バックアップの推奨

  企業や組織内の情報資産に対する可用性を維持するためには、保有している情報に対する適切なバックアップが必要です。情報管理担当者には、パソコンやネットワークの障害、システムの操作ミスなどが発生した場合にも業務にできる限り影響を与えない、迅速に復旧可能なバックアップの運用が要求されています。

  企業や組織内の利用者が安全にパソコンを利用できるようにするには、定期的なバックアップを推奨しなければなりません。クライアントのパソコンでは、ワープロソフトや表計算ソフトなどで作成したドキュメントファイルだけでなく、電子メール、よく利用するホームページのURL、各種の設定などもバックアップさせる対象としておきましょう。

  まず、情報セキュリティポリシーバックアップの方法や頻度を組織内のルールとして、明確に記載しておきましょう。

  なお、バックアップの方法や保管場所等については、トラブル発生時に復旧できることが重要です。ポリシー策定の際に留意する必要があります。
  例えば、オンラインバックアップのみだったのでサイバー攻撃でバックアップも被害を受けてしまった、バックアップを同じサーバー室に保管していたら火災で全て焼失してしまった、などの事態があり得ます。
  サイバー攻撃、災害等何がおきても、どれかひとつは残るようにするという考え方が重要です。
  具体的なバックアップ方法の対策例として以下が挙げられます。

  • 物理的な隔離

オフラインバックアップであれば、バックアップ媒体を遠隔地に輸送して保管する。オンラインバックアップでは遠隔地にあるストレージにバックアップを実施する。これらの方法は特に災害リスクへの対策となります。

  • 自動暗号化保存

バックアップ先にクラウドサービスを利用する場合に、バックアップ先からの情報漏洩リスクを防ぎます。復号化に必要な鍵は安全に保管する必要があるのはもちろんです。

  • ネットワーク上の隔離

オンラインでバックアップを実施する場合は、サイバー攻撃リスクを考慮して、バックアップ先はネットワーク的に分離できることが重要です。安易に同一ネットワーク上にバックアップシステムを接続すると、共倒れのリスクが高まります。

 これら以外の対策も含めて、企業・組織の実情に応じて複数のバックアップ手段を組み合わせて、リスク低減を図ることが重要です。

 また、平時からバックアップを戻す訓練を実施しておくことも推奨されます。

バックアップ

サーバ上のデータのバックアップ

 データベースサーバやファイルサーバに保存されている共有データは、情報管理担当者が責任を持ってバックアップしなければなりません。

  バックアップを実行するためには、OSに装備されているバックアップユーティリティや専用のバックアップソフトを利用します。なお、サーバのバックアップは、OSやバックアップソフトの持つスケジューリング機能を利用して、利用者が操作を行わない深夜や早朝などに実施します。

バックアップの指示

 社員や職員が各クライアントに保存しているデータも、大切な情報資産のひとつです。そのため、組織内の利用者に対しても、各クライアントに保存されている情報のバックアップを指示しなければ  なりません。その際には、バックアップの保存先(メディアやバックアップサーバなど)、使用するバックアップソフトや方法、バックアップの頻度など、各利用者の持つ情報資産の重要度をきちんと把握  して、適切なアドバイスや方法を具体的に行う必要があります。
 利用者がバックアップに外部記憶媒体を使用する場合には、データの持ち出しによる機密情報や個人情報の漏洩(ろうえい)が発生する可能性が高くなるという点に注意してください。バックアップにおいて、外部記憶媒体を推奨する場合には、情報セキュリティポリシーなどで、不要な持ち出し  を禁止したり、保管場所を規定したりといった情報管理上のルールを徹底することも重要です。