給与システムの停止にどう対処する? 災害に備える「復旧チェックリスト」:給与システムのDR計画【後編】
給与システムに障害が発生した際、冷静に対処するには、あらかじめ行動計画を策定しておくことが不可欠だ。実効性のあるDR計画を策定する手順と、障害発生時の具体的な手順を解説する。
サイバー攻撃やシステム障害によって給与計算が停止すれば、従業員の生活を直撃するだけではなく、企業の信頼を根底から揺るがしかねない。こうした事態を回避するためには、給与システムの災害復旧(DR)計画が不可欠だ。
ただしDR計画を定めただけで安心してはいけない。本当に機能するDR計画を策定し、日頃からテスト、更新しておくことが重要だ。以下では給与システムのDR計画を立てるための具体的なステップと、システム障害発生時の対処を支援するチェックリストを詳解する。
DR計画の策定手順
併せて読みたいお薦め記事
連載:給与システムのDR計画
DR計画の重要性
給与システム向けのDR計画を策定する際は、まず、全社的なDR計画に含めるのか、独立したDR計画として策定するのかを決定する。DR計画の策定は、以下の手順に沿って実施するとよい。
- DR計画を策定するための経営層の承認と予算を確保する
- DR計画策定チームを立ち上げる
- DR計画策定を管理するためのプロジェクトの計画を作成する
- 特定の業務が停止した場合に、ビジネス全体にどのような影響が及ぶかを分析、評価する「ビジネスインパクト分析」(BIA)を実施し、給与計算が停止した場合の影響を特定する
- リスクアセスメント(リスクの特定、分析、評価)を実施し、給与システムとそのデータベースに関するリスク、脅威、脆弱(ぜいじゃく)性を特定する
- 障害発生時に、給与計算の復旧と再開を円滑に進めるための戦略を策定する
- 給与データのバックアップ、給与システムのバックアップ、ネットワークの耐障害性確保などが対象になる。
- 給与システムの障害を検出した際に取るべき初期対処を定めた、インシデント対応手順を策定する
- 給与システム、データベース、ネットワークの復旧手順を策定する
- クラウドサービスを利用している場合は、クラウドベンダーが実施するDRのプロセスを考慮した復旧手順を策定する必要がある。
- 給与計算処理の復旧と再開が成功したことを検証する手順を策定する
- DR計画をテストし、給与システムとデータが復旧可能であることを検証する
- 給与計算ツールのベンダー、インフラベンダーなどの関連当事者と、DR計画を見直す
- 計画が最新かつ実行可能であることを保証するため、テストや見直しを継続的に実施するスケジュールを設定する
給与システムのDRチェックリスト
給与システムのDR計画を策定した後、実際にそれを行使するときが来た場合は何をすべきか。給与システムの障害に直面した場合、管理者はインシデントの発生前、発生中、発生後に以下の手順を検討すべきだ。
インシデント発生前
- 給与データをバックアップする
- 給与システムのバックアップがあることを確認する
- ネットワークが復旧可能であることを検証する
- DR計画を定期的にテストし、必要に応じて更新する
- 緊急対処を担当するチームが、システム復旧の訓練を受けていることを確認する
インシデント発生中
- 災害の範囲を評価する
- 従業員と経営層に、インシデントの発生と復旧の見込み時期を通知する
- 給与システムを停止させた原因を特定する
- 給与データが被害を受けていないことを確認する
- 社内または外部事業者の支援を受けて、給与システムを修復、復旧する
インシデント発生後
- 何が起こり、問題をどう解決したか、DR計画のどの部分が機能し、どの部分が機能しなかったかをまとめた事後報告書を作成する
- インシデントの結果と事後報告処に基づき、DR計画を更新する
- 経営層や関係者に事象を報告する
- 継続的な改善活動に戻る
給与管理サービスを利用している場合の考慮点
クラウド型の給与管理サービスを利用している場合は、そのサービスベンダーがDRにどう取り組んでいるかを確認する必要がある。特に給与データの保護、給与システムの復旧、ネットワークの復旧に注目するとよい。
ただしサービスベンダーのDR計画を全面的に信頼することは避けるべきだ。サービスベンダーと締結するSLA(サービス品質保証)において、DRに関する項目を明確にしておくことが望ましい。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。