今だからこそ考える企業のDR/BCP対策（Part 2）

堅牢なファシリティ

　世界有数の地震国である日本では、災害対策と言えばまずは地震に対する備えが意識されるのではないだろうか。これに関しては、過去の経験を踏まえて段階的にアップデートを受け、世界でもトップレベルの建築基準が運用されている現在、新しい建物の場合は基本的に「建物が地震で倒壊する」という懸念はまずないと言っても過言ではないだろう。地震の揺れとしても極めて大きかった東日本大震災の際も、地震の揺れによって完全に倒壊した建物はほとんどなかったと言われている。公的な報告を見ても、地震の揺れで倒壊したとされる建物は旧基準時代の老朽化したもので、新基準に従って建てられた建築物での倒壊例はなかったとされている。一方で、天井や照明器具の落下、内装の剥離などの被害は起きているので油断はできないが、都市部の新しいオフィスビルやデータセンターなどでは、地震の揺れで建物が倒壊するリスクはごく小さいものと考えてよいだろう。

　万全を期すなら、専用ファシリティとして建築されているデータセンターがやはり安心だ。比較的新しいデータセンターの建屋は基本的に免震構造になっており、地震の揺れで建物が倒壊しないのは当然として、内部に収容されているIT機器に伝わる揺れを軽減する効果が高いことも安心材料として大きい。建物が免震構造ではない場合でも、ラック単位で免震機能を実装することは可能だが、やはり建物全体が免震構造になっている方が効果が大きい上、運用負担もほぼないため、可能であれば免震構造の建物を選択するのが望ましいだろう。

　免震構造になっていない場合、IT機器が地震波で揺すられる可能性がある。かつての、ストレージメディアとしてHDDが主流だった時期には、回転中のHDDに地震波が伝わってHDDがクラッシュするという状況が考えられたが、エンタープライズ市場では既に主流の地位を占めるに至っているオールフラッシュストレージの場合、機械的な可動部分が存在しないことから、HDDのように震動に弱いわけではないと考えられる。ただし、SSDであればどんなに大きな地震が来ても問題は無いとまでは言い切れないようだ。ホットスワップベイなどのモジュールをマウントする部分の摺り合わせ精度などの問題で、大きな震動を受けると部品やモジュールが暴れ、コネクタ部分が損傷するなどの被害が生じる可能性がある。また、ラックにマウントした機器が適切に固定されていない場合、ラックから機器が滑り落ちてしまうような可能性も考えられる。しっかりネジ留めして固定してあればまず起こらないトラブルではあるが、頻繁に入れ替える／仮置きのつもりだった、などの理由で単にラックに差し込んであるだけ、という状態で稼働している機器も見かけるので、こうした機器は大規模な地震の際にダメージを受ける可能性がある。

水害対策

　温暖化の影響なのかどうなのか、近年は台風や集中豪雨、「線状降水帯」などと呼ばれる局地的に大雨が続く現象などで甚大な被害が発生する例が頻発している印象だ。こうした特異な気象現象はどこででも同じように発生するとは限らず、むしろ地理的な要因で起こりやすい場所があると考えて良い。そして、こうした大雨が河川の氾濫などを引き起こし、水害が発生する場合にも、水害被害を真っ先に受ける場所と、そうでない場所が存在する。

　基本的に、水害に関しては水はけの悪い低地はハイリスクで、小高い丘など、周囲より標高が高い場所は比較的安全だ。津波被害に関しても事情は似ており、大きな被害が生じる可能性のある場所はおおよそ見当が付くことが大半だろう。そうした地理的条件を踏まえて作成された「ハザードマップ」を見て、危険性が高い場所は避けるというのが基本的な対応策だが、実のところ、データセンターの建設時点でそうした環境評価が十分に行われていることに期待する、というくらいしかユーザー側でできることはないとも言える。

　データセンター側でも、各地で災害被害が発生するたびにその教訓を踏まえてさまざまな対策強化が行われている。たとえば、東日本大震災の際に原子力発電所の冷却機能が失われたのは、電源設備が水没したためだと言われている。電源設備は重量がかさむ設備でもあるので、データセンターでも地下に設置している例が多かったが、東日本大震災以降は、非常用電源設備に関しては屋上に配置するように検討するなどの動きも見られる。

　データセンター以外の、自社オフィスに設置したマシンルームなどに関しては、基本的には可能な限り上層階に設置するように配慮するくらいだろうか。水害対策が必要な場合を考えてみると、たとえば小売商店を多数展開するリテールチェーンで、各店舗に小規模なサーバーを配置しているような場合が思い浮かぶ。

　商材にもよるが、一般的な店舗は来客の入りやすさを重視して道路に面した場所、いわゆる「路面店」という形を採ることが多い。しかも、小規模な店舗であれば平屋建ても多いことから、「IT機器を上階に」という対応も不可能だろう。こうした場合も、基本はハザードマップの情報で、水害の可能性が高い場所にある店舗に関しては、水没を前提としたデータ保護策を講じておくという形になるだろう。単なる事務所であればハザードマップを参照してリスクの少ない場所に移転するという選択肢もあるだろうが、店舗の場合は多数の来客が見込める立地でないと意味がないため、水害リスクを理由に移転することは現実的ではないだろう。こうした店舗の場合、小規模な水害では被害を受けないように、せめてサーバーなどを床置きにはせず、ラックなどの上方に設置して可能な限り高さを稼ぐという工夫は考えられるが、それでも水没する可能性はあるため、やはりデータを遠隔拠点にバックアップしておくのが最善策となる。

火災対策

　次いで、災害レベルではなく日常的な事故レベルの確率で発生する可能性があるのが火災だ。火を使う設備が混在するような建物では火災のリスクが常にあると考える必要がある。データセンターでは基本的には火災発生のリスクはないと考えたいところだが、実際にはいくつか発生例が報告されている。漏電やトラッキング、配線の被覆を物理的に損傷したことなどに起因する電気火災や、冷却ファンなどが異物を巻き込んで加熱する、あるいは、機器の排熱が適切に処理されなかった結果、たまたまそばにあった燃えやすいものに引火してしまう、などの例が報告されている。

　データセンターの場合は、収容しているIT機器に副次的な被害を与えることがないよう、酸素を遮断する形の消火設備が設置されていることが大半だ。データセンターのマシンルームであれば通常は異常検知のためのセンサー類も充分な数が設置されているし、初期消火に成功する例が大半だと期待されるため、火災によってITシステムが壊滅的な被害を受ける、という可能性はあまり高くはないように思われる。

　一方で、オフィスの一角にサーバーを設置する、といった形の運用では、火災に遭うリスクは跳ね上がり、「可能性は常にある」と言わざるを得ないだろう。しかも、オフィスの場合はデータセンターのような不活性ガスによる窒息消火という手法は人的被害に繋がる可能性が高いことから採用できないだろう。初期消火段階ではオフィスに備え付けの消火器などが使われ、それで消し止められない場合は建物備え付けのスプリンクラーや消防隊による放水という対応になると考えられる。いずれも、IT機器に関しては大きなダメージを与える可能性が高く、ちょっとしたボヤ程度で済んだ場合でもIT機器だけは壊滅的な被害を受けているという状況に陥る可能性も考えられる。水害による水没と事情は同様で、基本的に「火事に遭わないような防御策」を考えても無理があるので、火事に遭ってIT機器が全焼してしまったとしても復旧可能なように別の場所にバックアップを保存しておく、ことが最善策となるだろう。

Arcserve Japan のバックアップアプライアンス「Arcserve UDP 8100」（出典：Arcserve Japan）

ランサムウェアに備える

　一般的な自然災害とは異なるものの、対策としては類似性が高い問題として、ランサムウェア被害についても考えておこう。ランサムウェアとは、悪意あるプログラムコード（マルウェア）の一種で、ユーザーを脅迫して金銭の支払いを要求することを主眼としたものだ。脅迫の材料となるのがユーザーのデータで、ランサムウェアに感染すると、そのシステム上のユーザーデータがランサムウェアによって暗号化されてしまう。暗号化されたデータがユーザーには読み出せなくなったところで、脅迫者が「暗号鍵が欲しければ身代金を支払え」と要求してくると言う形が典型的だ。現在では攻撃手法もさらに洗練されてきており、より対処が難しいものとなってきているが、まず基本的な挙動については上記のような形となる。

　例に挙げたようなシンプルな暗号化攻撃では、データのバックアップがあればデータ自体は復元できるため、身代金支払いの必要はない。もちろん、仮にバックアップがなかった場合でも身代金支払いに応じてしまうのは賢明とは言えないが、これに関しては個々の事情もあるだろう。ともあれ、ランサムウェアの攻撃手法を単純化して説明するなら、「ユーザーデータを破壊した上で、元に戻して欲しければ金を払え」というものなので、バックアップから自力で元のデータを復元できるようにしておくことで完全な防御が可能である。そのためにも、きちんとバックアップを作成しておくことがまずは基本的な対策となる。

　とはいえ、残念ながら現在ではランサムウェア作成者の側も攻撃成功率を高めるためにさまざまな工夫を凝らしており、より洗練された手法が使われるようになってきているため、注意が必要だ。まず考えるべきは、バックアップデータの保護である。最近のランサムウェアでは、オンラインのデータを暗号化するだけではなく、ネットワーク上を探し回り、バックアップデータを発見したらそちらも同時に暗号化してきたりする例が増えている。感染したサーバーの設定を変更してOS標準のバックアップやデータコピーの機能をあらかじめ停止させてから暗号化に着手するものもあり、「バックアップがあるから大丈夫」と油断していると、バックアップごと破壊されていたなどという状況に陥らないとも限らない。これを防ぐ為には、バックアップシステムの構成を工夫して対象となるサーバーと同時にアクセスできないように分離しておくとかの工夫が必要になる。

　バックアップアプライアンス製品の場合は、バックアップデータが保存されているストレージに対するアクセスを監視しており、想定外のデータの書き換えなどを遮断することでランサムウェア対策としている製品もあるので、こうした製品を活用することも防御策としては有用だろう。なお、最新のランサムウェアの場合は感染後しばらく潜伏し、その間にまずユーザーデータを外部に送信して盗み出す、という手法も併用する例が報告されている。その後データを暗号化して身代金を要求するが、被害企業側が支払いに同意しない場合は今度は「盗み出したデータを外部に漏えいさせ、情報漏えい事件化する」という脅迫を行う二段構えの攻撃が行われるわけだ。

　EU圏で実施されたGDPR（EU一般情報保護規則）では、「企業の全世界年間売上高の4％以下、もしくは2000万ユーロいかのいずれか高い方」が罰金として課せられる事になっており、本稿執筆時点でのレートで考えると最低でも25億円の罰金ということになるため、この支払いを避けるための身代金として数億円程度までなら払う方が合理的という判断も成り立たないわけではない。攻撃側もその辺りの事情を熟知しているため、難しい対応が迫られる。なお、こうした情報漏えいに対抗するには、やはりマルウェア感染をできる限り迅速に探知し、外部への通信を遮断するなどの処置を行う必要がある。本稿のテーマであるDR／ BCP対策の範囲を超えるため、これ以上の詳述は避けるが、関連するリスクとして注意しておく必要があるだろう。

災害対策としての遠隔バックアップ

　主な自然災害の特徴と、これらの災害からITシステム／データを保護するための基本的な考え方を紹介してきたが、次に具体的なバックアップの取り方についても考えてみよう。これまで紹介してきた自然災害では、基本的に特定の拠点が完全に機能を失い、そこにある機器やデータは失われることを最悪のケースとして想定している。従って、バックアップに関しても、昔良くあったような「マシンルーム内のキャビネットにバックアップテープがしまってある」といった状況ではデータを保護することはできないことになる。

　そのため、災害対策としてのバックアップでは、保管場所を地理的に分散させることが重要になる。しかしながら、サーバーと同じ場所にバックアップデータを置いてはいけないということではないことには注意したい。バックアップデータからのリストアが必要なのは、なにも大規模な自然災害発生時だけとは限らない。日々の運用の過程でのミスやトラブルハードウェアの自然故障などでもバックアップからのデータ復元が必要になる場面はあり得る。こうした場合に、遠隔地からバックアップデータを取り寄せるのは時間が掛かってしまうため、システムの復旧が遅れてしまう。そのため、バックアップデータはシステムと同じ場所に保存しておきつつ、遠隔地にもコピーしておく、という対応が最善だということになる。

　遠隔にコピーを置く方法には、いくつかの実装手法が考えられる。基本的には、バックアップの頻度に応じて対応を考えることになる。データ喪失が一切許されないという環境ではリアルタイムでデータのコピーを取り続けることになる。こうした環境ではストレージの機能を活用したレプリケーションなどを活用することになるだろう。逆に、1日1回のバックアップなら、データ量にも依存するが単純なコピーで対応できる可能性もある。

　バックアップデータの保全という観点からは、最近はクラウドストレージを活用する例が増えてきている。コスト的には充分安価と言えるが、注意すべきなのはネットワーク経由でのデータ転送に課金される例があることだ。この場合、バックアップデータはデータ量としては大きくなりがちなので、意外にコストがかさむということもあり得る。また、クラウド事業者によってはクラウドへのアップロードは無償だが、クラウド上に保存されたデータをダウンロードする際には料金が発生する、という体系もある。この場合、クラウド上に日々バックアップをコピーするのは無償で可能だが、リストアしようとするとコストが発生するという形になる。いずれも、メリットを考えればリーズナブルな出費ということで納得できれば問題ないが、データ量によっては高額な請求が発生する可能性もあるので、事前にきちんとシミュレーションを行っておく必要があるだろう。

　また、バックアップシステムの複雑さに配慮した結果、最近はバックアップ専用アプライアンスも各社から製品化されている。これらは運用管理負担が大幅に軽減される上、クラウドへのデータコピー機能なども実装されており、アプライアンスに内蔵されたストレージにバックアップデータを格納しつつ、クラウドストレージと連携して利用頻度の下がった古いバックアップをクラウドに移動するなどの柔軟な運用が可能になる。さらに、こうしたバックアップ専用アプライアンスの場合、最近は重複排除やデータ圧縮機能を併用するものが増えてきていることから、ストレージ容量も最適化できるなど、メリットが多い。IT運用担当者の負担軽減を考えると、こうしたアプライアンス製品を積極的に活用することも検討する価値があるだろう。