NewsInsight

開発部門と運用部門を分離し「属人性」抑制

ファーストサーバ、データ消失事故の再発防止策を公表

2012/08/10

　ファーストサーバは8月10日、6月20日から21日にかけて発生したデータ消失事故と、その復旧作業過程で生じた情報流出事故を踏まえた再発防止策をまとめ、公表した。8月25日までに一連の対策を実施する予定だ。同時に、関係者の処分も行った。

　データ消失事件については、基準やルールに関する「運用」と、2次バックアップの取得という「システム」の両面で対策を講じる。

　運用に関しては、システム変更のための社内マニュアルを、開発プロセス、運用プロセス両方の視点から検証し、安全性を確認した上で、部内ルールとして「再徹底」する。同時に、開発部門と運用部門を分離し、業務分担や責任範囲を明確にする。

　具体的には、本番システムに対する変更権限を持つのは運用部門に限定。配布試験やシステム検証試験などの、社内マニュアルに沿った受け入れ基準を満たさない限り、開発部門からのシステム変更要請は受け入れない仕組みとする。これにより、「開発担当者の属人的なシステム変更を抑制する」という。

　一方システム面では、同一筐体内でのデータ複製に加え、7月25日からは外部バックアップシステムを構築して2次バックアップも取得する運用とした。本番サーバ側のオペレーションや配布システムの不具合によるデータ消失が発生しにくい、本来のバックアップの仕組みを取ったという。

　さらに、データ復旧を試みる過程で生じた情報流出事故については、再発防止策として「データ消失時の対応マニュアル整備」と「リスクマネジメントに関する組織の設置」を挙げている。この対応マニュアルの中で、「データ復旧ソフトによる復旧は実施しない」ことを明確化するという。