リスクアセスメントやビジネス・インパクト分析によって、ITサービス継続性に対する 要件を明らかにした後に行うべきことは、ITサービス継続性の方針、すなわち
ITサービス継続性戦略を策定することです。 事業の継続を脅かす様々な脅威のリスクレベルを把握することで、 事業のニーズを満たすリスク対策を検討することができます。
この時に忘れてならないことは、事業の観点からも対策を検討するということです。 ITの立場からすれば、止まったITを復旧させることでビジネスを復旧させることが 最良の選択肢であり、当然の責務にように思い込みがちですが、 場合によってはより安価でより確実な対策が存在するケースもあります。
例えば、高度なIT技術を駆使して、次の日の仕入れ量を決定する小売業の 会社があったとします。このシステムは、昨年度までの傾向、前日の売り上げ、 次の日の天気や行事など、豊富なパラメータを利用して最適な仕入れ量を 算出しているとします。
このシステムが何らかの理由で利用できなくなった時、どのような 対策が考えられるでしょうか。各店舗の仕入れ量を 前週、あるいは前日と同じにして仕入れを行った場合、事業に対してどのくらいの 損失がもたらされるかを考えてみることも必要かもしれません。
仮にこのシステムが仕入れと売上の精度を格段に高め、 その企業の成長に大きな貢献をしていたとしても、いざという場合に備えてITに頼らない 仕入れ量の決定方法を決めていれば、そのことこそが、あらゆる脅威に対抗できる ITサービス復旧技術よりも格段に少ないコストで実現できる、優れたリスク対策と なりうるのです。
ITサービス継続性管理は、ITに頼らない事業継続性の対策が機能することを前提に よりコストのかからないITサービスの復旧計画を選択することができます。
ITサービス継続性戦略では、大きく分けて2つのこと考慮しなければ なりません。 一つは、リスクが現実になる前に行うリスク対応手段であり、 もう一つはリスクが現実のもとのなってしまった後に行う復旧活動です。 すみやかな復旧活動を実施するための事前準備もリスク対応手段ですが、 まずは、それ以外の事前に行うリスク対応手段について考えてみます。
事前に行う代表的なリスク対応手段は、データが失われて 事業が復旧できないというリスクを回避するためにバックアップ・データを 遠隔地に保管することや、地震によるサービス中断のリスクをできるだけ 低減するためにマシンルームやデータセンタの耐震性を強化することなどが考えられます。
特に、バックアップ・データの遠隔地保管は地震以外にも、火事や操作ミスなどによる データ喪失や、悪意によるデータ破壊などの脅威にも有効で、比較的安価で 技術的にも容易にできることから、多くの企業が実施しています。
次回は、2010/03/25 の予定です。
