サイト別ディザスタリカバリの選択肢
Storage Magazine 2009年1月号より
ホット・サイトか、ウォーム・サイトか、それともコールド・サイトか。貴社に最適なディザスタリカバリ戦略を見つけ出す方法。
災害から想定時間内に復旧することは、情報技術への依存度を高めている企業にとって死活問題である。基幹業務アプリケーションを想定時間内に復旧させる機能は、かつては大企業だけが考えるべきものとされていたが、今やあらゆる規模の企業にも必須である。だが、中にはディザスタリカバリ(DR)をコストのかかる保険と考えるユーザーもいて、わずかな費用を節約しようと手を抜くこともある。予算削減の煽りを受けないためにも、DRプロビジョンやDRサイトはいくつかの基本原則に則って構築しなければならない。それらの原則に従って、経費削減によって被る可能性のある業務上の影響や結果を正しく示すことができるので、経営陣は必要なものを判断できるようになる。
守るべき原則
ビジネスプロセスとアプリケーションの復旧に必要なDRのレベルを決めるために最も大切な基準は、リカバリ時間目標(Recovery time objective, RTO)とリカバリ・ポイント目標(Recovery point objective, RPO)である。この2つはDRのコストに反比例する。つまり、RTOとRPOの値をゼロに近づけようとするほど、それだけDRプロビジョニングのコストは上がる。復旧時間が数日、または数週間でもよいなら、おそらくコストは大幅に下げられるだろう。
予算を無駄にすることなく最適なDRのレベルを確保するには、まず何よりも事業に要求されるRTOとRPOを割り出すことだ。RTOとRPOは、ビジネスプロセスとアプリケーションのビジネス・インパクト分析から、ビジネスプロセスの価値とそれが利用できなくなった場合に予想される財務的影響を判定することで導き出される。当然それは、事業ごとのビジネスプロセスとアプリケーションによって大きく変わってくる。「ジャストインタイム生産の場合、リカバリは15分以内に完遂しなければならないが、マーケティング・アプリケーションでは数日でもよいかもしれない」とヒューレット・パッカード(HP)の業務継続リカバリ・サービス部門ワールドワイド・サービス部マネージャーのジョージ・ファーガソン氏は述べる。
通常、RTOとRPOの判定には反復的プロセスが必要だ。なぜなら、使える予算と達成すべきリカバリ目標という、相反する2つの綱引きになるからだ。「ディザスタリカバリのような偶発事故対策のサービスにとっての課題は、使える予算とビジネスを維持するために必要なこととの最適なバランスを見つけることだ」とミネソタ州スティルウォーターのストレージIOグループの創業者でシニア・アナリストのグレッグ・シュルツ氏は述べている。
ディザスタリカバリの選択肢
ビジネス・インパクト分析の結果を得て、RTOとRPOに関する社内の意見が一致して初めて、IT管理部門は実装オプションについて考えることができる。ディザスタリカバリ・サイトの用語は紛らわしい。ホット・サイト、ウォーム・サイト、コールド・サイトなどの用語はDRの世界では一般的だが、使い方は一貫性に欠けている。ホット・サイトは、米国では共有設備で構成されているのが普通であるのに対し、「欧州ではホット・サイトという言葉は専有設備を指すことがほとんどだ」とファーガソン氏は指摘する。上記用語は、米国では普通次のように解釈される。
*ホステッド・サイト(Hosted site):専有設備を持つサイト。RTOとRPOをゼロ近くにしたいときに必要。
*ホット・サイト:共有設備だが、専有のストレージとリアルタイム・レプリケーションが利用できる。RTOは通常数時間かかる。
*ウォーム・サイト:共有設備で専有のストレージはない。リカバリはデータ・バックアップに頼る。RTOはバックアップ手法により数時間から数日かかる。
*コールド・サイト:通常、データ・センター内の専用スペースを指す。設備を設置できるように、冷却設備、電力、およびネットワーク接続が用意されている。RTOは通常一週間以上かかる。
DRサイトはアプリケーションが変われば役割も変わるのがきわめて一般的である。例えば1つのDRサイトが、ミッションクリティカルな電子商取引ではリアルタイムに近いフェイルオーバーを提供するホステッド・サイトとなり、重要度の低いエンジニアリングではテープバックアップによるリカバリを行うローエンドのウォーム・サイトとなることもある。多くのDRサイトはハイブリッドで、アプリケーションによってサイトの役割が決まる。そのため、DRサイトを運営するディザスタリカバリ会社は通常、アプリケーションごとに異なるRTOとRPOに合わせて、サービスを階層に分けて提供している(表「DRのティア」を参照)。
DR階層別オプション比較表
(5TBのMicrosoft Exchange 2007を例に、リカバリポイント・システムズ社が提供しているプランと 価格を参考にした。)
|
ホステッド・サイト
ティア1のDRは最高レベルのDR保護機能であり、基本的にRTOとRPOをほぼゼロにしなければならないアプリケーションで使用されている。ティア1のDRの特徴は、DRサイトで専有の設備を使用することにある。そのため、価格も一番高価で、通常、その用途はもっともミッションクリティカルなアプリケーションに限られる。DRサイトの設備はそのクライアント企業専用なので、たとえサービスが外注されていても、利用できる設備に制限はほとんどない。
DRの選択肢の中でも、ティア1のDRは会社自身でDRサイトを所有、運用する社内運用に最も適している。また専用のDR設備が必要なため、それをアウトソースで利用するよりも自社導入した方が安く上がることが多い。「ティア1のDRは自社導入した方がコストパフォーマンスは良い。社内の既存の設備と人員で対応できるならなおさらだ」とファーガソン氏は述べている。
プライマリ・サイトとDRサイトのアプリケーションは緊密に連携しているため、プロダクション設備とDR設備は1つの組織で共通管理するのが普通である。
第三者がDRサイトを運営する場合、プライマリ・サイトとDRサイトの設備を両方ともDRサービス・プロバイダが管理することも珍しくない。一例を挙げると、シトリックス・システムズはプライマリ・サイトのHP XP12000 SANとそのDRサイトの管理をどちらもアウトソースすることを決断している。プロダクションSANの実働設備はマイアミにあるシトリックスのプライマリ・データ・センターに置かれているが、DR SANはHPの管理下にある。シトリックスのITセキュリティ・ガバナンス・業務継続部ディレクターのマイケル・エマーソン氏は次のように説明する。「マイアミにある当社のSANストレージはHPにアウトソースしており、管理もHPが行っている。つまり、HPがSANを所有、管理し、プロダクションからHPのDR SANへのレプリケーションも、HP Continuous Accessのレプリケーション(HP StrageWorks XP Continuous Accessソフトウェア)を用いてHPが行っている」
ホット・サイト
リカバリ時間が(分単位でなく)時間単位でもよい場合は、ホット・サイトも十分選択肢になり得る。ホステッド・サイトとホット・サイトの最も大きな違いは、サーバや周辺機器などのインフラに共有設備を利用するかどうか、ということだ。ホット・サイトは専有のストレージを備え、リアルタイム・データ・レプリケーションによりプロダクション・サイトからDRサイトへデータを取り込む。DRサイトの設備を複数の顧客で共有するため、ホット・サイトはホステッド・サイトよりも極めて安価である。「設備が共有なので、ホット・サイトとウォーム・サイトは社内に導入するよりアウトソースした方が極めて安く実装できる。DRサービス・プロバイダはすべての顧客が同時に災害に見舞われることはないということを前提にしている」とファーガソン氏は述べている。
欠点として、設備が共有なので柔軟性が低いことが挙げられる。そのため利用できる設備がDRサービス・プロバイダの提供するものに限られてしまう。設備の選択肢が少ないサービス・プロバイダもあれば、選択肢が多いプロバイダもある。「ほぼ90%の時間は共有設備を利用できるが、残りの時間は顧客と協力して稼働させている」と、バックアップ、ストレージおよびディザスタリカバリ・サービスを提供するリカバリポイント・システムズ社長のマーク・ランガー氏は述べている。大規模なサービス・プロバイダほど柔軟性に欠けることがあるため、共有設備の特徴がホット・サイトやウォーム・サイトのプロバイダを選ぶ際の決め手になることが多い。
サイトの設備を共有で使用することによるもう1つの影響は、災害時に顧客が共有の設備を使える期間に限りがあることである。期間はサービス・プロバイダによって違うが、だいたい30~90日間である。「顧客は退去するまで、またはコールド・サイトに移行するまでに60日間共有設備を使用できる」とランガー氏は説明する。また、IBMのようにデータ・センターを多数抱えるサービス・プロバイダはより柔軟に対応できる。「当社は負荷を別のデータ・センターに移すことができるので制約なく対応できる」IBMのシステム・テクノロジーグループの業務継続戦略・計画部門のシニア・コンサルタントであるジョン・シング氏はこう語る。突然使えなくなるという事態に陥らないためにも、数年間の長期契約を結ぶ前に、DR管理サービスの期間、条件および制限を明確に理解することが求められる。
ウォーム・サイト
ホット・サイトとは対照的に、ウォーム・サイトでのリカバリはバックアップに依存する。その結果、専有のストレージは不要となり、より安価な共有ストレージで構築できる。言い換えると、ウォーム・サイトの設備は、ストレージを含めて複数の顧客間で共有される。そのため、ホット・サイトで考慮すべき点のほとんどはウォーム・サイトにも当てはまることになる。
かつてはバックアップがテープに限られていたため、ホット・サイトとウォーム・サイトには厳然とした違いがあった。そのため、ウォーム・サイトのリカバリは日単位が普通だった。テープベースのバックアップでリカバリするウォーム・サイトはDRサービスの領域においては明らかにローエンドである。
しかし、ディスクベースのバックアップがウォーム・サイトとホット・サイトのギャップを埋めた。そして今では基本的に、ほとんどのDRサービス・プロバイダが、ネットワーク上でプロダクション・データをディスクにバックアップするElectronic Vault(訳注:ネットワーク越しに本番稼働しているディスクの差分データをDRサイトのディスクに送って本番と同じディスクイメージを構成しておくような仕組みをElectronic Vaultingと呼ぶ)のオプションを提供している。Electronic Vaultを備えたウォーム・サイトのRTOとRPOには一日もかからない。これはホット・サイトのリカバリ時間と非常に近く、それでいて費用はその数分の1である。「DRインフラのレプリケーションとElectronic Vault付きの共有インフラとでは、価格が1桁違う。Electronic VaultはテープベースのリカバリとDRインフラのレプリケーションとの差を縮めており、価格と信頼性の利点を考えれば顧客はこれを検討しないわけにはいかない」とHPのファーガソン氏は述べている。
コールド・サイト
コールド・サイトはすぐに設備を配置できるように、電力、冷却設備およびネットワーク接続が完備された賃貸スペースである。コールド・サイトはリカバリ時間を一週間以上要するため、長期間ダウンしても問題のないビジネスプロセスでのみ選択肢となり得る。またコールド・サイトは、長期にわたる災害のときにホット・サイトとウォーム・サイトを補完するものとして利用することもできる。「当社がコールド・サイトの契約を結んだ顧客の中には、災害が6週間以上続いたときに設備を共有インフラからコールド・サイトへ移管できるという付帯条件を付けた方もいる」とリカバリポイント・システムズのランガー氏は言う。
災害中にコールド・サイトに置く設備は顧客が用意する。コールド・サイトを利用するDR計画には、災害発生時の設備の調達とコールド・サイトへの配送の方法とを明確に記述しておく必要がある。必要になったときに調達するということでは、タイムリーに入手できない可能性もあるため、リスクがある。よりよいオプションとしては、Agility Recovery Solutionsのような会社が提供する緊急配送サービスへの登録を検討することだ。「買い取りオプション付きで、月50ドル足らずで設備をレンタルすることができます」とリカバリポイント・システムズのランガー氏は説明する。
DRを社内で運営するかアウトソースするか
DR戦略を実行に移すときには、DRサイトを社内で運営するかアウトソースするかを決めなければならない。これは非常に重要な判断である。社内での運営は、DRに関係した作業を既存の人員で対応できるため、魅力的に映るかもしれない。ただ、社内のDRサイトはアウトソースしたDRサービスよりも失敗する確率が高い。
IDCがさまざまな業務分野(販売/宣伝、金融、電子商取引など)にわたって調査した結果、アウトソースしなかった企業は災害発生時に平均して400万ドルの損失を出している。それに対して、第三者にアウトソースした企業の損害額は災害1回あたり平均で110万ドルであった。調査ではさらに、社内モデルを選択した企業はアウトソースを選択した企業よりも支出が32%多かったと付け加えている。
同調査ではさらに、外注ではリカバリ・ウィンドウも短く、社内運営の場合のRTOを1とすると、アウトソースの場合の係数は0.62であるとしている。また、DRサービスを社内で運営した場合、プライマリ・サイトとDRデータ・センターとの間で同期が取れなくなることが多いと結論づけている。
社内運営のDRサイトの評価が低い大きな理由の1つは、手抜きが発生して、他の業務ですでに負荷がかかっている人員にさらに負荷をかける恐れがあることである。担当者の主要業務がDRの業務と重なった場合、誰でも主要業務の方を優先するものであり、そのためにDR計画に支障が出る。
DRのコストを算出する
DRのコスト算出方法は会社によって異なり、変数が多いために特定の環境におけるDRのコストを算出する公式を考案するのが難しい。一般的に、DRのコストは物理的スペース、設備、電力、ネットワーク、および専門サービスの費用からなる。だが、各要素のコストは非常に幅がある。「私たちは総所有コスト算出ツールを統一しようとしたが、データ・センターはそれぞれの違いが大きく、またDRのオプションのカスタマイズ性が高いため、コスト算出ツールを作ることは非常に困難だ」とサンガード・データ・システムズのマーケティング部長デヴィッド・パレルモ氏は述べる。
富士通コンピュータシステムのAffordable Business Continuity(ABC)は、ストレージ、ホスティングおよびネットワーク帯域をひとまとめにした、数少ないパッケージ型DRキットの1つで、価格は均一で19万ドルである。ABCキットは2台のEternus 4000で構成され、各サーバには3 TBのストレージと、レプリケーション・ソフトウェア、ネットワーク帯域付きの1年間のホスティングが付いている。富士通の専門のサービススタッフが顧客と協力して、バンドルのカスタマイズや、必要なサーバ・インフラの選定の支援もする(サーバはバンドルには含まれない)。
DRサイトのオプション
DRサイトのオプションで一般的なのは、リモートオフィス・ロケーション、コロケーション・スペース、DRサービス・プロバイダのデータ・センターなどである。
リモートオフィス・ロケーションとコロケーション・スペース:複数の拠点がある企業は、自社のリモートデータ・センターをDRサイトに用いることがよくある。既存の施設とインフラを活用するのはDRオプションとして非常にコストパフォーマンスが高い。複数の拠点はあるがデータ・センターは1つだけという企業の場合は、Equinix社やSavvis社などのプロバイダや電話会社が提供するコロケーション・スペースを代替として使用する。コロケーション・スペースは比較的コストパフォーマンスがよく、しかも十分な電力とネットワーク帯域、それにハイレベルな基準を満たした第一級のスペースである。
米国ニューヨーク市のタネンバウム・ヘルパーン・シラキューズ&ヒルシュトリットのCIOであるマット・ブライデンバーグ氏は会社のホット・サイトとしてコネチカット州にあるコロケーション・スペースを使用しているが、そのいちばんの理由は費用にある。ブライデンバーグ氏はダブルテイク・ソフトウェアのDouble-Takeを使用してニューヨーク市にある会社のデータをコネチカット州のホット・サイトにレプリケートしている。「サンガードなどのディザスタリカバリ管理サービスも検討したが、非常に高価だった。今はスペースに1800ドル、両サイトのネットワーク帯域に1600ドル支払っている」とブライデンバーグ氏は語っている。
DR管理サービス・プロバイダ:HPやIBM、リカバリポイント・システムズ、サンガードなどのDR管理サービス・プロバイダはディザスタリカバリに特化しており、提供するサービスの品質には非の打ち所がない。だが安くはない。こうした管理サービスの価格と社内のDR設備を利用するときの費用とを適切に比較するには、DR専任の人員のコストを含めた、全構成要素のコストを考慮する必要がある。
IBMは全世界に155箇所のデータ・センターを抱える世界最大のDR管理会社である。HPと同じように、IBMもDRの構成要素をすべて自社で調達できる。サンガードもまた、米国に30箇所、欧州に30箇所のデータ・センターを所有し、全世界におよそ12000もの顧客を抱えているDR管理市場の大手企業である。HPはEDSを買収する前まで、HPの機器を使用している顧客へDR管理サービスを提供することに注力していたが、現在はIBMと同じ水準で事業を展開している。小規模なDRサービス会社は柔軟性が高く、契約を取るために積極的に駆け引きをしている。
経済的に厳しい時勢だが、一定レベルのDRを維持できないからといってDRから手を引くことはできない。予算内で相応のデータ保護ができる下位レベルのDRを採用すべきだ。DR計画を持たないという選択肢などあり得ない。
All Rights Reserved, Copyright 2000 - 2009, TechTarget
*この翻訳記事の翻訳著作権はJDSFが所有しています。 このページに掲載されている記事・写真・図表などの無断転載を禁じます。
恋塚正隆の連載コラム
恋塚正隆の連載コラム
恋塚正隆の連載コラム
JEITA連載寄稿
「Storage Magazine」
