Japan

  Rate this page   Save this item Print this page Email this page

ITIL サービスデザイン − ITサービス継続性管理 その2

Vol.013-(2) - 2009年06月08日

幸いにも経営者層の理解も得られ十分に ITサービス継続性管理ができる環境におかれた場合、計画した実施内容が意図したとおりに機能するかを確かめるプロセスが非常に重要になります。実施に体験して初めてわかるということは多いものです。そういう観点で今回のコラムをご一読ください。
by BMC編注

3.導入 では、ITサービス継続性戦略に基づいて実際にITサービス継続性計画を策定し、実施に移します。機器の二重化やバックアップ体制の強化、予備機器の確保といったハード面の対策はもちろんのこと、災害発生時の連絡網、災害時の避難場所、マスコミへの対応、従業員のメンタルケアといったソフト面に対する対策も計画の中に盛り込み、文書化する必要があります。また、主要なスタッフ全員がこの文書に容易にアクセスできる必要があります。当然のことながら、災害発生時にも文書にアクセスできる必要があるため、文書のコピーを主要なメンバー全員に紙で渡しておくことも計画の中に含めるべきです。また、文書は常に最新のものが配布されていなければならないので、文書の配布は綿密にコントロールされている必要があります。

計画した復旧活動が意図した通りに機能するかどうかは、実際にやってみないとわかりません。そのため、復旧計画の完全なテストとリハーサルは非常に重要です。

テストは大きく次の4つの種類があります。

  • 1.ウォークスルー・テスト
    計画が策定された時に、関係者が集まって計画をシミュレーションするテストです。いわゆる机上でのテストで、実際にやってみるテストではないため、とても簡単にテストが行えます。また、関係者それぞれの立場から意見を出し合うことができるので、計画の欠陥や漏れ・抜けなどを見つけ出すことが可能になります。逆に実際にやってみるテストではないので、ウォークスルー・テストだけではわからないこともあります。
  • 2.全体テスト
    計画策定後、すべてのテストを実際にやってみることです。各部門はできる限り計画発動後のアクションを本当に再現することが望まれます。また、全体テストは計画策定後できるだけ早急に、その後は定期的に行うようにします。全体テストには、テストの鍵となる人物によって抜き打ち的に行うことを推奨します。最も重要な人物が災害によって身動きが取れなくなってしまう可能性もあるため、抜き打ちテストはあえて全メンバーが揃っていない時に実施すべきで    す。
  • 3.部分テスト
    復旧計画のうち、特定のサーバ、特定のサービスに対するテストを行うことです。サーバの構成やサービスの内容に変更があった場合には必ず実施します。ただし、部分テストを全体テストの代わりにしないようにします。部分テストでテストできた内容は、後日必ず全体テストでもテストするようにします。
  • 4.シナリオ・テスト
    具体的なイベントやシナリオを想定して行うテストです。これは、復旧計画に漏れや抜けがないか調べると共に、復旧計画が BCM や ITSCM の目的を満たしているかどうかのテストを行うという点でも重要です。

ただ、テストですべての項目が網羅できるわけではない、ということに注意しておかなければなりません。例えば災害で同僚が怪我をしたり、命を落としたりした場合のメンタル面に対するインパクトは、テストしようがありません。復旧計画は、こうした点も考慮して作る必要があります。またテストには必ず「何をもって成功したとみなすか」という達成目標を定義すべきです。

4.継続的な運用 には、災害発生時にITサービス継続性計画が速やかに発動され、正しく実行されることを保証するための、従業員への教育や意識づけ、トレーニング、日々のテストなどが含まれます。また、事業や世の中の変化に応じてITサービス継続性管理を正しく更新するために、定期的なレビューや監査、変更なども含まれます。そしてITサービス継続性計画に何らかの変更が生じたら、このライフサイクルはまた最初の「開始」の段階に戻るのです。

ITSCMを最新で有効なものに保つにあたって、いくつかの重大なリスクが考えられます。代表的なものは、次の通りです。

  • 事業からITSCMプロセスおよび手順へのコミットメントが不足する
  • 将来的な計画と戦略に関する適切な情報が事業から伝わってこない
  • ITSCMプロセスに割り当てられるリソースや予算が不足する
  • プロセスの焦点が技術的な課題に当てられすぎる。
    ITサービスや事業のニーズと優先度に十分な焦点が当てられない
  • リスク分析とリスク管理が可用性管理およびセキュリティ管理と連携せず、単独で実施されてしまう
  • ITSCMの計画と情報が古くなり、事業およびBCMの情報や計画との整合性が失われてしまう

繰り返しになりますが、ITSCM は必ず上級マネジメントや経営者層の深い理解と、全従業員に対する意識づけ、そして継続的な活動が必要不可欠なのです。

長くなりましたが、以上がITサービス継続性管理のお話でした。 次回は、V3で登場する新しいプロセス、情報セキュリティ管理について延べてまいります。
Business runs on IT. IT runs on BMC Software.