単にデータをバックアップしているだけになっていないだろうか。いざというときに確実にリストアできなければ意味がない。リストアできることを確認するバックアップテストで確認すべき5つのポイントを紹介する。
事業の健全性を保てるのは最後にバックアップした時点までだといわれている。そのため、事業継続性とDR(災害復旧)戦略の要となるのが定期バックアップだ。
バックアップは、アプリケーションエラーや誤削除によるデータの破損から事業を保護する。マルウェアやランサムウェアに対する防御としてオフサイトバックアップの重要性も高まっている。
システムのダウンタイムは大きな代償を伴う。Gartnerによると、ダウンタイム1分当たりのコストは5600ドル(約58万円)になるという。
企業がビジネスプロセスのオンライン化を進めるにつれ、ダウンタイムのコストも跳ね上がる恐れがある。効果的にバックアップしていなければ、事業を回復できなくなるリスクもある。
バックアップしても、リストアできなければ事業を保護することはできない。バックアップのテストを定期的に繰り返すことが重要だ。
ランサムウェアの拡大によりテストの重要性が高まっている。クリーンでエアギャップを設けたバックアップが、ランサムウェア攻撃後に事業を再開する唯一の手段となるからだ。だがアナリストの推定によると、約3社に1社がバックアップのテストに失敗しているという。テストに成功したとしても、効果的ではなかった企業もある。
本稿では、バックアップによって事業を確実に保護するためにITチームが優先すべき5つの項目を紹介する。
バックアップをテストする最大の目的は、データを取り出して事業を継続できるようにすることだ。バックアップのポリシーは、事業継続計画やDR計画、データ保護戦略の面から確認する必要がある。
バックアップのポリシーでは、RPO(目標復旧時点)とRTO(目標復旧時間)を設定する。RPOは最新バックアップからの経過時間を設定する。つまり、RPOは事業の継続に際して許容可能なデータ損失量になる。RTOはシステムを復旧するまでの迅速性を指定する。復旧テストをしない限り、RTOとRPOを満たせるかどうか、つまり完全に復旧できるかどうかを知ることはできない。
ストレージボリューム、ユーザー、アプリケーションの各観点で、バックアップからファイル、フォルダ、ボリュームをリストアできることをテストする。
ビジネスアプリケーションでは、データベースのリストアが重要になる。非構造化データやユーザーデータの場合、サーバまたはNASをリストアすることが主なニーズになる。
だがボリューム、テープ、クラウドのバックアップからのリストアをテストするだけでは十分とは言えない。IT環境全体に損傷を与える機能停止のテストも計画する必要がある。
電気的障害やハードウェア障害に備えて、新しいハードウェアの組み込みと稼働のテストやバックアップサイトへのフェイルオーバーとそこでのリストアについてのテストも必要だ。
完全リストアと部分リストアもテストする。環境全体のリストアは時間がかかり、混乱を招く。重要なデータや脆弱(ぜいじゃく)なデータの小規模なテストや、削除されたファイルや破損したファイルのリストアテストを大規模DR訓練と組み合わせて行う。
オフサイトで保持するデータ、SaaSのデータ、クラウドで保持するデータをリストアできるかどうかもテストする必要がある。
バックアップのテストは規則正しく定期的に行う必要がある。理想的には全てのバックアップをテストすべきだが、実用的とは言えない。そこで、事業が受けるリスクの大きさやデータの重要性に基づいて定期テストのスケジュールを確保する必要がある。
毎年テストを実施する企業もある。だが、大規模なDR訓練を毎年行うだけでは不十分だ。毎月または毎週テストし、重要なシステム、アプリケーション、データはより高頻度でテストすることをデータ保護の専門家は推奨する。
システムの変更やアップグレードの前後にもバックアップのテストが必要だ。銀行業界で注目度の高い機能停止の多くは、単純なハードウェアアップグレードによって起きている。新システムを運用に移す前にテストする必要がある。
最初の問題は、バックアップが物理的に機能するかどうかだ。テープなどのリムーバブルメディアが機能するかどうかは明らかかもしれない。だがリストアソフトウェアもテストして、ドライブ、オフサイトのデータセンター、クラウドからデータを正しくリストアできることもテストする必要がある。DRの状況下では、大量の物理メディアの移送やWAN/LAN経由でのリストアが常に課題になる。
テストによって弱点が明らかになるだろう。テストではRTOとRPO、その他の規制要件を満たせることも確認する。
「『重要なビジネスサービス』ごとに中断の許容度を設定し、それらを確実に回復しなければならない。これには対象となるサービスをサポートするシステムのリストアも含まれる」と話すのは、コンサルティング企業PA Consultingでサイバーセキュリティ部門の責任者を務めるエリオット・ローズ氏だ。
(物理的に)リストアできるかどうかをテストするだけでなく、適切なデータが適切なシステムにリストアされることを確認する必要がある。
バックアップシステムでは、チェックサム検証や仮想マシンによる検証などを使ってリストアされていることを論理的に確認できる。だがデータを破損から保護するためにはさらなる確認が必要だ。
こうした確認には事業部門の関与が不可欠だ。不適切なデータセットや損傷したデータセットの検出にはその分野の専門家が適任だ。事業部門の担当者が、システムが最適な順序でリストアされたかどうか、RTO、RPO、規制の各目標を満たしているかどうかのフィードバックを提供する。
リストアテストに直接含まれるわけではないが、CIO(最高情報責任者)は機能停止中に事業継続性対策が正しく機能することや、オフサイトメディアからのリストア中にランサムウェアに対する保護が維持されていることを確認する必要がある。
CIOは、バックアップとリストアのプロセスが一貫して機能し、一貫してテストされていることを確認する必要がある。
つまりDRポリシーに従って部門間、アプリケーション間でバックアップに一貫性があることを確認する。バックアップは時間が経過しても一貫性を保つ必要がある。そのためには各バックアップが堅牢(けんろう)であることを把握する。社内ストア、社外ストア、クラウドデータストアのどこで障害が起きても事業が中断する。ストア全体でも可能な限り一貫性を確保する必要がある。
最後に、ITチームはテストの結果を記録し、学んだ教訓を共有し、その教訓に基づいて行動する。リストアテストやDRの訓練は混乱を招き、代償を伴う可能性がある。そのため、事業に役立つ投資にする必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
2006年に金融商品取引法にて規定された内部統制報告制度(J-SOX)では、「ITへの対応」が構成要素となっているが、IT統制の評価プロセスは工数がかかり、業務負担や監査コストが課題となっている。これらを解決する2つのアプローチとは?
企業のActive Directory(AD)にアクセスするためのパスワードが攻撃者の手に渡ると、ポリシー変更や権限昇格のリスクが発生する。だが実際は、使いまわしや共有など、パスワードのずさんな管理も目立つ。これを解決するには?
金融業界は常にイノベーションの創出が求められるが、これを実現する上では、オブザーバビリティの向上が鍵となる。本資料では、金融業界でのイノベーション創出に、オブザーバビリティの向上が必要な理由について解説する。
Google Chromeの拡張機能は、導入が容易であることからユーザーが独自にインストールしているケースも多く、セキュリティ面でのリスクが危惧されている。この問題を解消するには、拡張機能をまとめて管理者が安全に管理する方法が必要だ。
近く廃止される予定の Web 技術を使用している Web サイトは多数存在するが、それらを放置しておくことは、さまざまな問題につながるという。その4つのリスクを解説するとともに、レガシーテクノロジーを特定する方法を解説する。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
