WebサイトのBCPとクラウド型CMS 〜震災や事故でもサイトを動かし続けるために〜

Web担当者のためのBCP対策 5つの基本項目 | 第1回

Web担当者が考えておくべき、WebサイトのBCP対策について基本を解説
WebサイトのBCPとクラウド型CMS ~震災や事故でもサイトを動かし続けるために~

震災を機に、BCPという言葉を聞いた人は多いのではないでしょうか。第1回コラムでは、BCP関連製品の営業を経験し、BCPガイドライン解説などをセミナーで伝えてきた筆者の経験から感じた様々なことを、BCPの基礎とともにお伝えしていきます。

BCPとBCMの関係

まずBCPという言葉が何を指しているのかを確認しておきましょう。BCはBusiness Continuity(事業継続)の略で、PはPlan(計画)を意味します。また、BCPと対となるBCMのMはManagement(運営・管理)を意味します。つまり、「BCPとBCM」は「事業継続計画とその運営」という意味です。この2つは対になっており、両方を実行できてこそ、BCPが初めて機能するといえます。

詳細は専門書をご覧いただきたいのですが、ここで声を大にして言いたいのは、以下の2点です。

  • BCP/BCMは震災に限らず、事業継続を阻むすべての事象に備えなければならない

    自然災害に限らず、システム障害、クラッキングなどの他、日本ではあまりなじみのないテロや戦争もその事象の1つです。

  • 日ごろの予行練習なしにBCMはなしえない

    有事の際には、「連絡がつかない、指示もなければ許可もない」ということが考えられます。そんな状態において事業を復旧させるためには、日ごろの予行練習が重要です。しかし、この予行練習を行っている会社がほとんどないのも事実です

BCP関連用語まめ知識
  • RPO(Recovery Point Objective):復旧時点目標

    バックアップを取るタイミングや頻度を意味します。システム復旧時に戻れるのはバックアップを取った時点までのため、このような用語が使用されています。

  • RTO(Recovery Time Objective):復旧時間目標

    システムダウンから、復旧するまでの目標時間を意味します。WebシステムのRTOを短縮する場合は、遠隔地への二次バックアップが重要になります。

  • RLO(Recovery Level Objective):目標復旧レベル

    主に、システムパフォーマンスや復旧の優先機能など、どのレベルまで復旧させるかということです。RTOとセットで目標を定めます。

  • MTPD(Maximum Tolerable Period of Disruption):最大許容停止時間

    システムがダウンしてから復旧するまで、どれくらいの時間を我慢できるかということです。

WebサイトのBCP対策の必要性

ところで、このコラムの読者として多くを占めるWeb担当者の方々が担当するコーポレートサイトにBCP対策は必要でしょうか。必要か不要かで質問すれば、「必要でしょう」と答えるのが普通です。しかし、実際のBCPプロジェクトでは、Webサイト(システム)の優先度は落とされているのが現状だと思います。

BCP対策で一般的に重要視されるのは金額的なインパクトが大きい、営業系、生産ライン系システムです。これらにメールサーバーなどのコミュニケーション系が続き、大きな予算が投じられます。これらの議論は非常に複雑であり、物凄いパターンでの想定とシミュレーションが繰り返されるため、どうしてもWebシステムは後回しになってしまいがちです。

ですが、WebシステムのBCP対策はわりとシンプルですし、予算も業務系のシステムと比べるととても安価になると思いますので、これからみなさんにぜひチェックしていただきたい要素です。

有事におけるWebサイトの役割

Web担当者の方には釈迦に説法ですが、そもそもWebサイトの役割は何でしょうか。私は「24時間稼働する、会社の公式情報の掲載の場」であると定義します。有事において会社が社外に対して告知しなければならない情報はかなりあると考えます。その際に重要な役割を果たすのが企業サイトです。

たとえば、みなさんは、先日の大震災の際に早々に会社の状態と対応を表明できた会社についてどう思ったでしょうか。逆に、更新されていない会社について、またはWebシステムがダウンしている会社についてはいかがでしょうか。

当然ながら、有事に際し、会社の状態と対応を早期に表明できた会社は社会的信頼を得ることができますが、(有事にまったく関係がない場合は別ですが)そうでない会社は信頼を失ってしまうでしょう。また、Webシステムがダウンしている場合は、その会社の事業継続について心配になるでしょうし、既存のお客様が取引の継続を検討するようになってもおかしくはないでしょう。

さらに、みなさんもご存じと思いますが、震災などの有事の際に一番強いコミュニケーションインフラはTwitterやFacebookなどを含む広義のインターネットでした。個人レベルでの震災情報の収集や関係者の安否確認であれば、TwitterやFacebookで十分ですが、コーポレートの対応になると、やはりWebシステムでの対応も重要となります。特に病院や警察、消防署などライフラインに関わる組織はもちろん、BtoBで取引先が多い組織や広域に事業を展開し、部分的に事業エリアが被災する可能性がある組織などはその必要性が高いはずです。

WebサイトのBCP対策、5つの基本項目

実際にWebサイトのBCP対策を立てるには何から始めればよいのでしょうか。ここでは最低限かつ低コストで実施できるWebサイトのBCP対策を紹介します。こられの対策は読むと当たり前のことですが、実際に実行できている会社は意外に少ないと思います。基本的には、運営上のシングルポイント(障害が発生すると全体に支障をきたす箇所)を排除し、復旧作業を迅速に行うための対策になります。

  1. 複数拠点に在籍する社員もしくは複数の社員がWebサイト・コンテンツを更新できるようにする

    よくある話ですが、特定のWeb担当者しかコンテンツを操作できなくなっているサイトは割と多く見受けられます。特に情報システム部門がWeb担当者として管理しているWebシステムによく見受けられる事態です。万が一の場合に備え、他の社員がWebサイトのコンテンツを修正できるようにしていく必要があります。オフィスの閉鎖やライフラインが切断された場合なども考慮し、社外から操作できる環境を用意するのも重要です。

  2. Webシステムの遠隔地二次バックアップを実施する

    Webシステムが設置されているサーバーもしくはそのデータが消失してしまった場合に備え、遠隔地での二次バックアップやWebシステムの多重化を実施していく必要があります。実際に「東北地方太平洋沖地震」や「中越沖地震」では多くの企業の情報システムデータが消失しています。対岸の火事ではありません。

  3. 有事のコンテンツ・サンプルを予め用意しておく

    有事では、だれがコンテンツを修正することになるかわかりません。予めいくつかのサンプルページがあるだけで、コンテンツの修正作業は迅速に行えるはずです。

  4. BCM運用マニュアル(震災マニュアルなど)を有事にアクセスできる場所に保管しておく

    BCMを実行している企業の方にお聞きします。BCM運用マニュアルはどこに保管しているでしょうか。

    Q)BCM運用マニュアルの保管場所と方法は?

    • 総務部や部門長の机に鍵をかけて保管している
    • 外部からアクセスできないファイルサーバーに保管されている
    • アクセス権限付きで保管されている
    • 社員のほとんどが保管場所を知らない

    これらは実際にありそうな話で怖いのですが、BCMマニュアルの正しい保管場所は、有事に社員のロケーションやアクセス方法を選ばずに閲覧できる場所が一番です。最善の場所は、社内外のPCや携帯電話からアクセスできるグループウェア(日々アクセスする習慣があるサイト)の文章管理のフォルダに保管しておくのが、セキュリティの面でも、閲覧性の面でも一番良いでしょう。

  5. 前述を踏まえた有事のシミュレーションを定期的に実行していること

    これは、多くの政府発行のBCPガイドラインでも必ず述べられている重要事項であると同時に、一番実行されていない事項でもあると個人的に感じています。

    避難訓練はよく行われていますが、その後の復旧訓練については行われていないのが実際だと思います。有事とは非常時であり、非常時に普段から予行練習を行っていないことを迅速に実行できるはずがありません。BCP策定を行った経験がある方はご存知と思いますが、BCP策定では実際に起こり得る最悪の事態を想定します。昨日まで一緒にいた同僚が行方不明になったり、特定拠点のリソースがすべて焼失・消失したりする場合を想定します。そうした状況を想定した、シミュレーションの実施をぜひともお願いします。

参考情報

有事に備えたWebシステムのあるべき姿とは

有事に備えたWebシステムのあるべき姿については以下が重要になります。

  • システム上のシングルポイントを作らない

    Webシステムの多重化や遠隔地二次バックアップをするのにもそれなりのコストがかかります。しかしながら、Webシステムを外部のサーバーに置くだけでかなり安全になります。データセンターやホスティングのサービスにもよりますが、一般的にはオフィスビルよりも耐震性は高いでしょう。ローカルにバックアップを取り、Webシステムはデータセンターなどに設置することでシステム上のシングルポイントを排除することができます。

  • 有事でも使用できるサイト構成にしておく

    Webサイト経由でのお問い合わせはメールではなく、入力フォームで行えるようにしておくことや、携帯電話からもアクセスできるようなサイトを用意しておく必要があります。

クラウドによるWebシステムの継続性

最後に、先日、弊社が開催したイベント「HeartCoreクラウドDAY2011 SUMMER」にて、クラウド型CMSの導入事例として、Webシステムのアウトソーシングを決めた理由が紹介されていたので、以下でふれておきます。WebシステムのアウトソーシングはBCPの観点だけではなく、Web担当者が本業に集中するためにも必要なことであると述べています。

  1. No More “SoftWare”
    • システム導入の初期費用や毎年の保守費用を大幅に抑え、月額料金で固定化
    • ソフトウェア資産を持たず「費用扱い」として経理処理が可能
  2. No More “Hardware”
    • ハードウェア/データベース/OSを自社で保持し、メンテナンスすることから解放
    • セキュリティ・ウイルスの対策や最新のIT基盤へ追随
  3. No More “Update”
    • バージョンアップ作業からの解放によってアップグレードの作業コストをゼロに
    • いつでも最新バージョンのCMSを利用し、メリットを享受することが可能

IT業界で注目を集めるクラウドサービスですが、クラウド型CMSを提供するメーカーも増えてきています。当日のセミナー会場でも出ていましたが、Webシステムの管轄が完全に情報システム部の管轄ではない会社が多く、Webシステムの運営に苦労されている方が多いと聞きました。BCP対策の強化名目で予算を取られて、障害対策の向上とメンテナンス業務の効率化を実現されてはいかがでしょうか。

次回のコラムは、最近話題にのぼっている国内外のクラウドセキュリティガイドラインと、クラウド事故とそのリスクについて執筆いたします。次回も宜しくお願いいたします。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

インデックス
検索エンジンがWebページをデータベースに保存しているデータベース。データベース ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]