多くの企業は現在、ネットワークサーバー、PC、ノートパソコン、モバイルデバイス、そしてクラウドに保存されているデータに完全に依存しています。これらのデータの中には、個人情報や企業の機密情報が含まれている可能性があります。
ここでは、コンピュータ システムとデータのセキュリティを確認する際に考慮すべきいくつかの問題について説明します。
データのバックアップは災害復旧に不可欠な手順であり、定期的に実施する必要があります。企業は、定期的なバックアップを災害、盗難、サイバー攻撃に対する一種の保険と捉えるべきです。
考慮すべき点がいくつかあります。
システムおよびアプリケーションソフトウェアのインストールメディア
理想的には、ソフトウェアをインストールしたら、ダウンロードした場合を除き、元のメディアを安全な場所に保管する必要があります。同様に、アクティベーションキー/コードも安全に保管する必要があります。
データファイルの場所
ネットワーク環境では、一部のデータファイルがサーバー上に保存され、他のデータファイルがローカルドライブ上に保存されることがあります。その場合、サーバーと1台以上のPCの両方に対して個別のバックアップが必要になる場合があります。
理想的には、すべてのデータがローカル ドライブからサーバーに再コピーされることを保証するネットワーク ソリューションを提供する必要があります。
1 つの戦略としては、従来のネットワーク ディスク ストレージの代わりに、Microsoft OneDrive や Sharepoint などの同期サービスを使用することです。
バックアップ戦略と頻度
2つの並行バックアップ手順が必要になる可能性があります。1つは、サーバーの完全なシステムバックアップ(通常はイメージとして)をカバーし、もう1つは、前回のバックアップ以降に更新されたバックアップデータファイルを増分(または差分)バックアップする手順です。
最も一般的なバックアップサイクルは、Grandfather、Father、Son方式です。これは、4回の日次バックアップ、4~5回の週次バックアップ、そして12回の月次バックアップのサイクルで構成されます。
一部のデータは長年にわたって保存する必要があることに注意してください。たとえば、会計記録は最低 6 年間保存する必要があります。
テープやCD/DVDなどのバックアップメディアは何度も再利用できます。しかし、その寿命は無限ではなく、品質や使用回数に応じて2年から10年で交換が必要になります。この点については、バックアップメディアの劣化に関するセクションで詳しく説明しています。
ディスクツーディスク、ディスクツーディスクツーテープ、クラウドベースのバックアップ サービスなどのソリューションにより、劣化を心配する必要がなくなります。
バックアップ責任
バックアップ手順については、特定の担当者に責任を負わせる必要があります。担当者は以下の能力を備えている必要があります。
- すべてのデータファイル(サーバーとローカル)がバックアップサイクルに組み込まれていることを定期的に確認する
- 新しいアプリケーションやデータファイルが追加されたら、バックアップ基準を適応させる
- 必要に応じてバックアップスケジュールを変更する
- バックアップログを解釈し、通知されたエラーに対応する
- ファイルが誤って削除されたり破損した場合にデータを復元する
- バックアップメディアからデータを復元できることを定期的にテストする
- バックアップとバックアップ メディアが保存されている場所の定期的なログを維持します。
アプリケーションのバックアップルーチン
多くの会計・給与計算アプリケーションには独自のバックアップルーチンが備わっています。これらのバックアップルーチンは、従来のサーバーバックアップと同様に定期的に、また重要な更新ルーチンの直前に必ず実行することをお勧めします。これらのバックアップデータファイルは、サーバーと同時バックアップされるように、サーバードライブに保存する必要があります。
ローカルPC
一部のユーザーは、例えば給与データなど、アプリケーションのデータファイルをローカルドライブのみに保存しています。このようなユーザーには、定期的なバックアップ体制が必要です。これは(前の段落で述べたように)メディアへのバックアップとサーバーへのバックアップを組み合わせたものになる場合があります。また、これらのデータをローカルPCに残すか、それとも別の場所に移動するかについても検討する必要があります。
バックアップメディア
バックアップに使用するメディアの適切な選択は、利用可能な予算、バックアップが必要なデータの量、ネットワークOSなどの基準によって異なります。外付けハードディスクやクラウドバックアップ機能を備えたNASボックスは、適切なソリューションとなる可能性があります。外部サービスプロバイダーやクラウドオプションを利用する場合は、それぞれ独自のバックアップ体制を備えている必要があります。ただし、これに頼りすぎず、サードパーティのサプライヤーがバックアップのニーズを満たすか、それを超える性能を備えていることを確認してください。
テープや光学式ストレージ (CD/DVD/Blu-Ray) などの他のメディア タイプも、より安価な代替手段として検討できますが、容量と寿命が制限される可能性があります。
外付けハードディスクドライブも選択肢の一つです。ただし、バックアップのために外部に持ち出す必要があるディスクは、紛失や盗難に備えて暗号化しておく必要があります。
バックアップ場所
バックアップは、オンサイトとオフサイトの両方の複数の場所に保存する必要があります。オンサイトバックアップは、データを迅速に復元する必要があるときに簡単にアクセスできますが、火災や洪水などの緊急事態のリスクがあります。
多くの企業は社内に金庫を設置していますが、復旧作業が発生すると、一定期間アクセスできなくなる可能性があります。
オフサイト バックアップには、緊急事態が発生した後に回復できるという利点がありますが、ストレージは安全かつアクセス可能である必要があります。
バックアップの保持
最後に、会計記録などの特定の種類の記録は、最小限の期間保持する必要があり、データ バックアップ戦略を開発する際にはこれを考慮する必要があります (劣化については以下も参照)。
バックアップメディアの劣化/分解
バックアップ メディアは時間の経過とともに劣化し、そこに保存されているデータは分解されます。
CD/DVDやBlu-rayなどの光学メディアは光に特に敏感(感光性)なので、暗い場所に保管してください。また、取り扱い時に物理的な損傷を受けやすい傾向があります。最後に、CD-RとCD-RWの保存期間は5年から10年ですが、DVD-RWとLTOテープメディアは最大30年です。
バックアップは、デジタル分解の兆候がないか定期的にチェックし、データが正常に復元できるかどうかをテストする必要があります。
社内かクラウドか?
多くのインターネットサービスプロバイダーやサードパーティのITサービス組織は、オフサイトのデータリポジトリや包括的なオンラインアプリケーションソリューションを標準または有料の追加料金で提供しています。これにより、サーバーとそのOSおよびアプリケーションソフトウェアを社内でサポートする必要がなくなります。しかしながら、契約/サービスレベル契約(SLA)の一部としてカバーされるべき重要なセキュリティ問題が数多く存在します。具体的には、以下のようなものが挙げられます。
- 暗号化レベル
- データが処理および保存される国(データ保護法に潜在的な問題があるため)
- データの削除と保存期間
- 誰がデータにアクセスしているかを示す監査証跡の可用性
- プロバイダーが管理下または破産管財人の管理下に入った場合のデータの所有権。
データがクラウドに保存される場合は、個人データがクラウド上で処理・保存される量を可能な限り少なくするようにしてください。それが不可能な場合は、少なくとも個人を特定できないようにデータを匿名化してください。
サードパーティに保存されているデータのバックアップ コピーを手動で作成できること、またこのデータが読み取り可能な形式であり、他のサービスやアプリケーションに復元できることを確認します。
