情報システムの生命線――ディザスタリカバリ

1. ディザスタリカバリ（Disaster Recovery：以降DR）とは
一昨年あたりから、IT関連情報誌や各ベンダーが開催するITセミナー等で非常に多く登場したキーワードである。2001年9月に米国同時多発テロ事件も発生し、日本国内でも益々注目されるようになった。また、直訳では「災害回復」となるが、実際は災害対策と置き換えられて使われている。

2. DR（災害対策）の必要性
災害（自然災害：地震/火災など、人為的災害：テロ、サイバーテロ/ハッカー/侵略戦争など）を想定した情報システムの災害対策はどのように考えられているのだろうか。もし、不幸にも災害に遭遇し情報システムが機能しなくなった場合の行政事業（ビジネス）の継続性と、そのインパクトを把握しているだろうか。

10年ほど前までは、情報システムは業務処理効率の効率化、コスト抑制のためのツールとして位置づけられていたが、現在では企業及び行政事業活動には無くてはならない中枢的存在に変わってきている。また、この依存度はブロードバンドネットワークやユビキタス社会の到来により今後益々高まって行くものと容易に推察できる。 このような事から今まで以上に災害対策を真剣に考え対策を講じる必要性が生じている。

3. 行政事業（ビジネス）継続の重要性
情報システムが災害により機能しなくなったらどうなるか。行政事業や企業活動はいつ再開されるのか。次の二つのケースで考えてみたい。

1) 事業活動そのものが情報システムへの依存度が低いケース 　各種ファシリティも含め人海戦術ならぬ人手による復旧活動が中心。 2) 事業活動そのものが情報システムへの依存度が高いケース 　前述 1)に加え、IT関連の設備、H/W（含む通信機器）、S/W 等、コンピュータシステム一式と、最終的には被災直前のデータを含めシステムとしての復旧が必要となる。

　最終顧客または最終利用者の利便性（時間や場所等からの解放）を考えればIT化の推進は明白であり、今後スピードや範囲がますます増して行く事は周知の事実である。

これらを踏まえると、情報システムへの依存度が高いケースの方が、被災時のインパクト（影響度）が大きく、復旧作業までの期間＝行政事業（ビジネス）停止期間を最小限にくい止めるべく継続性の追究が非常に重要なテーマとなってくる。

次に、被災後に行政事業（ビジネス）を再開するために必要となる主要リソースについて簡単に触れてみたい（情報システムへの依存度が高いケースのみ）。

a) ファシリティ（設備）…ビル、ライフライン（水、電気、水道）、空調、マシンルーム等、b) コンピュータ…H/W（サーバ＆ストレージ、周辺機器　等）、S/W（OS、各種アプリケーションプログラム等）、c) システム…各種データ・セット：各種D/B、メール、各種電子ファイル等＜被災直前まで復旧し、各種アプリケーションの正常動作確保＞、d) 要員…情報システム運用、保守要員、e) 各種マニュアル…システム運用、操作手順書等。

災害範囲が広域か局所的かにもよるが、ざっと列挙したたげでも以上の主要リソースは最低限必要であり、これらを用意し正常な状態で稼働させるまでには、準備や計画無くしてゼロからの出発では気の遠くなるような道のりである。

以上の事から、先行する米国では自然災害のみならず爆破テロによる災害を現実幾度か被っており、DR対策としての BCP（Business Continuity Plan）や BCM（Business Continuity Management）という考え方で、ビジネス継続性の追究は現実無視できないものとして非常に重要視されていると共に、企業のみならず、国・行政を挙げて対策を推進している。

4. 災害対策の検討（計画）と実施について
では、どのように災害対策の検討を進めれば良いか、我々の経験も踏まえてポイントを挙げてみたい。

まず、災害時の行政事業（ビジネス）の継続性を追究する上でベストプランは何か。情報システム上での究極のプランは、全て二重化を施し（ex.主センターとバックアップ（副）センターでシステムを稼働）、被災時には瞬時にバックアップセンターへ切り替えて運用する事である。

米国同時多発テロ時の記事から引用する――「2001年9月11日 米同時多発テロ― AM8：46に、マンハッタン南端部の世界貿易センター（WTC）第一ビルで旅客機が激突した。隣接した9階建ての WTC 第4ビルにあるニューヨーク商品取引所（NYBOT）では取引を中止しビルから避難した。ところが、ビルとコンピュータシステムが完全に破壊されたにも関わらず、同日のPM8時には早くも取引再開の準備は完了した」

しかし、現実はどうであろうか。現実これらを運用するには相当のコスト負担（投資）も必要であり、例えは悪いかも知れないが、生命保険と同様に、災害対策にどれだけ保険（コスト）をかけるのかという事になってくる。

当然ながら社会公共性の高い事業、人命や環境にまで影響を及ぼすような事業であればベストプラン以外は選択の余地もないが、その他の事業や業種については全てを二重化するという事は投資という観点からも現実容易ではない。そこで、現実的な着地点を導くためのアプローチとして、インパクト調査（BIA：Business Impact Assessment）の実施が必要となってくる。

5. 現実的なアプローチ
BIA の要点は、災害時における影響度について、事業、機能やサービス、更にはそれらを実際に動かしている情報システムというポイントで評価する事にある。

例えば情報システムであれば、それらが各種サブシステムや各種サービスから構成されているとして、Aシステム（サービス）が機能しなくなったらどうなるか、Bシステム（サービス）が機能しなくなったらどうなるか。等々、影響度を調査する事で、最終的には次のようなマップを作ることが可能になる。

＜前提＞指標1：事業（ビジネス）が被るリスク …内部的な視点 　　　　指標2：災害が事業（ビジネス）に及ぼすインパクト …外部的な視点 　1) 指標1＝高い、指標2＝高い ：完全無停止化、冗長性確保が必要 　2) 指標1＝低い、指標2＝高い ：復旧計画が必要、冗長性を考慮した設計が必要 　3) 指標1＝高い、指標2＝低い ：事業の多少の停止は許容、迅速なリカバリが必要 　4) 指標1＝低い、指標2＝低い ：リカバリはベストエフォート型、代替手段を考慮

2)、3) の優先度は付けづらいものの、おおよそ 1)〜4) の優先度順でマッピングできる。

これらをベースにすれば、次ステップである現実的な災害対策の検討が、投資対効果という視点で論理的に判断できるようになり、最終的には確実且つ適切な災害対策の構築に繋がるものと考える。

最終的に唯一想定困難なものは災害の発生確率であり、「起きないであろうと」言いたいが誰も断言はできない。世界最先端のIT国家を目指す国とすれば危機管理の一環として最大限善処すべきであろう。

葛谷（かつや） 幸司 日本ユニシス株式会社 アドバンストテクノロジ本部／IT統括部／サーバコンピューティング技術部長

提供：日本ユニシス