応用情報技術者 2012年 春期 午後 問11
ITサービス継続マネジメントに関する次の記述を読んで、設問1~3に答えよ。
D社は、県中央部に本社を置く中堅の金属部品メーカーで、県北部に北部工場と、隣接県に西部工場をもつ。昨秋、災害発生に備えて事業継続計画 (BCP) を策定した。
これに伴い、情報システムについても災害時にサービスが停止した場合のビジネスへのインパクトを最小限に抑えるために、ITサービス継続マネジメント (ITSCM) のフレームワークを用いて、災害復旧計画を策定した。
〔システムの概要〕
本社の計算センタは、E 君をリーダとした、専任のシステム運用要員3名で、受発注管理・生産計画を担当する業務システムと、経理・経営情報を担う経営管理システムを運用している。また、両工場の生産管理システムとデータ連携を行うために、本社・工場相互間を実効速度 1.5M バイト/秒の IPVPN で接続している。
業務システムでは、生産ラインの制御のために、生産計画データを作成しており、生産計画データは、夜間バッチ処理によって受注データから作成し、両工場の生産管理システムへ、10 分程度の時間で配送され、翌日の生産ラインの制御に用いられる。
本社で稼働しているシステムでは、本社において日次で夜間にフルバックアップをテープで採取しているが、遠隔地へのバックアップは行っていない。
西部工場及び北部工場では、それぞれ2名のシステム運用担当者がいて、自工場の生産管理システムを運用している。システム運用担当者は工場の管理部門の要員であり、管理部門業務との兼任となっている。
〔策定された災害復旧計画〕
BCP に設定された生産再開目標である“本社機能が被災で失われても 3 日 (72 時間) 以内に通常生産を再開する”に基づいて、災害発生時のシステムの対応について、次の基本方針が決定された。
・災害復旧計画では、新的な投資を必要としない方式を採用する。
・業務システムの目標復旧時間 (RTO) を 48 時間以内とする。
・業務システムを、西部工場又は北部工場のいずれかの工場で稼働させる緊急時対応体制を確立する。
この基本方針に基づいて、システムの処理能力に余裕のある北部工場のシステム上で業務システムを稼働させ、バックアップサイト(以下、BUサイトという)として運用することを決定した。そのために、起動すればいつでも業務システムが利用可能な環境をBUサイトに構築し、業務システムのバージョンアップごとにBUサイトにプログラムのコピーと構成情報を送ることにした。また、災害発生時には、本社で行っている受発注業務のデータ入力処理を、北部工場の管理部門で代行することを決定した。
具体的な災害復旧計画として、災害発生時点の状況と被害の程度に応じた複数の復旧シナリオを作成することにした。
就業時間帯に本社が被災して全システムが停止し、48時間以内に復旧の見込みがなければ、本社のシステム運用要員は北部工場のBUサイトに移動し、業務システムを北部工場のBUサイトに切り替える。その復旧シナリオ(以下、本シナリオという)には、次の手順が定められている。
(1) 本社計算センタの撤収
計算センタ内の二次災害の発生防止対策を実施後、160Gバイトの最新の日次バックアップデータを格納した100Gバイトテープ2本を、BUサイトに携行するために、計算センタ内の保管庫から取り出す。
(2) 北部工場への本社のシステム運用要員の移動とテープの搬送
本社のシステム運用要員は、自身の安全を最優先とし、最短時間でBUサイトに到着できる移動手段を利用して、取り出したテープを搬送する。3時間以内に到着することを目標とする。
(3) BUサイト立上げ作業
災害発生時から24時間以内にBUサイトの立上げ作業を開始し、バックアップテープからデータを復元した後、業務システムを起動し、データの整合性を確認する。立上げ作業は3時間以内に終了することを目標とする。
(4) 接続先切替え作業
BUサイトの立上げ後1時間以内に、北部工場及び西部工場の生産管理システムの接続先をBUサイトへ切り替える。両工場の生産管理システムとの連携を確認した上で運用を開始する。
〔教育訓練計画に基づく訓練〕
本シナリオの実効性確認のために、次の災害規模を想定して訓練を実施することになった。
・発災時刻後まもなく、本社が所在する地域で大地震が発生した。
・本社周辺の道路が一部を除いて封鎖され、最寄り駅からのバス路線も運休となり、徒歩以外の手段では最寄り駅と本社間の移動が困難となった。鉄道も混乱を極めている。
・交通網の混乱によって、多くの従業員の通勤が困難となり、数日間は本社機能が停止することが明らかになった。
・本社への送電が停止され、計算センタが停電になり、復旧には 1 週間程度が必要であると判断された。
これらの想定に基づいて、RTO の達成を目指して訓練を行った。
〔訓練のまとめ〕
訓練実施後、システム部門と管理部門の関係者の確認会議において、今回の訓練の報告が行われた。
・BU サイトで、E 君が業務システムの起動作業を実施中に、システム運用手順書の内容が最新でないことが判明した。急きょ本社で待機しているシステム運用要員と電話で確認をとりながら作業を進め、何とか目標時間内に切替えを完了することができた。
・就業時間帯を想定した本シナリオにおいては、BU サイトへの切替えに関しては実行可能であると判断した。
・常に最新のバックアップデータを BU サイトに準備するために、バックアップ採取ごとにバックアップデータを一式複製し、北部工場に送付して保管することにした。
・今後は今回の訓練で得られた知見を生かして、①非就業時間帯や、更に深刻な状況の後復旧シナリオについて検討を進めることとした。
設問1:災害復旧計画について、(1)、(2)に答えよ。
(1)RTOを48時間以内と設定する根拠となった目標値は何か。10字以内で答えよ。
模範解答
「生産再開目標値」
または
「72時間以内」
または
「3日以内」
解説
解答の論理構成
- まず問題文は、BCP で掲げた事業目標として
「“本社機能が被災で失われても 3 日 (72 時間) 以内に通常生産を再開する”」
と記述しています。 - IT サービス継続マネジメントでは、ビジネス側の目標値より短い時間内に IT を復旧させる必要があります。そこで災害復旧計画では、
「・業務システムの目標復旧時間 (RTO) を 48 時間以内とする」
と定めています。 - つまり RTO を 48 時間に決めた根拠は、BCP が要求する「3 日 (72 時間) 以内」という生産再開目標です。
- 以上より、設問の答えは「72時間以内」となります。
誤りやすいポイント
- RTO の「48 時間以内」そのものを根拠と勘違いしてしまう。根拠はビジネス側の上位目標です。
- 「RPO(目標復旧時点)」と取り違える。設問は時間内に稼働を再開する RTO を問うています。
- 「48 時間以内は 72 時間以内に含まれるから同じ」と早合点し、目標値を具体的に書かない。
FAQ
Q: どうして 48 時間でなく 72 時間が答えになるのですか?
A: RTO は IT 側の内部目標、設問は「その RTO を設定した根拠となった目標値」を聞いています。根拠は上位で定義された「3 日 (72 時間) 以内」の生産再開目標です。
A: RTO は IT 側の内部目標、設問は「その RTO を設定した根拠となった目標値」を聞いています。根拠は上位で定義された「3 日 (72 時間) 以内」の生産再開目標です。
Q: 「3日以内」と書いても正解になりますか?
A: 問題文に「3 日 (72 時間) 以内」と並列表記されているため、「3日以内」も同じ根拠を示す表現として認められます。
A: 問題文に「3 日 (72 時間) 以内」と並列表記されているため、「3日以内」も同じ根拠を示す表現として認められます。
Q: RTO と RPO はどのように使い分けるのですか?
A: RTO はサービスを再開するまでの時間目標、RPOは失っても許容されるデータの最新時点を示す目標です。災害復旧計画では両方を定めて整合を取ります。
A: RTO はサービスを再開するまでの時間目標、RPOは失っても許容されるデータの最新時点を示す目標です。災害復旧計画では両方を定めて整合を取ります。
関連キーワード: RTO, BCP, バックアップ, 災害復旧, ITSCM
設問1:災害復旧計画について、(1)、(2)に答えよ。
(2)根拠となった目標値からRTOを48時間以内に設定した理由は何か。45字以内で述べよ。
模範解答
生産計画データが日次で伝送されるので最大で24時間の余裕が必要であるから
解説
解答の論理構成
-
事業側の制約
【問題文】には「“本社機能が被災で失われても 3 日 (72 時間) 以内に通常生産を再開する」とあります。
したがって、IT 側の復旧はこの 72 時間以内に完了させる必要があります。 -
生産計画データの性質
生産ラインを動かす鍵となるデータについて、【問題文】は
「生産計画データは、夜間バッチ処理によって受注データから作成し…翌日の生産ラインの制御に用いられる」と記述しています。
つまりバッチは 1 日 1 回、伝送も 1 回で、次の生産に使われるまで 約 24 時間の猶予があります。 -
猶予時間を差し引いて RTO を決定
災害直後でも、直前のバッチで作成済みの生産計画データが残っていれば「翌日分」は確保できます。
そこで 72 時間のうち 24 時間を“バッチ 1 回分の余裕”として見込み、残り 48 時間を IT 復旧に充てる設定にした、という論理になります。 -
まとめ
・72 時間の事業制約 - 24 時間(生産計画データ 1 日分の猶予)
⇒ IT 側は 48 時間以内に復旧すれば生産再開目標を満たせる。
このため設問の解答は「生産計画データが日次で伝送されるので最大で24時間の余裕が必要であるから」となります。
誤りやすいポイント
- 10 分という「伝送時間」を RTO 計算に直接入れてしまう
→ 夜間バッチが 1 日 1 回である点が重要です。 - BCP の 72 時間をそのまま RTO と誤解
→ 事業側の猶予(24 時間)を差し引く必要があります。 - 「160G バイト」やテープ本数など、バックアップ容量を根拠にしてしまう
→ RTO はあくまで業務影響と猶予時間で決まります。
FAQ
Q: バッチが 1 回失敗しても翌日の生産は止まらないのですか?
A: 直前に成功していたバッチで翌日分の生産計画データは既に工場へ配送済みです。よって 1 回分の失敗までは業務継続が可能と判断されています。
A: 直前に成功していたバッチで翌日分の生産計画データは既に工場へ配送済みです。よって 1 回分の失敗までは業務継続が可能と判断されています。
Q: 48 時間で復旧できなかった場合はどうなりますか?
A: 72 時間の生産再開目標に間に合わず BCP 達成が難しくなります。訓練や追加対策で RTO 達成確度を高めることが必要です。
A: 72 時間の生産再開目標に間に合わず BCP 達成が難しくなります。訓練や追加対策で RTO 達成確度を高めることが必要です。
Q: 24 時間の余裕を 12 時間など短く見積もるとメリットはありますか?
A: RTO が厳しくなり、復旧手段に追加投資(遠隔レプリケーション等)が必要になる可能性が高まります。コストとリスクのバランスが重要です。
A: RTO が厳しくなり、復旧手段に追加投資(遠隔レプリケーション等)が必要になる可能性が高まります。コストとリスクのバランスが重要です。
関連キーワード: RTO, BCP, バッチ処理, 災害復旧, バックアップ
設問2:〔訓練のまとめ〕で、バックアップごとにテープを北部工場に送付して保管することしたが、IP-VPNを使用して遠隔バックアップを行わない理由を、25字以内で述べよ。
〔訓練のまとめ〕で、バックアップごとにテープを北部工場に送付して保管することしたが、IP-VPNを使用して遠隔バックアップを行わない理由を、25字以内で述べよ。
模範解答
データの伝送に時間が掛かりすぎるから
解説
解答の論理構成
- ネットワーク帯域の確認
問題文には「実効速度 1.5M バイト/秒 の IPVPN」とあります。 - バックアップサイズの確認
日次バックアップは「160Gバイト」であり、本シナリオでも同容量を搬送しています。 - 伝送所要時間の概算
160 GB ÷ 1.5 MB/s ≒ 109 000 秒 → 約30時間。
これは「災害発生時から24時間以内にBUサイトの立上げ作業を開始」という目標に間に合いません。 - 投資制限との整合
基本方針に「“新的な投資を必要としない方式を採用する」とあるため、広帯域回線の増強や専用装置の導入も想定外です。 - 結論
上記より、IP-VPN経由ではバックアップ転送が遅すぎて目標達成が困難なため、テープ搬送方式を採用するのが妥当となります。
誤りやすいポイント
- 「1.5M バイト/秒」を1.5Mビット/秒と誤読し、10倍以上短い転送時間を見積もる。
- バックアップ対象を差分データと想定し、160 GB全体を送る必要がないと誤解する。
- 投資制限の記述を読み落とし、「回線を増速すれば解決」と考えてしまう。
FAQ
Q: 増設回線を一時的に借りる案は検討しなくてよいのですか?
A: 「新的な投資を必要としない方式」という制約があるため、恒久・一時を問わず追加コストは想定外です。
A: 「新的な投資を必要としない方式」という制約があるため、恒久・一時を問わず追加コストは想定外です。
Q: 160 GBを圧縮して送れば間に合う可能性は?
A: 圧縮率を見込んでも数十%程度です。伝送時間のオーダーが大きく変わらないため現実的な解決策になりません。
A: 圧縮率を見込んでも数十%程度です。伝送時間のオーダーが大きく変わらないため現実的な解決策になりません。
Q: 差分バックアップを使えばネット転送も可能では?
A: 差分方式を新たに設計・運用するには追加投資と手順変更が必要で、基本方針と訓練結果に合致しません。
A: 差分方式を新たに設計・運用するには追加投資と手順変更が必要で、基本方針と訓練結果に合致しません。
関連キーワード: バックアップウィンドウ, 帯域幅, 災害復旧, 回線容量, オフサイト保管
設問3:本文中の下線①で検討を進めるシナリオにおいて、本社のシステム運用要員の北部工場への移動が数日間は困難となった状況を想定した。北部工場にバックアップデータが既に存在するとして、RTOを達成する新たな対策について、(1)、(2)に答えよ。
(1)BUサイトへの切替え及び運用ができる体制を構築するために、D社は“誰に”、“何の”訓練を受けさせるべきか。それぞれ18字以内で述べよ。
模範解答
誰に:北部工場のシステム運用担当者
何の:業務システムの起動及び運用
解説
解答の論理構成
-
想定された新シナリオ
- 問題文は「①非就業時間帯や、更に深刻な状況の後復旧シナリオについて検討を進めることとした」と記述し、さらに小問では「本社のシステム運用要員の北部工場への移動が数日間は困難」と明示しています。したがって、本社の要員に依存しない復旧体制が必須です。
-
既存の人的リソース
- 「西部工場及び北部工場では、それぞれ 2 名のシステム運用担当者がいて、自工場の生産管理システムを運用している。」とあるように、北部工場には既に IT 系業務を兼任する要員が存在します。
-
バックアップデータの準備状況
- 訓練結果として「常に最新のバックアップデータを BU サイトに準備するために、バックアップ採取ごとにバックアップデータを一式複製し、北部工場に送付して保管することにした。」と決定済みです。データ面の前提はクリアされています。
-
RTO 達成に必要な作業
- 本シナリオの手順(3)「BUサイト立上げ作業」に示されるように、バックアップからのデータ復元・業務システム起動・整合性確認が実行できなければ「目標復旧時間 (RTO) を 48 時間以内」に収まりません。
-
誰に訓練させるべきか
- 本社の要員が来られないため、北部工場にいる「北部工場のシステム運用担当者」を主役に据えるのが合理的です。
-
何を訓練させるべきか
- RTO を満たすには (3) と (4) に該当する「業務システムを起動」し「運用」へ移行する一連の手順を実践できるようにする必要があります。
以上より、解答は
・誰に:北部工場のシステム運用担当者
・何の:業務システムの起動及び運用
・誰に:北部工場のシステム運用担当者
・何の:業務システムの起動及び運用
誤りやすいポイント
- 「北部工場に IT 要員がいるから自動的に大丈夫」と思い込み、具体的な起動手順の習熟まで視野に入れ忘れる。
- 訓練対象を「本社の計算センタ要員」としてしまい、そもそも移動できないという前提を崩してしまう。
- 何を訓練するかを「データ復旧」だけに限定し、起動後の運用・整合性確認まで含めない。
FAQ
Q: 北部工場の要員は生産管理システムしか扱ったことが無いのでは?
A: そのとおりです。だからこそ「業務システムの起動及び運用」の訓練を通じて手順を習得させ、非常時でも本社に依存しない運用を可能にします。
A: そのとおりです。だからこそ「業務システムの起動及び運用」の訓練を通じて手順を習得させ、非常時でも本社に依存しない運用を可能にします。
Q: バックアップデータが現地にあるなら自動復旧システムを導入すべきでは?
A: 災害復旧計画の基本方針に「新的な投資を必要としない方式を採用する。」とあるため、自動化ではなく人的対応で補う方針になっています。
A: 災害復旧計画の基本方針に「新的な投資を必要としない方式を採用する。」とあるため、自動化ではなく人的対応で補う方針になっています。
Q: 訓練は一度で十分ですか?
A: 業務システムはバージョンアップごとに BU サイトへプログラムをコピーすると決められているため、手順も更新されます。訓練も定期的に実施し、手順書を最新に保つことが不可欠です。
A: 業務システムはバージョンアップごとに BU サイトへプログラムをコピーすると決められているため、手順も更新されます。訓練も定期的に実施し、手順書を最新に保つことが不可欠です。
関連キーワード: ITサービス継続マネジメント, BCP, バックアップ, RTO
設問3:本文中の下線①で検討を進めるシナリオにおいて、本社のシステム運用要員の北部工場への移動が数日間は困難となった状況を想定した。北部工場にバックアップデータが既に存在するとして、RTOを達成する新たな対策について、(1)、(2)に答えよ。
(2)〔訓練のまとめ〕の報告を基に、(1)を実施するために、事前に整備すべきことを25字以内で述べよ。
模範解答
システム運用手順書を最新の状態に保つ。
解説
解答の論理構成
- 想定条件の確認
【問題文】では、新シナリオとして「本社のシステム運用要員の北部工場への移動が数日間は困難」と明記されています。このため、BU サイト側だけで業務システムを起動・切替えできる体制整備が必須です。 - 訓練で判明した課題の抽出
訓練時に「“BU サイトで、E 君が業務システムの起動作業を実施中に、システム運用手順書の内容が最新でないことが判明”」したため、電話で確認しながら何とか対応したと記載されています。 - 課題と新シナリオのギャップ分析
新シナリオでは電話での確認も難しい状況が想定され、手順書が最新でなければ RTO「“48 時間以内”」を満たせなくなる恐れがあります。 - 必要な対策の導出
上記より、BU サイト要員が自立して作業できるよう、「システム運用手順書」を常に最新化し配備しておくことが最重要となります。 - 解答
よって (1) で求められる「事前に整備すべきこと」は
システム運用手順書を最新の状態に保つ。
誤りやすいポイント
- バックアップデータの配備だけで十分と考え、手順書の更新・配布を軽視してしまう。
- 手順書を電子ファイルのみで管理し、停電・ネット断で閲覧できないリスクを見落とす。
- 「RTO 達成=ハード資源確保」と短絡的に捉え、人的・手順面を後回しにする。
FAQ
Q: 手順書の最新版を BU サイトに置くだけで十分ですか?
A: 電子媒体に加え、印刷物としても配置し、定期的な更新確認サイクルを設けると確実です。
A: 電子媒体に加え、印刷物としても配置し、定期的な更新確認サイクルを設けると確実です。
Q: 手順書更新の頻度はどの程度が望ましいですか?
A: システム変更やパッチ適用など運用構成が変わる度に即時反映し、少なくとも月次でレビューする運用が推奨されます。
A: システム変更やパッチ適用など運用構成が変わる度に即時反映し、少なくとも月次でレビューする運用が推奨されます。
Q: 手順書を最新化する責任者は誰にすべきでしょうか?
A: 変更管理プロセスの担当者を明確にし、承認フローと連携させて更新漏れを防ぐ仕組みを設けると効果的です。
A: 変更管理プロセスの担当者を明確にし、承認フローと連携させて更新漏れを防ぐ仕組みを設けると効果的です。
関連キーワード: BCP, RTO, バックアップ, 手順書管理, 災害復旧
