NAKIVO > Blog > Multiplatform

災害復旧におけるリスク影響評価:どこから手をつけるべきか

Updated: 6月 1, 2023

執筆:: NAKIVOチーム

リスクの評価は、リスクを軽減し、インフラの安全を確保するための第一歩です。効果的な災害復旧計画を策定するには、まずインフラ構成要素に潜む潜在的な脅威や脆弱性を特定し、それらに対処する方法を検討することから始めます。 リスク評価は一度きりのプロセスではありません。特に、絶えず変化するインフラを運用している場合は、リスク評価の方針を定期的に更新する必要があります。本記事では、災害復旧計画におけるリスク影響評価の重要性を解説し、リスク評価の実施方法に関する基本的な情報を提供することを目的としています。

NAKIVOで可用性を確保

NAKIVOで可用性を確保

仮想インフラストラクチャにおけるサービス可用性の厳しい要件を満たします。堅牢なDRオーケストレーションおよび自動化機能により、稼働率の目標を達成します。

ソリューションを見る

リスク影響評価:関連する概念

リスク評価は、災害復旧(DR)および事業継続(BC)計画の双方において重要な要素です。DRとBCについて詳しく説明するには、それぞれ別のブログ記事が必要になりますが、以下にこれら2つの取り組みの概要を簡単にまとめます:

  • 災害復旧計画 これは、インシデントが発生した場合に実行すべき手順を明確に定めた文書です。その目的は、インシデントによる悪影響からの復旧を円滑にすることです。DR計画に記された指示は、企業が重要な業務を維持または迅速に再開し、ダウンタイムを最小限に抑えることを支援するためのものです。
  • 事業継続計画 これは、企業が直面する潜在的な脅威を未然に防ぎ、インシデント発生時の復旧を図るための一連の措置を指します。その核心となる考え方は、災害が発生した場合でも、企業の従業員と資産が確実に保護され、業務を再開できる状態を維持することにあります。事業継続計画(BC計画)は災害復旧計画(DR計画)よりも広範な概念です。BC計画は災害発生後も事業が継続できるようにすることを目的としているのに対し、DR計画は災害による悪影響を迅速に軽減することを目的としています。

DR計画を実施する前に、ビジネスが直面する可能性のあるリスクやあらゆる潜在的な脆弱性の評価が行われます。ベストプラクティスとしては、評価を実施した直後に着手することが挙げられます。 事業影響分析 (BIA)は、DR戦略におけるもう一つの重要な要素であり、ビジネス機能やプロセスのいずれかが中断された場合に生じうる影響を特定することを目的としています。

災害復旧リスク評価とは、組織の機能に対する潜在的なリスクを記述した文書です。これには自然災害と人為的災害の両方が含まれ、各シナリオが発生する確率が推定されます。推定された結果に、インシデントが発生した場合の影響度を乗算します。これにより算出される値が、特定の脅威に対する組織の防御レベルを定義します。この文書で重点的に取り上げるべき基本的なトピックには、以下のようなものがあります:

  • 本件によって生じうる損害;
  • 本事案の影響を軽減するために必要な時間と労力 & 関連費用;
  • 災害リスクを軽減するための予防措置;
  • インシデントの深刻度を軽減するための手順。

リスク評価は、スキルと細部への配慮の両方が求められる、時間のかかるプロセスです。この文書を作成する際は、ガイドラインに従い、リスク評価ツールに注意を払い、理解を深めるために災害復旧リスク評価の事例をダウンロードすることをお勧めします。

リスク影響評価の実施方法

通常、災害復旧リスク評価の実施プロセスには、以下に示す手順が含まれます。組織のニーズに応じて、手順を追加したり、記載されている手順の一部を省略したりすることができます。

  1. 資産を列挙する

組織にとって最も価値のある資産を特定することは、それらを保護するための第一歩です。資産とは非常に広範な概念であり、サーバー、ウェブサイト、アプリケーション、顧客情報、データベース、紙や電子文書など、さらには重要なチームメンバーまでもが含まれる場合があります。

この課題に対処するため、以下の作成を検討してください。 アンケート。 重要なのは、主要な管理職や部門長だけでなく、全従業員からフィードバックを得ることです。そうすることで、見落としていた可能性のある点に気づくことができます。各部門における具体的なリスクや脅威を記録し始めましょう。

  1. リスクを特定する

具体的には、各資産にどのような要因が、どのような形で影響を及ぼす可能性があるのかを明確に定義する必要があります。これには、ソフトウェア、ハードウェア、データ、および従業員が含まれます。可能な限り幅広い災害の形態やパターンに対応できる、統合的なアプローチを採用していることを確認してください。具体的には以下の通りです:

  • 自然災害。 たとえインフラがハリケーンや地震の被害を受けにくい地域に設置されていたとしても、火災や水道管の破裂の可能性を無視することはできません。サーバーの設置場所を決める際には、この点を考慮に入れてください。
  • システムの障害。 故障の発生確率は、お使いのコンピュータ機器の品質や、ユーザーによるメンテナンスの程度によって異なります。警告やエラーメッセージが表示されることなく、機器が突然電源を切って動作を停止してしまうリスクは常に存在します。さらに、例えばコードの記述ミスといった深刻なソフトウェアの問題が原因で、システム障害が発生することもあります。
  • 不注意によるミス. 従業員への研修、十分な休憩時間の確保、安全対策の実施、その他の予防措置を講じても、人的ミスによるリスクを完全に排除することはできません。従業員の中には、重要なファイルを誤って削除したり、マルウェアのリンクをクリックしたり、誤って機器を破損させたりする者がいるかもしれません。
  • 悪意のある活動. こうしたリスクには、データを標的とした従来のハッカー攻撃から、認証情報の悪用やデータの意図的な改ざん・破壊といった内部者による脅威まで、さまざまな形態があります。
  1. 脆弱性を特定する

自社の資産を奪取したり、損害を与えたりするために悪用され得る弱点を特定することは重要です。不正な行為を行うには、攻撃者はシステムの弱点を悪用しようとする際に適用できる攻撃ベクトル(つまり手法)を必要とします。ITインフラストラクチャにおけるこれらの攻撃ベクトルの総体を"攻撃対象領域(アタックサーフェス)"と呼びます。重要なのは、この攻撃対象領域を最小限に抑えることです。

脆弱性が悪用される可能性を必ず評価してください。これは、セキュリティ上の欠陥に優先順位をつけ、それらを排除するためのリソースを割り当てるための第一歩です。脆弱性の深刻度を評価するための業界標準である"共通脆弱性評価システム(CVSS)"に基づく統計によると、深刻度の高い欠陥が悪用されるケースが大部分を占めています。ただし、これは例外のない絶対的なルールというわけではありません。

  1. 想定される結果を評価する

リスク影響分析を実施し、資産のいずれかが損害を受けた場合に貴社が被りうる財務的損失を特定してください。収益の損失に加え、データ損失、ダウンタイムによるIT環境への損害、評判の低下、法的問題などが潜在的な影響として挙げられます。表面的な損失は氷山の一角に過ぎない可能性があることに留意してください。インシデントが発生すると、広報活動や調査に関連する隠れたコストに加え、保険料の値上げや弁護士費用が発生する可能性があります。

risk impact assessment

  1. P優先順位を付ける リスク

脅威と脆弱性の各組み合わせについて、リスクレベルを定義してください。評価は、"脆弱性が悪用される可能性"と"そのインシデントがもたらす可能性のある結果"という2つの要素を組み合わせて行います。リスク事象が発生した場合に、会社がどれだけの収益を失う可能性があるかを推定してください。

優先順位付けは、影響のレベルと特定のインシデントが発生する可能性との相関関係に基づいて行う必要があります。インシデントが深刻な悪影響をもたらす可能性があり、かつ発生の可能性が高い場合は、その事案に最優先順位を付与する必要があります。各脅威には、"非常に高い"(リスク発生の可能性が高く、かつ多額の金銭的損失を伴う)から"非常に低い"(発生の可能性が低く、かつ損害が軽微)までの相応の値が割り当てられるべきです。

  1. 結果を記録する

リスク影響評価を行う際の最後のステップは、前述のすべての推定内容を網羅した報告書または文書を作成することです。この文書は、後の予算計画、リソース配分、安全対策の実施などに役立てることができます。この文書には、各脅威について、その脆弱性、潜在的な影響、および発生の可能性を記載する必要があります。より理解を深めるために、以下の例をご覧ください:

脅威 脆弱性 資産 影響 確率 リスク 注意事項
サーバールームの過熱(システム障害) – 高 空調システムが古く、メンテナンスも不十分 – 深刻 サーバー – 重要 サービス、ウェブサイト、アプリケーションなどが数時間利用できなくなります – 重要 サーバールームの温度は40℃ – 高 ダウンタイム1時間あたりの金銭的損失が甚大 – 高 新しいエアコンを購入する & より適切なメンテナンスを確保する

業務を開始してすぐに、自社の業務やプロセス、そしてそれらを最適化する方法について、より深く理解できるようになります。リスク影響評価に基づき、会社が毎月、四半期ごと、あるいは毎年実施すべき措置の範囲を定めた方針を作成してください。各脅威に対してどのように対処し、リスクを軽減すべきか、また次回のリスク評価をいつ実施すべきかを検討してください。

事前に準備をしておきましょう

包括的なリスク評価レポートを作成することの重要性を軽視することは、災害復旧における最も一般的なリスクの一つです。このレポートは、インシデント発生の可能性を低減し、その悪影響を軽減し、ダウンタイムを最小限に抑える上で、その有効性が実証されています。

例えば、定期的なバックアップを行い、そのコピーをオフサイトに保管することは、誤削除からサーバールームの全壊に至るまで、幅広いシナリオにおいてデータの復旧可能性を確保するための賢明な対策です。 また、有効なレプリカを用意しておけば、わずか数回のクリックで災害からの復旧が可能です。

NAKIVO Backup & Replication ワークロードのバックアップやレプリケーションを支援する、幅広いツールと機能をご用意しています。当社の機能の概要を以下にご紹介します:

データのバックアップ

  • 仮想、物理、およびクラウドのワークロードをバックアップします。
  • 即座に復旧 圧縮および重複排除済みのバックアップから、ファイル、フォルダ、およびアプリケーションオブジェクトを直接復元できます。データは元の場所または指定した場所に復元可能です。この機能はLANおよびWANの両方で利用でき、すべてのファイル権限が復元されます。
  • 送信 バックアップのオフサイトコピー 誤って削除されたり、データが破損したり、ディスクの故障やサイバー攻撃、その他の予期せぬ事態が発生しても、データが失われることがないようにするためです。

VMレプリケーション

  • VMware、Hyper-V、およびAWS EC2ベースの仮想マシンの完全な複製(レプリカ)を作成します。
  • 以下の方法により、ビジネスに不可欠な業務をほぼ瞬時に再開できます フェイルオーバー VMのレプリカに。言い換えれば、ソフトウェアやハードウェアの障害に見舞われたVMでも、わずか数回のクリックで復旧させることができます。
  • 実行する バックアップからの復元 本番環境の負荷を軽減し、時間を節約するためです。これは、大規模なITインフラにおいて特に重要です。

データの損失を最小限に抑え、ダウンタイムを短縮するためには、事前の準備が不可欠です。一緒に、 NAKIVO Backup & Replication また、適切なリスク影響評価報告書を作成することで、さまざまな予期せぬ事態から環境を守ることができます。

試してみてください NAKIVO Backup & Replication

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください

People also read

Picture
Nutanix入門:概要、導入の理由、導入方法
Picture
バックアップデータストレージにおける重複排除とは
Picture
Microsoft Exchange データの復旧方法