2009/06/29
★実践プロマネ[継続的なサービスの保証(2)]★
2009/06/29 No.114 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ITシステムに問題が発生し、システム停止にみまわれて、はじめて危機管 理の重要性に気づくことになります。 長い間、安定したシステムを利用していると、運用が継続していて当たり前 という感覚に陥ります。 システムを安定的に継続利用するには、それなりの備えが必要です。 ITシステムそのものと、その運用業務に関するベンチマーク評価と外部の ベストプラクティスが参考になります。 定期保守やシステムのモニタリングを行い、障害を未然に防ぐことが重要で す。 特にハードウェアはディスク装置など、物理的に動作する機器が存在し、自 己診断の結果を定期的にチェックしたり、システムログでリトライの状況を 把握し、予防交換なども必要になります。 単純なシステム構成では、高可用性は得られません。 高信頼性が要求される業務システムでは、冗長構成をとることで稼働の継続 性を高めたり、停止後も短い時間で稼働状態に復旧させるなど、施策を費用 対効果の面で検討しすることが求められます。 障害発生要因の多くは、設定ミスや運用保守にも起因します。 高可用性システムを実現するうえで、運用前の評価と障害復マニュアルの整 備も継続的なサービスにとって重要です。 それでは、継続的なサービスの保証のマネジメントガイドラインと 成熟度モデルについて確認していきます。 【マネジメントガイドライン】 継続的なサービスの保証の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・要求に応じてITサービスを使用可能であることの保証 ・ITサービスの中断または変更が及ぼすビジネスへの影響の極少化 ・エラー、意図的な攻撃、または災害で生じた障害に対するITサービ スとインフラストラクチャ (↑↓測定) 評価指標 ・予定外の機能停止に起因する1ユーザあたりの損失時間数(1カ月) (↓設定) ★プロセス 達成目標 ・業務継続計画を支援するIT継続計画の策定 ・実施、テスト、および維持可能なIT継続計画の策定 ・ITサービス中断発生の可能性の極小化 (↑↓測定) 評価指標 ・SLAに定められた要件を満たす可用性の割合 ・IT継続計画でカバーされていないITに依存している重要なビジネス プロセスの数 ・復旧目標を達成したテストの割合 ・重要なシステムのサービス中断発生頻度 (↓設定) ★アクティビティ 達成目標 ・IT緊急時対応計画の作成と維持(改善) ・IT緊急時対応計画に関する訓練とテスト ・遠隔地の施設への緊急時対応計画のコピーとデータの保管 (↑↓測定) 評価指標 ・IT継続計画の特定要素のテスト間隔 ・IT部門の当該従業員1人あたりの、IT継続計画に関する年間の訓練 時間 ・自動化された可用性モニタリングを行っている重要インフラストラクチ ャの割合 ・IT継続計画のレビュー実施頻度 【成熟度モデル】 「ITサービスの中断発生時のビジネスに対する影響を最小限に抑える」と いうITに対するビジネス要件です。 このビジネス要件をを満たす上で、「継続的なサービスの保証」プロセスに おける管理の成熟度は、以下のとおりです。 成熟度0 −不在− IT運用におけるリスク、脆弱性、および脅威、またはITサービスを提供 できなくなった場合のビジネスへの影響が認識されていない。 マネジメント層がサービスの継続性について配慮する必要はないと考えてい る。 成熟度1 −初期/その場対応− 継続的なサービスの実行責任は正式に定められておらず、実行責任を果たす 上での権限は限定的である。 マネジメント層が、継続的なサービスの必要性とそれに関連するリスクを認 識しつつある。 マネジメント層の継続的なサービスに対する関心は、ITサービスではなく 主にインフラストラクチャ資源に向けられている。 サービス中断に際しては、ユーザがワークアラウンド(回避策)を講じている。 大規模な中断に対し、IT部門の対応が事後的であり準備がなされていない。 計画的な機能停止はIT部門のニーズに応じて予定され、ビジネス上の要件 は考慮されない。 成熟度2 −再現性はあるが直感的− 継続的なサービスを保証するための実行責任が割り当てられている。 継続的なサービスを保証する手法は断片的である。 システムの可用性に関する報告は散発的に実施され、不完全である可能性が ある。 また、この報告ではビジネスに与える影響が考慮されていない。 継続的なサービスの可用性を実現するための取り組みが行われ、その主要な 方針が周知されているが、IT継続計画が文書化されていない。 重要なシステムとコンポーネントの一覧が作成されているが、信頼性が低い。 継続的なサービスのための実践基準が徐々に見られるようになっているが、 その成功は各担当者の裁量に依存している。 成熟度3 −定められたプロセスがある− 継続的なサービスの管理に関する説明責任の所在が明確化されている。 継続的なサービスの計画策定とテストの実行責任が明確に定義され、割り当 てられている。 システムの重要度とビジネスに与える影響に基づくIT継続計画が文書化され ている。 継続的なサービスのテストに関する報告が定期的に行われている。 各個人が率先して標準を遵守し、大規模なインシデントまたは災害発生時の 対処に関する訓練を受けている。 マネジメント層は、継続的なサービスを保証するための計画の必要性を一貫 して周知させている。 可用性の高いコンポーネントが使用され、システムの冗長化が図られている。 重要なシステムとコンポーネントの一覧が維持されている。 成熟度4 −管理され、測定可能である− 継続的なサービスの実行責任と標準が徹底運用されている。 サービスの継続計画を維持する実行責任が割り当てられている。 維持活動は、継続的サービスのテスト結果、内部の優れた実践基準、ITと ビジネスの変化に基づいて行われている。 継続的なサービスに関する体系的なデータが収集、分析、報告され、これに 基づいて対策がとられている。 継続的なサービスプロセスに関する正式な訓練が実施されており、参加が義 務付けられている。 システム可用性に関する優れた実践基準が一貫して導入されている。 可用性に関する実践基準と継続的なサービスの計画策定は相互に影響を及ぼ している。 中断インシデントは分類され、それぞれの上位へのエスカレーションパスに ついて関係者全員が十分に認識している。 継続的なサービスに関する目標と指標が策定され合意されているが、一貫し た方法で測定されていない可能性がある。 成熟度5 −最適化− 継続的なサービスの統合プロセスでは、ベンチマーク評価と外部のベストプ ラクティスについても考慮されている。 IT継続計画が業務継続計画と統合されており、定期的に保守されている。 継続的なサービスを保証するための要件を満たす上で、ハードウェアの早期 出荷契約等が一般的である。 IT継続計画の包括的なテストが実施されており、その結果が計画の更新に 利用されている。 データが収集および分析され、プロセスが継続的に改善されている。 可用性に関する実践基準と継続的なサービスの計画策定は完全に連携されて いる。 マネジメント層は、SPOF(single point of failure)に起因する障害ま たは大規模インシデントが発生しないことを保証できる。 エスカレーションに関する実践基準は、理解されており、徹底して実施され ている。 継続的なサービスの達成に関する目標と指標が、体系的な方法で測定されて いる。 マネジメント層は、測定された★測定結果に応じて継続的なサービスの計画 を調整している。 次号では、 「システムセキュリティの保証」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(7月6日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
