 |
2009年3月6日、都内にて「中堅・中小企業のための事業継続計画とIT災害対策セミナー」(主催:@IT情報マネジメント編集部)が開催された。
基調講演では、情報通信総合研究所の主任研究員で経済産業省の「ITサービス継続ガイドライン」の策定委員の1人である原田 要之助氏が、同ガイドラインを中心に中堅・中小企業が事業継続・ITサービス継続に取り組む際のポイントについて語った。
 |
| 情報通信総合研究所 主任研究員 大阪大学大学院工学研究科特任教授 原田 要之助氏 |
原田氏は、ITサービス継続マネジメントとは計画策定(文書)にある対策実施・教育訓練・維持改善の計画に基づいて実装・運用・維持の実作業を行い、それが確実に実行できているかを点検や監査して、PDCAサイクルを回すことと述べ、「ITサービス継続ガイドライン」はITにかかわるリスクと重要なITサービスがどれかを洗い出す際のリファレンスとして活用できると説明した。重要なITサービスとして従来、基幹系といわれるアプリケーションを挙げることが多かったが、電子メールは意外に漏れているので注意が必要だと指摘。最後に、ITサービス継続計画を作る前に事業継続計画を策定し、本当にITサービス継続が必要かどうかを判断したうえで取りかかるべきだと、講演を締めくくった。
以下に主なセッション2つに焦点を当てて、概要を紹介しよう。
 イベントレポート インデックス |
|
 |
『取引継続に最低限必要なセキュリティ機能とコスト削減のケーススタディ』 ‐ フォーティネットジャパン |
|
『簡単・低コストで実現! 今、注目の事業継続ソリューション』 ‐ サイオステクノロジー |
 |
セッション1:フォーティネットジャパン 『取引継続に最低限必要なセキュリティ機能とコスト削減のケーススタディ』 |
 |
| フォーティネットジャパン株式会社 マーケティング本部 本部長 西澤 伸樹氏 |
中堅・中小企業の場合、取引先との関係においてビジネスが継続できるか、という点が大きい。このセッションでは、取引先に情報セキュリティ対策を行っていることが説明できる体制を築くことを論じていきます。
フォーティネットはシリコンバレーを拠点にグローバルに展開する、ASICをベースにしたUTM(統合脅威管理)のNo.1企業です。
さて、昨今の不況で残念ながら技術力のある失業者が増えています。失業率が上がると刑法犯も増えるという傾向が見られ、ITの犯罪が増えていくことが予測できます。
失業者でなくてもネットワークに接続した環境では、不正アクセスなどを行うことが容易になっており、IT業界でユーザー企業に人を派遣するような場合、相手取引先から「大丈夫なのか」と思われてしまう状況にあります。すなわち、外部からのアタックだけでなく、内部にも注意が必要な状況です。
現在、取引先に対するセキュリティ基準を持っている大企業が出てきています。しかし中堅・中小企業では万全の対策を求められても、コストや人材の面であらゆる対策を網羅的に行うことは困難です。ある1つの考え方をもって、「一貫したポリシーの下、セキュリティ対策を行っています」という説明を取引先に行える体制を築くことが大切ではないかと思います。そこで最低限のセキュリティを実現する1つのアイデアを提案していきます。
まず、ISMSやPマークが明示的に求められる場合は議論の余地はありませんが、そうでない場合は取引先側と条件をすり合わせることになるでしょう。このとき、自社のこういう方針でセキュリティに取り組んでいるというポリシーは必須です。このポリシーは、誰にとっても分かりやすいものでなければなりません。
情報セキュリティポリシーとは、「どのような情報資産を、どのような脅威からどのように守るのか」を決めることです。これを定めていく際の参考としてお奨めなのが、「PCI(Payment Card Industry)セキュリティ基準」です。これは米国のクレジットカード業界が定めたもので、12の要件にまとまっていて理解しやすい。
こうして情報セキュリティポリシーと問題発生時の手順・手続きができたとして、次にそれを具体的に実現する方法が問題です。フォーティネットジャパンではこれをコストコンシャスに実現する方法を提供します。
私どもが提供しているFortiGateというアプライアンス製品は、ファイアウォール以外にアンチウイルス、Webフィルタリング、不正侵入防止(IPS)、アンチスパムの機能が1台に入っています。専用のASIC(専用IC)を使っているため、処理が高速です。現行システムが複数サーバで動いている場合、多機能アプライアンスである本製品を導入すると、サーバを削減できます。
また、内部犯行に対応するためにFortiGateを使う例も増えています。不正競争防止法が改正され、産業スパイも取り締まりの対象となっていますが、このためには守りたいデータは法的に「営業秘密」として扱う必要があります。PCIセキュリティ基準でもネットワークセグメンテーションはキーワードの1つになっていますが、ミッドレンジのFortiGateをLANスイッチに代えて設置することで、ファイアウォールを使ってセキュアなネットワークセグメンテーションを実現できるのです。
さらにFortiGateには仮想化の機能が搭載されおり、1台のアプライアンスを複数に分割し、別の設定をして管理できます。レガシーファイアウォールが社内に散在しているならば、それを束ねて1台のFortiGateにリプレイスすることをお奨めします。
中堅・中小企業のためのBCP――取引先から求められる「最低限のセキュリティ」 TechTargetジャパンでさらに詳しい資料を読むことができます。 |
|
セッション2:サイオステクノロジー 『簡単・低コストで実現! 今、注目の事業継続ソリューション』 |
 |
| サイオステクノロジー株式会社 マーケティング企画部 マーケティンググループ 今岡 田津子氏 |
事業継続とは、トップマネジメントの課題である“リスクマネジメント”の要素の1つとなるものです。公共性の高いビジネスを展開している場合などでは特にそうですが、事業継続それ自体がある種の企業の社会的責任となると考えることができます。
事業継続はリスクマネジメントの一環ですから、対象となるのは企業を取り巻くリスクです。一般的な災害のほか、ネットワークトラブルやコンテンツの増大によるパフォーマンスへの影響、サイバーテロ、ITシステムの動作不具合といったITリスクがあります。ITリスクは、ITへの依存度が増えれば増えるだけ、企業全体のリスクの中での比率が高まります。
事業継続にまつわるトラブルの中でITに関係するものがどれくらいを占めるのかを、経済産業省の「事業継続計画策定ガイドライン」の中から見てみると、事業中断の原因として挙げられているのは「機器故障」「ソフトウェア障害」「通信の故障」といった、ITシステムそれ自体のトラブルが大半を占めています。こうしたITシステム関連のトラブルが、リスクマネジメントの対象となることがお分かりかと思います。
事業継続に関する対策の中核にあるのが事業継続計画です。これは、企業は事件・事故の発生を想定して、どのシステム(機能)をどのタイミングでどのレベルまで復旧するかの計画と、復旧作業の手順を定めたものです。実際の緊急時には、この計画に基づいて段階的に復旧を進めていくということになります。
事業継続の具体的な対策は、対応する業務タイプを「復旧緊急度」と「求められる業務の信頼性」の2軸で整理することで分類できます。復旧緊急度が低く、信頼性に関してもノンクリティカルな業務の場合は、定期的なシステムデータのバックアップが対応します。それに対して復旧緊急度が高く、求められる信頼性もクリティカルな分野については、サイオステクノロジーが提供するソリューションとして、HAクラスタリングをご紹介します。そして復旧緊急度と信頼性がともに中程度の分野をカバレッジするものとしてデータ・レプリケーションがあります。さらにデータ・レプリケーションのアドバンス機能として、CDP(Continuous Data Protection)というソリューションがあります。CDPのカバー範囲は、緊急度、信頼性へのクリティカル度ともにHAクラスタリングソリューションとデータ・レプリケーションソリューションの中間にあります。
事業継続の復旧フェイズの中で、緊急対応に適応するのがHAクラスタリングソリューションです。これはアプリケーションのレイヤを含めてサーバを完全に二重化し、高い障害対策体制を実現するソリューションです。対応製品としては「SteelEye LifeKeeper」「SteelEye DataKeeper」があります。これらは、システムを停止させてしまうようなハードウェアの故障、OSのハングアップ、アプリケーションのストールなどの障害をすべて検知し、あらかじめ二重化されたサーバにサービス実行の主体を切り替えるという機能を提供します。
業務再開のフェイズでは、最低限の業務再開を実現するソリューションとして遠隔地へのデータ複製を行うデータ・レプリケーションがあります。業務再開フェイズは事業継続計画の優先順位に従って、順次、システム(機能)を再開するという段階ですが、システムやデータの復元のために、多くの企業ではバックアップ・ソフトが使われているでしょう。バックアップにテープメディアを使っている場合、元の状態に戻すには非常に時間がかかり、復旧緊急度が比較的高い場合は能力的に不足します。データ複製をリアルタイムに行うレプリケーション・システムであれば、障害時に早期回復ができるようになるというわけです。
サイオステクノロジーが近日発売する「SteelEye DataKeeper」はデータ・レプリケーションとしての側面と、HAクラスタの一機能としての側面を持ち、緊急対応から業務再開までをカバーします。HAクラスタリングに関してはWSFC(Windows Server 2008 フェイルオーバークラスター)と連携して動作します。個々のサーバにあるデータをほかのサーバに同期および非同期でレプリケートするデータミラーリング機能を持ち、一般にHAクラスタ環境で要求される共有ストレージ・システムを代替できるため、安価にHAクラスタリングが実現可能です。また、一般的にHAクラスタのシステムは構築が難しいため、それが原因でシステムダウンを誘発するという場合がありますが、「SteelEye LifeKeeper」「SteelEye DataKeeper」は設計が簡単になっており、人的ミスのリスクを軽減します。
|
事業継続ソリューション TechTargetジャパンでさらに詳しい資料を読むことができます。 |
提供:
フォーティネットジャパン株式会社
サイオステクノロジー株式会社
企画:アイティメディア 営業局
制作:@IT情報マネジメント編集部
掲載内容有効期限:2009年3月31日
| イベントレポート インデックス |
|
|
『取引継続に最低限必要なセキュリティ機能とコスト削減のケーススタディ』 ‐ フォーティネットジャパン |
|
『簡単・低コストで実現! 今、注目の事業継続ソリューション』 ‐ サイオステクノロジー |
 ホワイトペーパー |
 |
| |
|
 スポンサー |
|
| ||||
| ||||
ITmediaはアイティメディア株式会社の登録商標です。
