス継続機能 24 Hours 365 Days 本番へのパフォーマンス影響度 選択のポイント 管理運用性 異機種連携性 維持管理コスト(TCO) 37 BCPにおける重要5項目 38 BCPの策定と運用 事業継続計画(BCP)の策定、対策、訓練・演習、評価・改善を繰り返すことが 重要です。 この事により、事業継続への対応力・復旧力が向上します。 39 要員・人材管理 事前の仕組み(体制・ルール)づくりと、電話に頼らない状況確認手段の有無が 初動・対策実施で大きな差を生みます。 40 情報システムの切替・復旧 現行システムを考慮したディザスタ・リカバリシステムやデータバックアップの準備が、 業務継続に大きな効果を発揮します。 41 分散環境での業務遂行 災害後に移動した安全な拠点や自宅からでも、常に同じ状態で業務ができるように 備えることが、業務継続に効果を発揮します。 42 情報共有・発信 社員間の情報共有や顧客・協力企業との接点を停止させない事が重要です。 43 自社のシステムを再分析して、投資対効果を 考慮した BCP(事業継続計画)が必要です。 44 情報システムの切替・復旧 しかし・・・・ 自社のコンピュータ室 今までは システム停止に より業務も停止 想定外の リスクにより 業務停止 重要 データの 紛失 社内で利用するシステムは自社の コンピュータ室等に設置 45 解決策 中核業務で利用するシステムのディザスタ・リカバリやデータバックアップ等 を利用してシステムの継続利用が必要です。 46 情報システムの切替・復旧 自社のコンピュータ室 これからは ディザスタリカバリ・サイト データ同期 現状を 分析して 投資対効果 を考えた DRシステム の構築 WAN 最適な ネットワーク 最適な サーバ 災害時切替 最適なデータ 保管方法 最適な運用方法 47 分散環境での業務遂行 今までは・・・・ STOP 交通機関 マヒ 災害発生 何時もの環 境で、業務 ができない 業務を行うには 勤務地に出勤 することが前提 安全な拠点へ の移動 48 固定の場所・時間にとらわれない、業務 遂行環境を整備することが必要です。 いつも同じPC環境で 業務ができる。 別拠点からも会議に 参加できるなど。 49 分散環境での業務遂行 これからは・・・・ クラウドCRM テレビ会議多地点接続サービス どこからでも営業支援 サービスにアクセスしたい! 分散した拠点同士で一斉に 打ち合わせをしたい! 紙文書の電子化 在宅勤務ソリューション どこからでも同じPC 環境を利用したい! セキュリティを 確保した上で、 どこからでも文 書書類を取り出 したい! 50 インターネット接続可能 な環境であれば、どこ からでも業務遂行が 可能なシステムの早期 構築が必要です! (万全なるセキュリティ環 境下におけるモバイル・ システムの構築) 51 情報共有・発信 緊急地震速報 状況を報告し 次の行動を 指示 課題 しかし・・・ 気象庁 災害 発生 通報 今までは・・・・・ 災害時 の状況 把握・ 情報共 有が 困難 メール 災害状 況収集 放送 ■メールや社内放送による 一方向の通知だけでなく、 社内、主要取引先などと正 確な情報を共有したい ■災害状況をより迅速に把 握、通知・通報したい 通報 管理者 社員 災害の発生時、気象庁等か ら情報を受け、メールや社内 放送で社員へ通知 BCP委員会・情報 システム部・総務部 52 社内外関係者を対象とした、プロセス全体 (通常時~ 災害発生前後~ 復旧時)の情報 収集/ 通知/共有の仕組みが必要です。 53 情報共有・発信 これからは 計画~ 初動、業務継続まで情報を正確、迅速に収集・発信・共有 収集 地震等の 災害情報 災害状況の 確認 収集 画面 地震後もサポート! 周辺施設の表示! 本社 自社工場など拠 点の状況をweb カメラで確認 病院 54 発信 社員及び協力企業社員への緊急連絡情報 一斉配信システム 等の導入 テキストメッセージを自然な 音声等へ変換して一斉配信 55 情報共有基盤により業務継続 共有 クラウド基盤 ポータル (情報共有掲示板) メール、 グループウエア 災害や 業務情報 56 社員間の情報共有や顧客・協力 企業との接点を停止させない。 57 業務ごとに、必要なシステムリソース、業務遂行場所、ユーザー数、 ビジネス影響度を精査し、情報システムが停止した場合の目標復旧 時間や目標復旧ポイントなどのリカバリー要件を確認する事が必要です。 後続のステップでこれらの要件を現行の対策で満たしているか精査 し、ギャップがある場合にその対応策を検討しておく事が必要です。 59 ビジネス影響度分析 現状分析 復旧力の検討 リスク分析 ソリューション検討 IT復旧計画 ビジネス継続計画 60 本資料の関連資料は下記をクリックして PDF一覧からお入り下さい。 ITライブラリー(pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 940番 他 61