ビジネス継続性計画 (BCP)
災害対策計画は、組織のビジネス継続性計画 (BCP) の一部として含める必要があります。独立したドキュメントにはしません。ワークロードを復元する果敢な災害対策目標を掲げても、そのワークロード以外のビジネス要素が受けた災害のせいでワークロードのビジネス目標が達成できなけば、何の意味もありません。例えば、地震のせいで e コマースアプリケーションで販売した製品を配送できなくなる場合があります。この場合、BCP で対処すべきニーズは配送であり、効果的な DR でワークロードの機能を維持しても配送できなければ意味がありません。DR 戦略は、ビジネス要件、優先順位、コンテキストに基づいて策定する必要があります。
ビジネスインパクト分析とリスク評価
ビジネスインパクト分析では、ワークロードの中断がビジネスに及ぼす影響を定量化する必要があります。ワークロードの使用不能が社内外のお客様に与える影響と、ビジネスに及ぼす影響を見極める必要があります。この分析は、ワークロードをどれだけ早く利用可能にする必要があるか、およびデータ損失をどれだけ許容できるかを判断するのに役立ちます。ただし、注意点として、復旧目標は単独で考慮しないことが重要です。ワークロードの災害対策をビジネス価値として提示するには、中断の可能性と復旧のコストを重要な要因として考慮に入れる必要があります。
ビジネスへの影響は時間に依存する場合があります。この点を災害対策計画に組み込むことを検討してください。例えば、供与システムの中断は、給与の支払い直前であればビジネスに非常に大きな影響を与える可能性がありますが、給与の支払い直後であれば影響は少ない可能性があります。
災害の種類と地理的影響のリスク評価と、ワークロードの技術的な実装の概要によって、災害の種類ごとに発生する中断の可能性が決まります。
非常に重要なワークロードに対しては、ビジネスへの影響を最小限に抑えるために、複数のリージョンにわたって継続的なバックアップを行い、高可用性を確保することを検討します。重要度の低いワークロードに対しては、災害対策を一切講じないことも有効な戦略となります。また、災害シナリオによっては、災害発生の可能性が低いと確信できる場合、災害対策戦略を持たないことも有効です。AWS リージョン内のアベイラビリティーゾーンは、相互に十分な距離を取って、慎重に場所が計画されているため、ほとんどの一般的な災害は 1 つのゾーンには影響しても、他のゾーンには影響しないはずです。したがって、AWS リージョン内のマルチ AZ アーキテクチャは、リスク軽減のニーズを既に満たしている可能性があります。
災害対策オプションのコストを評価し、災害対策戦略がビジネスへの影響とリスクを反映した適切なレベルのビジネス価値を提供することを確認する必要があります。
これらすべての情報に基づいて、さまざまな災害シナリオの脅威、リスク、影響、コストを、関連する復旧オプションとともに文書化できます。これらの情報を使用して、各ワークロードの復旧目標を決定する必要があります。
復旧目標 (RTO と RPO)
災害対策 (DR) 戦略を作成する場合、最も一般的な方法として、組織は目標復旧時間 (RTO) と目標復旧時点 (RPO) を計画します。
図 3 - 復旧目標
目標復旧時間 (RTO) は、サービスの中断からサービスの復元までの最大許容遅延です。この目標は、サービスが利用できない時間枠としてどの程度を許容するかを決定するものであり、組織が定義します。
このホワイトペーパーでは、主に「バックアップと復元」、「パイロットライト」、「ウォームスタンバイ」、「マルチサイト アクティブ/アクティブ」の 4 つの DR 戦略について説明します (「クラウド内の災害対策オプション」を参照してください)。次の図で、ビジネスは最大許容 RTO と、サービス復旧戦略のコストの限度額を決定しています。ビジネス目標を考慮すると、DR 戦略のパイロットライトまたはウォームスタンバイは RTO とコスト基準の両方を満たします。
図 4 - 目標復旧時間
目標復旧時点 (RPO) は、最後のデータ復旧時点からの最大許容時間です。この目標は、最後の復旧時点からサービスの中断までの間にどの程度のデータ損失を許容するかを決定するものであり、組織が定義します。
次の図で、ビジネスは最大許容 RPO と、データ復旧戦略のコストの限度額を決定しています。4 つの DR 戦略のうち、パイロットライトまたはウォームスタンバイの DR 戦略は RPO とコストの両方の基準を満たしています。
図 5 - 目標復旧時点
注記
復旧のコストが障害や損失のコストよりも高い場合は、規制要件などの二次的な要因がない限り、復旧オプションを設定しません。
