Data(1)
83%:重要なシステムのダウンタイムが12時間以下でなければビジネスに悪影響が出るData(2)
29%:データ損失から1日以上データを回復することができなかった出典:Arcserveが2022年9月に実施したデータ損失に関する調査結果より抜粋
これは中堅・中小企業のIT意思決定者を対象にした調査結果ですが、大学にも該当します。システムのダウンタイムやデータ損失を最低限に抑え、早急に復旧させなければ、大学の業務継続にも悪影響を及ぼすことは明らかです。そのために必要なのはBCP(Business Continuity Plan:事業継続計画)の策定です。
この記事では、大学でのBCP策定に必要な情報を、データ保護ベンダーの視点でまとめています。
大学でBCPを担当する部門の職員の方、あるいはBCPの責任者である学長やその関係者のみなさん、大学のシステム構築にかかわるシステム構築ベンダーのみなさんにもお読みいただけたら幸いです。
BCPとは
BCP(Business Continuity Plan)とは、組織や企業が災害や緊急事態に遭遇した際に、事業継続を確保するための計画です。BCPは組織全体の持続性を確保するためのガイドラインや手順を提供し、リスクを最小限に抑えながら適切な対応策を講じることを目的としています。
BCPでは、災害発生時には人命の安全確保や事業活動の継続、施設や資産の保護、情報の管理と復旧、などが重要な要素となります。BCPはあらゆる組織や企業において重要であり、自然災害、技術的な障害、人為的な事件など、予測可能なあらゆるリスクに対して備える必要があります。BCPの策定により、組織は迅速かつ適切に対応し、業務の中断を最小限に抑え、持続的な運営を確保することができます。
目次
1.大学でBCP策定が必要な理由
大学においても、もちろんBCP策定は必要です。
自然災害、新型コロナウィルスをはじめとする感染症、サイバー攻撃といった非常事態が発生した時、大学では研究や教育施設としての業務をいかに維持するかを考えなくてはなりません。
もっとも重要なことは学生や教職員の命と安全を守ること、そして学業や研究を継続すること、さらには大学の業務や学生に関する重要な情報が損壊・消失した場合にこれを復旧させ業務を再開させること、です。
また災害発生時に大学は避難場所としての役割を地域社会から求められる場合もあり、これに備えた準備も必要です。
- 学生や教職員の安全確保
- 学業や研究の継続
- 重要データの保護と復旧
- 地域社会への貢献
具体的にご説明します。
・学生と教職員の安全確保
大学は多くの学生や教職員が関わる場であり、彼らの安全確保は最優先項目です。BCPは災害発生時に人々の安全を守るために必要な対応策を講じる指針となります。
・学業や研究の継続
大学では日々授業や研究が行われています。BCP策定により、災害や緊急事態においても学業や研究を継続するための手段を具体化します。たとえばオンライン授業や臨時キャンパスの設置などが含まれます。
・重要データの保護と復旧
大学では、重要データの保護とその復旧に関する計画をあらかじめ策定しておく必要があります。学生のテスト結果や成績、研究データのほか、授業料などの財務情報は、安全に保護されるべきです。災害やサイバー攻撃などからこうした重要データを守ることは、学業や研究を継続する上で必須であるだけでなく、大学を運営していく上でも死活問題となるからです。
・地域社会への貢献
地域や社会に貢献する施設であることが大学には求められるようになってきています。たとえば地域社会の一員として、災害発生時に避難場所や物資の提供など、地域のニーズに応じた支援活動を行うことが必要です。
このほか、大学には多くの施設や、科学的・文化的・歴史的にも貴重な資産が数多くあります。BCPはこれらの資産を保護し、損失を最小限に抑えるための対策を策定します。
<大学で復旧を優先すべきデータとは?>
災害が発生した場合など、大学では以下のようなデータが最優先で安全に保護されるべきです。
- 学生の個人情報: 学生の氏名、学籍番号、連絡先などの個人情報は、プライバシーとセキュリティの観点から重要です。教職員についても同様です。
- 研究データ: 研究プロジェクトや学術論文に関連するデータは、研究者や学生にとって代替の利かない重要なデータです。
- 教育関連データ: カリキュラム、教材、学生の成績情報などは、教育プロセスの継続において重要です。
- 経済的な情報: 大学の財務記録、奨学金や助成金のデータ、経理情報などは、大学の運営において重要な要素です。
大学によって優先度は異なります。状況に応じてこうしたデータの復旧優先順位を設定しましょう。
2.大学のBCPで策定すべき具体的なポイント
大学でのBCPで策定すべきポイントは以下の6点です。
1.リスク分析
2.事業継続や復旧の優先順位付け
3.災害など非常時の行動計画
4.代替施設の確保
5.復旧目標時間(RTO)と復旧目標ポイント(RPO)の設定
6.データ保護
1.リスク分析: 潜在的なリスクや災害シナリオを評価し、大学における業務(学業や研究活動を含む)への影響度を把握します。自然災害、人為的な災害、技術的な障害など、様々なリスク要因を考慮します。
2. 事業継続の優先順位付け: 事業継続にとって重要な業務やプロセス、データを特定し、優先順位付けを行います。どの業務が最も影響を受けるか、また最も迅速に回復すべきかを明確にします。
3. 災害など非常時の行動計画: 災害や緊急事態が発生した際の緊急時の対応手順やコミュニケーションプランなどの行動計画を策定します。避難手順、連絡先リスト、応急処置の手順などが含まれます。
4. 代替施設の確保: 生徒が学業や研究活動を継続できるよう、また職員が業務を継続できるよう、学校拠点や授業方式の代替案の確保を検討します。
5.目標復旧時間(RTO)*と目標復旧ポイント(RPO)の設定: RTOは、障害発生後に事業を回復する目標時間を定義します。RPOは、障害発生前のデータの復元ポイントを定義します。これらの目標を設定することで、事業継続性の要件を明確化します。大学においては、緊急時における業務・授業・研究活動などのRTO/ RPOを定めておく必要があります。復旧の優先順位が高い業務ほど、RTO/ RPO両方を設定したほうがいいでしょう。
6. データ保護: セキュリティ対策を講じたバックアップ体制を確立し、重要なデータやシステムを保護するための適切な手段を導入します。また、授業や研究、業務を止めない仕組みとしてレプリケーション機能の導入も検討するとより安全です。バックアップとレプリケーションについては3章で詳しくご紹介します。
*参考記事:
目標復旧時間(RTO)とは?意味や設定方法を詳しく解説レプリケーションとは、仕組み~3つのお勧めケースまで総解説
3.大学で堅牢なデータ保護体制を確立するための2つの方法
この章では、データ保護ベンダーのArcserveが、大学で堅牢なデータ保護体制を確立するための2つの方法として、特に①「バックアップ」と②「レプリケーション」にフォーカスしてご説明します。
結論から言いますと、より堅牢なデータ保護が必要な重要業務においては、①「バックアップ」と②「レプリケーション」の両方を導入することをお勧めします。両者はそれぞれ違う特徴や目的を持っていて、どちらも必要だからです。
それぞれみていきましょう。
3-1. バックアップ
バックアップとは、業務で使用するデータを複製し保管することです。重要なデータがウィルス感染や機器の故障などで破損・消失すれば業務の継続も難しくなります。このような場合に備えてデータを安全な場所に保管する、保険のような存在です。
バックアップには、ファイル単位で個別にバックアップをとる「ファイルバックアップ」と、ファイルだけでなくアプリ構成やオペレーティングシステムなどコンピューターの完全なコピーを作る「イメージバックアップ」があります。
バックアップでは、データの世代管理や長期保存を主な目的としています。
何らかの理由でデータが損壊・消失してしまった場合でも、バックアップデータがあれば業務を再開することができます。世代管理とは、直近のバックアップ時点に復元できるだけでなく、その前の任意の時点からでも復元できるように管理することです。
バックアップ時には長期間・複数世代のバックアップデータを保持することで、万が一ランサムウェア感染した場合でも、感染していない世代のデータから復旧し、事業を再開することができます。(※)
ただし、データサイズによっては復旧に時間がかかることも忘れてはなりません。たとえば10テラバイトのデータを復旧するには丸1日かかることもありますので、復旧まで事業を再開できないという前提で、バックアップと復旧の計画を立てる必要があります。
※ランサムウェア対策には長期間・複数世代でデータを保持することをお勧めします。
データの安全性を担保するために、より長期間かつ多世代バックアップをお勧めします。感染タイミングの直前の状態に復旧できることが、業務再開の影響は最小限で済みます。そのためにはバックアップ頻度を増やすべきです。
例えば、1~2週間程度の日次バックアップ、あとは月次としてバックアップをとっておくような頻度では不十分です。最低でも、1カ月は日次レベル(可能であればより高頻度)でのバックアップを行うことを推奨します。また、1年以上の長期間バックアップデータを保持することをお勧めします。
*参考記事:「ランサムウェア対策の切り札!安全で変更不可能なバックアップを解説」
3-2. レプリケーション
レプリケーションとは、「複製(レプリカ)」を作る機能のことです。同じシステム環境のサーバー間で、通信ネットワークを介した転送によってほぼリアルタイムに同期を行い、同じデータが複数存在する状態にします。
●業務継続を目的とした災害対策
●パフォーマンス向上を目的とした負荷分散
を実現するためにはレプリケーションを利用することが必要です。
レプリケーションは、災害対策、事業継続、負荷分散を主な目的とし、リアルタイム性(データの鮮度)を重視しています。
たとえば、サーバーがダウンした場合、システム復旧までに数時間から数日かかることがあります。その後データを復旧させるため、業務再開までさらに時間がかかってしまいます。レプリケーションを利用すれば、リアルタイムにデータが複製され、どちらか一方のサイトが被災した場合でも、もう一方のサーバーにリアルタイムに切り替えて、即座に業務を継続することができます。
ただし、ランサムウェアに感染した場合、感染データをそのまま複製してしまうため、レプリカサイトでも事業継続が困難となりますので、十分に注意が必要です。
以下は、バックアップとレプリケーションを簡単に比較した表です。
| バックアップ | レプリケーション | |
| 目的 | データの長期保存・世代管理 | 災害対策・事業継続・負荷分散 |
| 頻度 | 設定による(1日に1回夜間に、等) | リアルタイム |
| ランサムウェア感染した場合 | 感染していない世代のデータから復旧可能(設定頻度によっては、1日以上前の古いバックアップデータになる場合もある) | 感染したデータもそのまま複製してしまう |
| 復旧までの時間 | データ復旧まで時間がかかる(データサイズによる) | レプリカサイトに切り替えてすぐに事業継続できる |
以下の図がそれぞれのカバーエリアを示しています。
このように、より堅牢なデータ保護体制を整えるには、「バックアップ」と「レプリケーション」のどちらかだけでは不十分な場合があり、万全を期すには両方が必要ということが明らかです。
*参考記事:
増え続けるバックアップデータを激減できるバックアップと世代管理の方法レプリケーションとは、仕組み~3つのお勧めケースまで総解説
データ保護ベンダーであるArcserveでは、システムバックアップソフトの「Arcserve UDP」に加え、レプリケーションソフト「Arcserve Replication」とその上位製品「Arcserve High Availability」を取り揃えています。
4.BCP実践に取り組む大学の事例~国際基督教大学の場合
大学でBCP実践に取り組む事例として、この章では国際基督教大学(ICU)のケースをご紹介します。
◆災害に備え、クラウドへの遠隔地バックアップを検討
ICUのITセンターでは、将来的に起こりうる大規模な自然災害に備え、遠隔地へのバックアップを検討していましたが、三鷹キャンパス以外にバックアップ先となる適切な拠点がありませんでした。そこで同大学では、クラウドを遠隔地バックアップ先として検討しました。
◆クラウド利用の懸念をArcserveが払拭ICUでは、クラウドをバックアップ先として活用する際に懸念点がありました。
<懸念その1>クラウド独自の運用方法やスキル
クラウドの利用にはオンプレミスとは異なる運用方法やスキルが必要となるため不安を抱えていました。しかし、Arcserveのクラウドバックアップサービス「Arcserve UDP Cloud Hybrid」がこの不安を払拭しました。
ICUは、2017年に導入したバックアップ専用アプライアンス「Arcserve UDP Appliance」の運用に慣れていたことから、同製品の管理コンソール画面でデータ転送先にArcserve UDP Cloud Hybridを追加設定するだけで、自動的に重複排除されたデータを転送でき、新しいスキルを習得する必要もありませんでした。「Arcserve UDP Cloud Hybrid」を採用することで、日頃のバックアップの延長感覚で、クラウドを活用した遠隔地バックアップを実現することができたのです。
<懸念その2>クラウド利用によるコスト
クラウドのストレージ費用やデータ転送費用の従量課金などに懸念がありました。しかし、ストレージサイズによる容量課金のみというライセンス体系やコストパフォーマンスの高さを誇る「Arcserve UDP Cloud Hybrid」によって、この不安も解決できました。
◆Arcserve UDPの標準機能である仮想スタンバイが急なシステム移行にも対応
ICUでは、新型コロナウィルス感染症の影響により、2020年4月から全て授業をオンラインによる遠隔授業に切り換えました。それに伴うアクセスの急増により、学習支援システムの拡張が迫られた際、Arcserve UDPの標準機能である仮想スタンバイを活用してシステム移行を実行することができました。
<Arcserve UDP Cloud Hybridの西日本リージョンを利用することで、クラウドへの遠隔地バックアップを実現>
※「Arcserve UDP Cloud Hybrid」では東日本リージョンと西日本リージョンから選択できます。ICUでは、より遠隔地を求めて西日本リージョンを選択しました。
この記事でご紹介した製品や大学での事例は以下をご参照ください。
<製品>
Arcserve UDP
Arcserve UDP Cloud HybridArcserve Replication and High Availability
<お客様事例>
国際基督教大学
まとめ
最後にこの記事をまとめます。
大学でBCP策定が必要な理由は4つ。
・学生や教職員の安全確保
・学業や研究の継続
・重要データの保護と復旧・地域社会への貢献
大学のBCPで策定すべき具体的なポイントは6つ。
・リスク分析
・事業継続や復旧の優先順位付け
・災害など非常時の行動計画
・代替施設の確保
・復旧目標時間(RTO)と復旧目標ポイント(RPO)の設定
・データ保護
大学で堅牢なデータ保護体制を確立するための方法は2つ。
・バックアップ
・レプリケーション
より堅牢なデータ保護が必要な重要業務においては、バックアップとレプリケーションの両方を導入することをお勧めします。それぞれ役割や重視する内容が異なるからです。
*バックアップは、データの世代管理や長期保存を主な役割としています。
*レプリケーションは、災害対策、事業継続、負荷分散、データ鮮度(リアルタイム性)を重視しています。
大学によって置かれた環境や状況が異なるため、独自のBCP策定が必要となりますが、基本的な情報としてこの記事をご利用いただけたら幸いです。
ご参考までに、いくつかの大学のBCP情報を以下に掲載しておきます。
早稲田大学BCP(事業継続計画)
新潟大学事業継続計画(BCP)
金沢大学 業務復旧・継続 計画(BCP)
東北大学 災害対策・本部BCP
九州国際大学 BCP(事業継続計画)
広島修道大学 BCP(事業継続計画)
香川大学 事業継続計画(BCP)
大地震による被災を想定した小樽商科大学BCP
東京電機大学 BCP
神戸大学 大地震による被災を想定したBCP青森公立大学業務継続計画(BCP)(地震災害対策用)
コメント