Comments
Description
Transcript
災害にも安心な ITサービス継続のための システム基盤構築方法
Software Engineering Center Information-technology Promotion Agency, Japan 災害にも安心な ITサービス継続のための システム基盤構築方法 ~事業継続のための 高回復力システム基盤の導入について~ 2013年5月8日 独立行政法人情報処理推進機構(IPA) 技術本部ソフトウェア・エンジニアリング・センター(SEC) SEC連携委員 富士通株式会社 柏木 雅之 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. SEC Contents Software Engineering for Mo・No・Zu・Ku・Ri はじめに 1. 震災にも安心なITサービス継続のためのシステム基盤 2. 高回復力システム基盤の導入 3. 高回復力システム基盤導入ガイドの概要 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 1 SEC はじめに Software Engineering for Mo・No・Zu・Ku・Ri 東日本大震災により、通信や情報システムの停止、データ喪失 等により長期にわたって業務停止至った企業等があった。 情報システムの対応手順等が十分に整備されていなかった。 事業継続の意識の高まりはあるが、対策の着手は遅れている。 レジリエンス(回復力)を底上げし、 震災にも安心なITサービス継続の実現を! 震災にも安心なITサービス継続の実現を支援する 「高回復力システム基盤導入ガイド」 平易な内容で情報システムの継続に必要な考え方と構築手順を解説 東日本大震災による情報システムの被災状況を調査し、教訓や復旧 に活用された新しい技術やサービスの事例等も紹介 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 2 BCPとIT-BCPの策定状況 SEC ※BCP : Business Continue Plan(事業継続計画) <BCP (n=354)> 2.0% 6.2% 18.6% 40.1% <IT-BCP (n=347)> 2.6% 4.3% 27.4% 24.8% 40.9% 33.1% 策定済み 未策定(予定なし) Software Engineering for Mo・No・Zu・Ku・Ri 未策定(検討中) その他 不明 <出典> 「情報システム基盤の復旧に 関する対策の調査」報告書, IPA,2012年.図4-3 (資本金1億円以上の企業 3,000社を対象とするアン ケート調査の回答に基づく) BCPやIT-BCPの重要性は認識しているが、実際の対策の策定は進んでい ない。 ⇒ BCPの対策が難しい、費用が掛かる ⇒ 中小企業の対策が進んでいない IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 3 SEC ITサービス継続計画策定時に想定するリスク IT-BCPを「策定済み」または「未策定(検討中)」 と回答した企業(225社)対象 1.自然災害(直下型地震による局所被害) 2.自然災害(大規模地震による広域被害) 3.自然災害(津波) 4.自然災害(その他、竜巻や高潮等) 5.インフルエンザや感染症等によるパンデミック 6.建物や施設の破損・損失 7.原子力災害 8.社会的インフラの障害(通信回線関連以外) 9.ハードウェアの故障 10.ソフトウェアの不具合 11.システムの処理能力オーバーフロー 12.通信回線関連の故障 13.停電 14.外部コンピュータシステムの故障 15.テロやサイバー攻撃等の外部からの攻撃 <出典> 16.特に定めていない 「情報システム基盤の復旧に 17.不明 関する対策の調査」報告書, 18.その他 IPA,2012年.図4-8 IST 2013 0% 20% 40% 60% Software Engineering for Mo・No・Zu・Ku・Ri 80% 100% 81.3% 74.2% 31.1% 25.3% 40.9% 51.6% 7.1% 32.4% 63.6% 42.2% 16.9% 56.9% 64.4% 14.2% 14.2% 4.0% 0.0% 1.3% Copyright © 2012-2013 IPA, All Rights Reserved. 東日本大震災の教訓を 現実的に反映 Software Engineering Center 4 SEC Software Engineering for Mo・No・Zu・Ku・Ri 1. 震災にも安心なITサービス継続のための システム基盤 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 5 SEC 高回復力システム基盤とは Software Engineering for Mo・No・Zu・Ku・Ri 大規模災害や大規模システム障害に対して情報システムが一定の強 度をもつ (強度:情報システムを停止させないための対策が施されて いること) システムが停止した場合でも目標とする時間内に復旧できるように設 計・構築されている 高回復力システム基盤 大規模災害や大規模システム障害に対して情報システムが一定の強度をもつ 電源供給・ネットワークサービス (強度:情報システムを停止させないための対策が施されていること) 情報システムを停止させない対策 システムが停止した場合でも目標とする時間内に復旧できるように設計・構築 建物、設備 されている ハードウェア機器やネットワーク機器 万一停止してしまった場合に 迅速に復旧するための事前準備 OSやミドルウェア システム運用の体制や仕組み 業務データ IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 6 SEC システム基盤へのリスク Software Engineering for Mo・No・Zu・Ku・Ri 導入ガイドで対象とする脅威とリスク事象 脅威 大規模 災害 大規模 システム 障害 IST 2013 リスク事象 地震、水害、 火災 など 社会インフラ、施設、設備、機器、要員などが 被災し、通常使用している情報処理施設での 情報システムの提供が長期間できない状態 ハードウェアの故障やネットワークの切断が ハードウェア障害、 発生し、通常使用しているハードウェアや ネットワーク障害 ネットワークでの情報システムの提供が など 長時間できない状態 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 7 高回復力システム基盤のリスクと対応の基本的な考え方(1/2) SEC Software Engineering for Mo・No・Zu・Ku・Ri ITサービスを提供するに当たり必要な資源(構成要素)ごとに、リスク事象を想定した 導入ガイドでは、想定したリスク事象に基づき、対応する基本的な考え方を解説して いる 構成要素 リスク事象 基本的な考え方(抜粋、要約) 電源供給・ ネットワークサービス 自家発電装置や貯水槽の設置、 電力、通信、水道などが長 ライフライン供給経路の冗長化を 時間利用不能となる。 図る。 建物、設備 建物や設備など情報処理 環境・基盤が損傷し、 長時間利用不能となる。 最低限として震度6弱の地震への 耐震性を確保する。 遠隔地にバックアップサイトを 確保することを検討する。 ハードウェア機器や ネットワーク機器 ハードウェアが損傷し、 長時間利用不能となる。 ハードウェアの損傷、故障に備え、 必要な範囲で代替機を持つ。 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 8 高回復力システム基盤のリスクと対応の基本的な考え方(2/2) 構成要素 リスク事象 SEC Software Engineering for Mo・No・Zu・Ku・Ri 基本的な考え方(抜粋、要約) OSやミドルウェア ハードディスクなどの 損傷によりソフトウェア が消失し、長時間 利用不能。 情報システムが復旧したときに、 必要な状態で利用できるよう バックアップを行う。 遠隔地に保管する。 システム運用の 体制や仕組み 運用する人材や スキルが不足。 復旧対応において 間違いが起こる。 必要な要員が確保できるように計画 を策定する。 必要な手順の文書化や訓練を行う。 ハードディスクなどの ハードディスクなどに 損傷により 格納された 業務アプリケーションや 業務アプリケーション・ 業務データが消失し、 業務データ 長時間利用不能となる。 IST 2013 業務アプリケーション・業務データを 必要な状態で利用できるよう、 バックアップを行う。 遠隔地に保管する。 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 9 事業継続戦略と情報システムの復旧目標 SEC Software Engineering for Mo・No・Zu・Ku・Ri 大規模災害や大規模システム障害により情報システムが停止した場合には、事業 継続戦略に沿って復旧する。 災害などによって業務が中断した時点からいつまでに、どの程度で再開させるか、ま た、どの業務を優先させるかを決定。 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 10 SEC Software Engineering for Mo・No・Zu・Ku・Ri 2. 高回復力システム基盤の導入 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 11 高回復力システム基盤導入手順 SEC Software Engineering for Mo・No・Zu・Ku・Ri 事業継続のための情報システム対策の取り組みにおいては、災害や障害が発 生した場合の被害想定や事業への影響度分析を行い、事業継続戦略を決定し て、それを実現するためにどのようなシステム基盤が必要かを検討するという 手順を踏みます。 しかし、事業部門で事業継続戦略を決めてくれない、そもそも被害想定や影響 度分析、事業継続戦略の決定の方法がわからない、といったケースも少なくあ りません。また、高回復力システム基盤の導入には、多大な労力を要するとと もに、豊富な経験が必要になります。 導入ガイドでは、より簡易に高回復力システム基盤を導入するための手順や実 践的な手法を提供することを目的としています。 このために、高回復力システム基盤に求められる目標復旧時間や強度に応じ て分類された4つのパターンの高回復力システム基盤(以下、「モデルシステ ム」といいます。)を用いています。 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 12 SEC 高回復力システム基盤導入手順(1/2) 高回復力システム基盤を 導入するプロセス Do Plan 高回復力システム 基盤の要件を決定 する。 計画に従い、 対策などを実施 する。 導入のための 計画を策定する。 Software Engineering for Mo・No・Zu・Ku・Ri 高回復力システム基盤を 導入後、維持するプロセス Check Act リスクの変化 や技術の進歩に 対して、対策が 適切に機能して いるかどうかを 評価する。 評価結果や、 組織の事業の 状況などに合わ せ、事業継続戦 略や対策などの 見直しを行う。 「高回復力システム基盤導入ガイド」で解説している導入手順 手順 1 手順 2 手順 3 手順 4 検討対象の選定 モデルシステムの選定 要件定義 導入計画策定 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 13 高回復力システム基盤導入手順(2/2) 手順 SEC Software Engineering for Mo・No・Zu・Ku・Ri 手順の概要 2. モデルシステムの選定 高回復力システム基盤の適用範囲を 検討対象の 特定 選定 業務の重要性などに応じて対象とする 業務システムやシステム基盤を選定 3. 要件定義 手順1で選定したシステム基盤につい モデルシス て、適切な高回復力システム基盤のモ テムの選定 デルを4つのモデルシステムから選択 1. 検討対象の選定 4. 導入計画の策定 導入計画 要件定義 選択したモデルシステムの要件を参照 し、必要な調整を加えて、導入する高 回復力システム基盤の要件を確定 導入計画 の策定 手順3で定義した要件に基づく高回復 力システム基盤を導入するための計画 を策定 ※導入ガイドでは、各手順の主要な役割も例示している。 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 14 検討対象の選定 SEC Software Engineering for Mo・No・Zu・Ku・Ri 高回復力システム基盤の適用範囲を決定するために、明らかにすべき事項 • 重要業務 • その業務を支えるシステム基盤 重要業務を選定すると、その業務が利用する業務システムやそれが稼働するシ ステム基盤を検討対象にすることができる IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 15 SEC 高回復力システム基盤のモデルシステム Software Engineering for Mo・No・Zu・Ku・Ri モデルシステムの特徴と主要要件は以下のとおり。 ➀ システム基盤の強度 障害時 モデル ② 復旧時間 災害時 システムの 特徴 ③ 投資規模 ➀ バックアップ保有形態、 取得間隔 モデル ② 機器などの冗長化 システムの 主要要件 ③ バックアップサイト IST 2013 1 モデルシステム 2 3 4 低 中 高 1~3日 高 2時間以内 2時間以内 2時間以内 1~6ヶ月 1~6ヶ月 1~7日 2時間以内 低 中 高 高 非同期 月次 非同期 週次 非同期 数回/日 同期 数回/時 なし あり あり あり あり あり (ホット スタンバイ) なし なし Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 16 高回復力システム基盤のモデルシステム SEC Software Engineering for Mo・No・Zu・Ku・Ri モデルシステム1の特徴と主要要件は以下のとおり。 モデルシステム1の特徴 ➀ システム基盤の強度 復旧 障害時 ② 時間 災害時 ③ 投資規模 低 1~3日 1~6ヶ月 モデル1 (メインサイトのみ) 低 モデルシステムの主要要件 バックアップ形式、 非同期 ➀ 取得間隔 月次 ② 機器などの冗長化 なし ③ バックアップサイト IST 2013 なし Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 17 高回復力システム基盤のモデルシステム SEC Software Engineering for Mo・No・Zu・Ku・Ri モデルシステム2の特徴と主要要件は以下のとおり。 モデルシステム2の特徴 ➀ システム基盤の強度 復旧 障害時 ② 時間 災害時 ③ 投資規模 中 2時間以内 1~6ヶ月 モデル2 (メインサイトのみ+システム2重化) 中 モデルシステムの主要要件 バックアップ形式、 非同期 ➀ 取得間隔 週次 ② 機器などの冗長化 あり ③ バックアップサイト IST 2013 なし Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 18 高回復力システム基盤のモデルシステム SEC Software Engineering for Mo・No・Zu・Ku・Ri モデルシステム3の特徴と主要要件は以下のとおり。 モデルシステム3の特徴 ➀ システム基盤の強度 復旧 障害時 ② 時間 災害時 ③ 投資規模 高 2時間以内 1~7日 モデル3 (バックアップサイト) 高 モデルシステムの主要要件 バックアップ形式、 非同期 ➀ 数回/日 取得間隔 ② 機器などの冗長化 あり ③ バックアップサイト IST 2013 あり Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 19 高回復力システム基盤のモデルシステム SEC Software Engineering for Mo・No・Zu・Ku・Ri モデルシステム4の特徴と主要要件は以下のとおり。 モデルシステム4の特徴 ➀ システム基盤の強度 高 2時間以内 復旧 障害時 ② 2時間以内 時間 災害時 ③ 投資規模 モデル4 (バックアップサイト:ホットスタンバイ) 高 モデルシステムの主要要件 バックアップ形式、 同期 ➀ 数回/時 取得間隔 ② 機器などの冗長化 あり あり ③ バックアップサイト (ホットスタン バイ) IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 20 SEC 要件定義のためのワークシート 検討対象の名称、概要、 適用するモデルシステム等 Software Engineering for Mo・No・Zu・Ku・Ri 要件定義の 最終更新者氏名、最終更新日付 検討対象 要件定義 作成者/更新者 作成日/更新日 ベース 項番 A.1.2.2 大項目 可用性 中項目 継続性 小項目 小項目説明 要件 業務継続性 可用性を保証するにあたり、要求され サービス切替時間 る業務の範囲とその条件。 備考 レベル 0 1 2 【要件】 24時間以上 24時間未満 2時間未満 サービス切替時間とは、想定できる障害(例えばハードウェアの故障等により業務が 一時的中断するケースなど)に対して、対策を施すこと(例えばクラスタ構成での サーバの切替えなど)により、業務再開までに要する時間を指す。 3 60分未満 4 10分未満 5 1 モデルシステム 2 3 4 要件内容 備考 60秒未満 【運用コストへの影響】 中断を許容する時間が長くなれば、復旧対策としてはシステムでの自動化から人員 による手動での対処に比重が移るため、運用コストへの影響が出てくる。 業務継続の要求度 A.1.2.3 A.2.5.1 耐障害性 ストレージ ディスクアレイなどの外部記憶装置で 冗長化(機器) 発生する障害に対して、要求された サービスを維持するための要求。 【要件】 業務継続の要求度とは、発生する障害に対して、どこまで業務を継続させる必要が あるかを示す考え方の尺度を示している。 システムを構成する機器や部位には、単一障害点SPOF(Single Point Of Failure) が多数存在し、システム停止となるリスクを多く含んでいる。これらのSPOFを許容す るか、冗長化などの対策で継続性をどこまで確保するかが要求の分かれ目となる。 障害時の業 単一障害時 二重障害時 務停止を許 は業務停止 でもサービ 容する を許容せ ス切替時間 ず、処理を の規定内で 継続させる 継続する 【要件】 非冗長構成 特定の機器 全ての機器 のみ冗長化 を冗長化 NAS、iSCSI対応の装置を含む。 ➀ ②③④ ただしNASやiSCSIはLANなどのネットワークに接続して利用するため、NASやiSCSI の接続環境の耐障害性対策は小項目A.2.4ネットワークに含まれる。 非冗長構成 全ての機器 ← を冗長化 ← 全てのコン ポーネントを 冗長化 特定のコン ← ポーネント のみ冗長化 ← ← オンライン オフライン バックアップ バックアップ ④ +オンライン バックアップ オフライン ← バックアップ ← オンライン バックアップ OR オフラ インバック アップ+オン ラインバック アップ データインテグリティ 【要件】 エラー検出 エラー検出 エラー検出 データの完 データに対して操作が正しく行えること、操作に対して期待した品質が得られること、 無し のみ &再試行 全性を保障 またデータへの変更が検知可能であることなどを物理レベルで保証する。 (エラー検出 &訂正) 【レベル】 ➀②③④ 仕組みの実装は、製品、業務アプリケーションによる検出を含む。 データの完 ← 全性を保障 (エラー検出 &訂正) ← ← 【レベル1】 特定の機器のみとは、導入するストレージ装置に格納するデータの重要度に応じ て、耐障害性の要求が装置毎に異なる場合を想定している。 A.2.5.2 冗長化(コンポーネ ント) A.2.6.1 データ データの保護に対しての考え方。 バックアップ方式 【レベル1】 ストレージを構成するコンポーネントとして、ディスクを除く、CPUや電源、FAN、イン ターフェースなどを必要に応じて冗長化することを想定している。 非冗長構成 特定のコン ポーネント のみ冗長化 ➀②③④ 【重複項目】 バックアップ オフライン C.1.2.7。バックアップ方式は、バックアップ運用設計を行う上で考慮する必要があり、 無し バックアップ 運用・保守性と重複項目としている。 ➀②③ 【レベル】 オフラインバックアップとは、システム(あるいはその一部)を停止させてバックアップ を行う方式、オンラインバックアップとはシステムを停止せず稼働中の状態でバック アップを行う方式を指す。 A.2.6.3 C.3.3.1 運用・保守 性 障害時運用 システム異 システムの異常を検知した際のベン 常検知時の ダ側対応についての項目。 対応 対応可能時間 C.3.3.2 駆けつけ到着時間 C.5.5.1 サポート体 一次対応役 一次対応のユーザ/ベンダの役割分 一次対応役割分担 制 割分担 担、一次対応の対応時間、配備人 数。 C.5.6.3 サポート要 サポート体制に組み入れる要員の人 ベンダ側対応者の要 員 数や対応時間、スキルレベルに関す 求スキルレベル る項目。 【要件】 システムの異常検知時に保守員が作業対応を行う時間帯。 ベンダの営 業時間内 (例:9時~ 17時)で対 応を行う ➀ 【要件】 保守員の駆 システムの異常を検出してから、指定された連絡先への通知、保守員が障害連絡を けつけ無し 受けて現地へ到着するまでの時間。 ユーザの指 定する時間 帯(例:18時 ~24時)で 対応を行う ② 保守員到着 が異常検知 から数日中 24時間対応 を行う ③④ 保守員到着 が異常検知 からユーザ の翌営業日 中 保守員到着 が異常検知 からユーザ の翌営業開 始時まで ➀ 保守員到着 保守員が常 が異常検知 駐 から数時間 ④ 内 ②③ システムの 運用や保守 作業手順に 習熟し、 ハードウェア やソフトウェ アのメンテ ナンス作業 を実施でき る システムの 開発や構築 に携わり、 業務要件や ユーザの事 情にも通じ ている 全てユーザ 一部ユーザ 全てベンダ が実施 が実施 が実施 指定無し 有識者の指 導を受けて 機器の操作 を実施でき る システムの 構成を把握 し、ログの収 集・確認が 実施できる 非機能要求項目一覧から レベル参照部 : モデルシステム参照部 : 要件定義部 : 高回復力要件に対応する37件を抽出レベル毎の要件内容 各モデルシステムに既定の要件値検討対象の要件等 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 21 SEC Software Engineering for Mo・No・Zu・Ku・Ri 3.高回復力システム基盤導入ガイドの概要 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 22 SEC 高回復力システム基盤導入ガイド <ガイドの目的> より簡易に高回復力システム 基盤を導入するための手順 や実践的手法を提供する <想定する読者> 事業継続のための情報シス テム対策に未着手、不十分と 考えている組織の方々。 取り組み実施中の組織でも、 実施している対策の確認や 継続的な改善に活用してい ただける。 IST 2013 Software Engineering for Mo・No・Zu・Ku・Ri 高回復力システム基盤導入ガイド 高 回 復 力 シ ス テ ム 基 盤 導 入 ガ イ ド (概要編) 経営者中心 に幅広く 2012年 5月 公開 高 回 復 力 シ ス テ ム 基 盤 導 入 ガ イ ド (計画編) 情報システム 部門向け 2012年 5月 公開 高回復力シ ステム基盤の 必要性や構 築方法の概 要を紹介 対策となる高 回復力システム 基盤の要件を 決定し、構築計 画を策定する 手順を説明 冊子版、 電子版 電子版 Copyright © 2012, 2013 IPA, All Rights Reserved. 高 回 復 力 シ ス テ ム 基 盤 導 入 ガ イ ド (事例編) 経営者はじめ 幅広く 2012年 7月 公開 文献調査やア ンケート、イン タビューの結 果から有効な 対策例を紹介 電子版 Software Engineering Center 23 SEC Software Engineering for Mo・No・Zu・Ku・Ri ご清聴ありがとうございました。 IST 2013 Copyright © 2012, 2013 IPA, All Rights Reserved. Software Engineering Center 24