バックアップは計画的に: Office 365 データ バックアップ戦略で押さえるべき 4 つのポイント

By: AvePoint

files-picture-id879891990
まだクラウドが主流でなく、データセンターの利用が当然視されていた時代には、バックアップは各企業・組織の責任で実行するものと考えられてきました

しかし 「クラウド ファースト」「クラウド ネイティブ」 という言葉が定着した感がある今、SaaS (サービスとしてのソフトウェア) を利用する企業・組織には、「バックアップは SaaS ベンダーが実行するもの」 と考える傾向があるようです。

しかし、本当に自社では何もする必要がないのでしょうか? 今回の記事では、なぜ SaaS ベンダー任せのバックアップ戦略が危険であるのかと、どのように自社のクラウド コンテンツ バックアップ戦略を立てるべきかについて考察します。

クラウド バックアップはなぜ必要か

quetsionクラウド サービスの場合、プロバイダーが高可用性とディザスタ リカバリーに責任を持ちます。しかし同時に、データの所有者はユーザー企業であるため、最終的な管理責任はユーザー企業が負うことになります。
例えば以下のような事態が起きれば、ユーザー企業自身が対処を考える必要があります。
• 誤消去
• 悪意ある内部ユーザーによる意図的な消去
• データが飛ぶ・ファイルが壊れる
• サイバーアタックやランサムウェアの被害に遭う
思い込みや 「たぶん大丈夫はなずだ」 という根拠のない過信に基づいて何も対策を採らなければ、ある日突然痛い目に遭うかもしれません。自社に何が必要なのかを理解し、それに基づいた対策を立てる必要があります。

以下に、クラウド バックアップ戦略を立てる際に考えておきたい 4 つのポイントをまとめました。

server1. ポリシーと要件をまとめる

ひとつとして全く同じ企業がないように、企業が必要とするバックアップ要件も多様です。業種や扱うデータの種類によって、どのような管理体制が要求されるかは大きく異なります。

まず取り組むべきは、自社のサービス レベル合意 (SLA) を確立し、要件をまとめることです。自社のニーズを理解できていなくては、適切なバックアップ戦略を立てることはできません。

以下は、この段階で検討すべき項目です。
• RPO (Recovery Point Objective/目標復旧時点): 万が一の場合利用できなくなってしまうデータの量が許容範囲を超えないようにするためには、どの程度頻繁にバックアップを取ればよいか、どの時点までさかのぼって復旧すればよいかという指標です。
• 対象とするコンテンツ: どのようなオブジェクトやドキュメントをバックアップしたいかを決定します。
• RTO (Recovery Time Objective/目標復旧時間): 業務中断が発生してから復旧までの目標時間です。
• 保持期間: コンテンツのバックアップをどの程度保管しておくかを決定します。Office 365 グループ、Outlook など、対象に応じて変更することも必要である可能性があります。
• 目標粒度 (RGO): コンテンツ レベルなど、どのレベルまでをバックアップの対象としたいかを決定します。

PRO vs PTO

2. Office 365 環境に要件を当てはめる方法を検討する

要件が定まったら、次は Office 365 環境でどのように上記の要件を満たすかを検討しましょう。以下は、Office 365 の 2018 年 8 月現在の Office 365 SLA となります。

表 1: Office 365 バックアップの SLA
image 1* エンド ユーザーのゴミ箱に 30 日、第 2 段階のゴミ箱に 30 日、PowerShell でさらに 33 日** メンバーの離職後に削除

表 2: Office 365 リカバリーの SLA
zu*** Project Online はコンテンツ データベースの一部であるため、全体としてバックアップされます。このため、単一のオブジェクト リカバリー オプションは存在しません。

3. サード パーティー ソリューションを (中身も含めて) 検討する

security
では、Office 365 の SLA では不十分であるとの結論となった場合は、どのような対策が可能なのでしょうか。

Gartner や Forrester などの IT リサーチ・コンサルティング企業は、サード パーティー ベンダーの Office 365 バックアップ サービスを検討し、必要に応じて導入することを推奨しています。

・「バックアップ」 の内容はベンダーによってまちまち
しかし、ここで注意したいのが、ベンダーのバックアップ対象には開きがあるということです。「Office 365 バックアップ」 を謳っているにもかかわらず、実質上はExchange Online のファイルを .pst ファイルとしてエクスポートするだけのツールしか提供していないという企業も見受けられます。

AvePoint の Office 365 バックアップ ソリューションは、以下を対象としています。
• Exchange
• Exchange Public Folder
SharePoint
• OneDrive
• Office 365 グループ
Microsoft Teams
• Project Online
• Dynamics 365

また、要件によっては、以下のようなポイントにも注意する必要があります。
• 自社の秘密鍵暗号を利用できるかどうか: ベンダーではなく自社がバックアップ データをコントロールできるようにするために重要となります。
• ISO 認証を取得しているか: Microsoft、AWS、Google などのクラウド プラットフォーム プロバイダーの レベル セキュリティ認証はサード パーティー SaaS ソリューションをカバーしないため、サード パーティー ベンダー自身のセキュリティ認証は重要となります。

時間もお金もかけて導入したソリューションが期待外れだった、という結果にならないよう、自社の要件もサード パーティー ベンダーのサービス内容も理解・把握した上で購入することが大切です。

4. 継続したモニタリングと検証

バックアップは、「実行して終わり」 になってしまっては意味がありません。ダッシュボードを利用してモニタリング・ログの確認を実行することで、バックアップにエラーが発生してもすぐに発見することが可能になります。また、定期的にテストを行い、バックアップ データに問題がないかどうか確認しましょう。

image 3

バックアップは、継続的に正確に実行しなければ意味がありません。何らかの理由でバックアップが適切に実行されなくなっていないか確認することで、問題が起きた場合も早期の対処が可能となり、回復できなくなるデータをなくすか、最小限に食い止めることが可能になります。

Untitled picture