東日本大震災はSIerにとっても情報システムのバックアップについて課題をつきつけた。これまでも情報システム担当者の方であれば、BCP(事業継続計画)やディザスタ・リカバリー(DR)、情報システムの耐障害性を検討されていた人だろうが、改めて見直しを求められることも多いだろう。
平常時における障害対策とは根本的に違う視点が求められるのだ。
情報システムの可用性を高めるために、平常時でも冗長構成を組んだりバックアップをとったりということは行われている。しかしそこで想定されている障害とは、、H/W的な障害であったり、アプリケーションの負荷対策であったり、通信機器や回線の障害であったりと、そのシステム単独での障害を想定していることが多いだろう。
極論すれば、同一のデータセンターのラック内でサーバの冗長構成を組み、バックアップをとるということをしている場合だってあるだろう。
しかし今回の「東北太平洋沖地震」と「大津波」、それに続く「福島原発事故」と「電力危機」(場合によっては「放射能汚染」)という状態は、そうした平常時を前提とした対策ではどうにもならないことを示した。こうした「広域災害」には本格的なディザスタ・リカバリ(DR)が求められるのだ。
ディザスタ・リカバリとは、自然災害などによって発生する大規模なシステム障害に対して、予防的措置を講じたり障害復旧を行うための機能や運用体制のこと。平常時の冗長性に対して、「広域災害」を想定しており、セカンダリーサイトなどの設置がメインとなる。
では、セカンダリーサイトを選定するための基準とはどのようなものがあるだろう。
もっとも情報システムの安全対策基準の厳しい業界の1つ、金融機関では、バックアップセンターとして60km以上離れていることが求められていた(最近では「数値基準」はなくなったようだが)。この60kmという距離は広域災害を想定されているものだろうが、「東日本大震災」ではこの距離だけでは意味がないことを示した。
例えば東京・大手町を基準とすると、茨城県水戸市であれば100km前後、宮城県仙台市であれば300km前後離れている。しかしこのいずれかがセカンダリーサイトであったとしても、今回の震災では意味をなさない。
そのためにも、セカンダリーサイトを選ぶ際には、データセンター単体としての堅牢性・信頼性はもちろんのこと、以下のような基準を考慮する必要があるだろう。
1)異なる電力会社の提供エリアであること。さらには隣接区域ではない方が望ましい
2)複数の交通手段・アクセス手段が確保できること
3)地震対策
4)津波・水害対策
5)食料・宿泊施設の確保
1)については、今回の広域災害のもっとも教訓となるものだ。仮に60km離れていたとしても、同じ電力区域であれば「電力危機」に見舞われる可能性がある。データセンターそれぞれが自家発電設備を持っていたとしても、「電力危機」「計画停電」が長期間続けばその燃料を供給できるかは不明だ。
また今回のように直接の被害は東北であったにも関わらず、結果的に関東の電力危機をもたらしている。静岡沖で東海大地震が起これば関東と東海の両方に被害をもたらすかもしれない。そう考えると、セカンダリーサイトは隣接区域ではない方が望ましいのだろう。
2)の「交通手段の確保」も重要な問題だ。仮に仙台にセカンダリーサイトがあった場合、今回の震災では東北新幹線・常磐線が大きな被害をこうむり復旧見込みが立たなくなった。また高速道路の閉鎖され、現地への駆けつけが困難な状況となった。
仮にメインを東京、セカンダリーを大阪だとすると、東海道ルートに遮断されたとしても日本海側ルートがある。また(良くも悪くも)伊丹空港、関空、神戸空港と3空港あり、空路を使うという手もある。こういった複数のアクセス手段が用意できなければならないのだろう。
3)の「耐震構造」は、データセンターの検討にあたっては当然必要な項目。建物の耐震・免震構造はもちろんのこと、これまで以上に「どこまで耐えられるか」については注意が必要だし、近隣の「活断層」の有無の確認や「地盤」の確かさ・「液状化」の可能性といったところも注意が必要になるだろう。
4)当然、データセンターでは水害対策も考慮はされているだろうが、今回の「大津波」はこれまでの想定を覆しただろう。今回、おそらく国内でも古くから堅牢な建築をなされてきたNTTの局舎が津波にやられている。
NTT東日本が岩手県内通信ビルの被災状況写真を公開、外壁が消失した局舎も - ニュース:ITpro
浸水対策、流水対策、それによる漂流物対策を洗いなおす必要があるだろう。
今回、三陸沖~茨城沖の複数のプレートが連続して沈み込み、そのことで「大津波」が発生したわけだけれど、この津波の危険性は東北地方以上に四国、特に「高知」や「大阪」で指摘されている。
四国沖には南海トラフが存在しており、いつ「南海地震」が発生してもおかしくない状態と言われている。そしてこの南海地震が起きた場合、震源地から近い「高知」はもちろん、巨大津波が大阪湾に到達し、此花区~梅田周辺を襲うといわれている。
このとき、都市型津波として、淀川を逆流し上流から回り込む形で津波が押し寄せたり、地下鉄・地下街の水没や細い路地から大通りに合流した津波が加速しながら街並みを襲う可能性がある。これまでの「津波」の想像を超えた対策が求められる。
5)の「食料・宿泊先の確保」もある程度、想定しておかねばならない。データセンター内での作業の長期化や交通手段が遮断され戻れない可能性もある。そうした場合にそなえて、データセンターの近隣にホテルがあるか、食料を調達しやすいかはチェックしておいた方がいい。
ディザスタ・リカバリ対策にはどうしてもコストがかかる。しかしこれはリスクとの(事業継続できないときの逸失利益との)トレードオフなのだ。今回の震災では改めてそのことを教えられたと思う。それは提案を行うSIer側にとっても自分たちの責任を問われているのだと思う。
平常時における障害対策とは根本的に違う視点が求められるのだ。
情報システムの可用性を高めるために、平常時でも冗長構成を組んだりバックアップをとったりということは行われている。しかしそこで想定されている障害とは、、H/W的な障害であったり、アプリケーションの負荷対策であったり、通信機器や回線の障害であったりと、そのシステム単独での障害を想定していることが多いだろう。
極論すれば、同一のデータセンターのラック内でサーバの冗長構成を組み、バックアップをとるということをしている場合だってあるだろう。
しかし今回の「東北太平洋沖地震」と「大津波」、それに続く「福島原発事故」と「電力危機」(場合によっては「放射能汚染」)という状態は、そうした平常時を前提とした対策ではどうにもならないことを示した。こうした「広域災害」には本格的なディザスタ・リカバリ(DR)が求められるのだ。
ディザスタ・リカバリとは、自然災害などによって発生する大規模なシステム障害に対して、予防的措置を講じたり障害復旧を行うための機能や運用体制のこと。平常時の冗長性に対して、「広域災害」を想定しており、セカンダリーサイトなどの設置がメインとなる。
では、セカンダリーサイトを選定するための基準とはどのようなものがあるだろう。
もっとも情報システムの安全対策基準の厳しい業界の1つ、金融機関では、バックアップセンターとして60km以上離れていることが求められていた(最近では「数値基準」はなくなったようだが)。この60kmという距離は広域災害を想定されているものだろうが、「東日本大震災」ではこの距離だけでは意味がないことを示した。
例えば東京・大手町を基準とすると、茨城県水戸市であれば100km前後、宮城県仙台市であれば300km前後離れている。しかしこのいずれかがセカンダリーサイトであったとしても、今回の震災では意味をなさない。
そのためにも、セカンダリーサイトを選ぶ際には、データセンター単体としての堅牢性・信頼性はもちろんのこと、以下のような基準を考慮する必要があるだろう。
1)異なる電力会社の提供エリアであること。さらには隣接区域ではない方が望ましい
2)複数の交通手段・アクセス手段が確保できること
3)地震対策
4)津波・水害対策
5)食料・宿泊施設の確保
1)については、今回の広域災害のもっとも教訓となるものだ。仮に60km離れていたとしても、同じ電力区域であれば「電力危機」に見舞われる可能性がある。データセンターそれぞれが自家発電設備を持っていたとしても、「電力危機」「計画停電」が長期間続けばその燃料を供給できるかは不明だ。
また今回のように直接の被害は東北であったにも関わらず、結果的に関東の電力危機をもたらしている。静岡沖で東海大地震が起これば関東と東海の両方に被害をもたらすかもしれない。そう考えると、セカンダリーサイトは隣接区域ではない方が望ましいのだろう。
2)の「交通手段の確保」も重要な問題だ。仮に仙台にセカンダリーサイトがあった場合、今回の震災では東北新幹線・常磐線が大きな被害をこうむり復旧見込みが立たなくなった。また高速道路の閉鎖され、現地への駆けつけが困難な状況となった。
仮にメインを東京、セカンダリーを大阪だとすると、東海道ルートに遮断されたとしても日本海側ルートがある。また(良くも悪くも)伊丹空港、関空、神戸空港と3空港あり、空路を使うという手もある。こういった複数のアクセス手段が用意できなければならないのだろう。
3)の「耐震構造」は、データセンターの検討にあたっては当然必要な項目。建物の耐震・免震構造はもちろんのこと、これまで以上に「どこまで耐えられるか」については注意が必要だし、近隣の「活断層」の有無の確認や「地盤」の確かさ・「液状化」の可能性といったところも注意が必要になるだろう。
4)当然、データセンターでは水害対策も考慮はされているだろうが、今回の「大津波」はこれまでの想定を覆しただろう。今回、おそらく国内でも古くから堅牢な建築をなされてきたNTTの局舎が津波にやられている。
NTT東日本が岩手県内通信ビルの被災状況写真を公開、外壁が消失した局舎も - ニュース:ITpro
浸水対策、流水対策、それによる漂流物対策を洗いなおす必要があるだろう。
今回、三陸沖~茨城沖の複数のプレートが連続して沈み込み、そのことで「大津波」が発生したわけだけれど、この津波の危険性は東北地方以上に四国、特に「高知」や「大阪」で指摘されている。
四国沖には南海トラフが存在しており、いつ「南海地震」が発生してもおかしくない状態と言われている。そしてこの南海地震が起きた場合、震源地から近い「高知」はもちろん、巨大津波が大阪湾に到達し、此花区~梅田周辺を襲うといわれている。
このとき、都市型津波として、淀川を逆流し上流から回り込む形で津波が押し寄せたり、地下鉄・地下街の水没や細い路地から大通りに合流した津波が加速しながら街並みを襲う可能性がある。これまでの「津波」の想像を超えた対策が求められる。
5)の「食料・宿泊先の確保」もある程度、想定しておかねばならない。データセンター内での作業の長期化や交通手段が遮断され戻れない可能性もある。そうした場合にそなえて、データセンターの近隣にホテルがあるか、食料を調達しやすいかはチェックしておいた方がいい。
ディザスタ・リカバリ対策にはどうしてもコストがかかる。しかしこれはリスクとの(事業継続できないときの逸失利益との)トレードオフなのだ。今回の震災では改めてそのことを教えられたと思う。それは提案を行うSIer側にとっても自分たちの責任を問われているのだと思う。
※コメント投稿者のブログIDはブログ作成者のみに通知されます