サーバーが津波で流され、サーバーに入っていた顧客名簿や売掛金情報が全てなくなってしまった企業の報道を見て、認識したのがバックアップの重要性。会社の情報資産を守るのに注目を集めているのがデータセンター。どう情報資産を守ればよいかみていきましょう。
 

小規模事業者はオンラインストレージサービスを活用

小規模企業はオンラインストレージサービスなどを活用

小規模企業はオンラインストレージサービスなどを活用

個人事業、小規模企業ではお金をかけられませんので無料オンラインストレージサービスを活用しましょう。マイクロソフトが提供しているのが「SkyDrive」。写真、動画、テキストなど25GBまでオンラインで保存できます。

最近は保存だけでなくデータ同期サービスが出ています。家で仕事しようと会社からUSBメモリーにデータを入れて持ちだすとファイルは2つになります。家で修正したファイルを持ってくるのを忘れ、会社のファイルを修正してしまうとデータの整合性がとれなくなります。

自動的に同期をとってくれるサービスが「Mesh」です。SkyDriveに保存したフォルダーを同期設定することで会社と家で行った修正が自動的に反映されファイルを一元管理できます。こうなるとUSBメモリーを持ち歩く必要がなくなります。

同期ができるオンラインストレージで有名なのが「DropBox」。ファイルを変更すると変更部分だけが転送されるため速度が早く、ファイルのバージョン管理ができます。制約はありますが、無料版でも任意のバージョンを復元できます。Dropboxは2GBまで無料で使え、それ以上は有料になります。

データセンター選択ではSLAを確認

データセンター選びではまずSLAを確認する

データセンター選びではまずSLAを確認する

企業規模が大きくなりバックアップすべきデータが多い場合はデータセンターを活用します。たくさんのデータセンターがありますので選択しなければなりませんが、ポイントはSLA(サービスレベルアグリメント)の確認。SLAとは、このサービスレベルを提供しますという約束で、稼働率などが示されています。

ただしSLAはコストとトレードオフになりますのでサービスレベルを高めればコストも比例して高くなります。自社で必要とする項目と項目に対してどのレベルまで必要か洗い出し、各データセンターのSLAを比較します。SLAに書いていない項目はデータセンターへ問い合わせます。

時には自社のレベルを満たさない場合があります。他に選択できるデータセンターがなければ不足項目を残留リスクとしてとらえ、経営陣の承認を得た上で管理していくことも重要です。

データセンターのセキュリティを確認する

データセンターのセキュリティを確認する

データセンターのセキュリティを確認する

データセンター活用で懸念されるのがセキュリティの不安。外部に大切な顧客データを預け、漏えいしたら大変です。

ただし中小企業の多くではセキュリティに強い人材がいません。顧客の情報資産を預かるため、人一倍セキュリティに配慮しているデータセンターが外部から破られるようであれば中小企業は手の打ちようがありません。

作業に入るスタッフの生体認証、一度に一人以上が通り抜けられないゲートの設置、データセンター内の監視など信頼できる事業者かよく吟味する必要がありますが、餅は餅屋にまかせるのが一番です。

データセンターの格付けを確認する

データセンターの格付けを確認する

データセンターの格付けを確認する

次にデータセンター運営事業者の格付けを確認します。個人情報保護のためのマネジメントシステムが社内に構築できているか第三者が認証するプライバシーマーク制度があります。

さらに幅広く情報資産を守るマネジメントシステムが構築できているか認証するISO27001【ISMS適合性評価制度】があります。
→ プライバシーマーク本当に必要?
→ 個人情報保護もう1つの格付け「ISMS」

認証取得には高額な費用がかかりますのでプライバシーマーク、ISO27001を取得しているとなると大手のデータセンターに限られてきます。プライバシーマークを取得している事業者でも個人情報漏えいすることはあり、取得していない事業者に比べてリスクは小さいという目安にしかすぎません。バックアップはどの程度の頻度で行っているのか、データの暗号化、不正アクセスの監視体制など、気になる点をデータセンターに確認しましょう。

また事業者の倒産などでデータセンターが途中でサービス中止になってしまったら大変です。事業者の信用情報をチェックしておきましょう。

 データセンターのサーバーがどこにあるか確認する

データセンターのサーバーがどこにあるか確認する

データセンターのサーバーがどこにあるか確認する

データセンターのサーバーがどこにあるか確認しましょう。安全上の理由から詳しい住所は教えてもらえませんが市レベルの設置場所は教えてもらえますのでチェックしておきましょう。電力需要が逼迫する場合、計画停電の影響も考慮しなければなりません。大手企業では違う電力会社エリアにある2つのデータセンターにバックアップしている事例があります。

最近はデータセンター側も節電を意識し、コンテナ型節電タイプが登場しています。株式会社インターネットイニシアティブ(IIJ)が作った松江データセンターパークでは従来のサービスと比べ電力を13%削減できるようになっています。

またサーバーが海外にないか確認しましょう。海外にあると海外の法律が適用されます。例えばアメリカでは同時多発テロを機に米国愛国者法を制定しています。テロ組織に資金が渡っていないか、外国人や外国法人について規制する権限を強化しています。海外の場合、データセンター運用事業者にデータ提供の命令が出て会社の秘密情報が提供されることも想定しておかなければなりません。Amazon Ec2は海外サービスですが最近、東京データセンターが活用できるようになりました。

できたらIX(インターネット・エクスチェンジ)に近いデータセンターを選びましょう。IXとはプロバイダや学術ネットワークなどが相互接続するポイントのことで国内に13あります。IXがインターネットの通信拠点になりますので、なるべくIXに使いデータセンターを選ぶと、回線の品質がよくなります。ただし利用料は高くなります。
→ Youtubeが使えるのは海底ケーブルのおかげ
※日本最初のIXは1994年に神保町にある岩波書店一ツ橋ビルの地下に設置されました。

秘密保持契約と重大事故時の対応を決めておく

重大事故時の対応を決めておく

重大事故時の対応を決めておく

データセンター選びが終わったら事業者と秘密保持契約を締結します。事業者の契約内容に秘密保持条項がある場合は内容を見て、必要な内容が含まれていることを確認します。漏れている項目について別途、秘密保持契約を締結します。会社として保護しなければならない情報については事前に洗い出しておかなければなりません。

重大事故時の対応を決めておきます。重大事故(インシデント)とは個人情報漏えいなど、セキュリティ上の脅威となりうる出来事を言います。なるべく重大事故が発生しないよう管理しますが、絶対ということはありません。想定外のことが起きた時のお互いの窓口を決めておきます。

万が一、個人情報漏えいなど重大事故が発生した時に落ち着いて行動できるよう、年に一回は訓練をしておきましょう。データセンター側の協力が得られるのなら、一緒に訓練を実施してもらいます。会社の根幹に関わりますので経営層も巻き込んで訓練します。
→ カード会社から個人情報漏えいの第一報

ハインリッヒの法則というのがあります。1件の重大事故が発生する前に、29件の軽微な事故と300件のヒヤリ・ハットが発生しているという法則です。

データセンターの運用を通じて日常の「ヒヤリ・ハット」や「軽微な事故」を見落とさず、きちんと報告され日々の改善につなげる行動が大切です。会社ではモニタリングを通じて、軽微な事故がきちんと報告され、社内で情報共有されていることを確認します。

関連ガイド記事

ホスティングとハウジングの違い
レンタルサーバの老舗 ファーストサーバ
緊急時でも仕事が止まらないIT対策



※記事内容は執筆時点のものです。最新の内容をご確認ください。