サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹
こんにちは!
CSS
部エバンジェリスト フェローの関原です。
10
月となり、ようやく天候も安定してきたようです。
今週末の
21
日(日)には
IPA
による恒例の秋の情報処理技術者試験・情報処理安全確保支援士試験が実施されます。
外部サイト:
※出典
情報処理技術者試験・情報処理安全確保支援士試験といえば、図のように一日がかりの長丁場。
いわゆる高度区分の試験に「午前Ⅰ」から「午後Ⅱ」まで出席すると試験時間だけで
300
分、拘束時間としては開始前を除き
6
時間ほどとなります。
そのため、集中力を含めた体力も大いに要求される試験となっており、受験者の当日のコンディション調整は重要なポイントです。
--
高度区分の試験に合格するには試験の「午後Ⅱ」が採点され、論述式(小論文)なら「
A
」評価、記述式(小論文がない高度試験)なら上位
40%
程度に入る必要があります。
公表はされていませんが簿記のように合格率が
10%
台~
40%
台と大きく変動しないことから、これは間違いなく相対評価でしょう。
「午後Ⅱ」が採点される条件は「午後Ⅰ」を通過する、つまり、「午後Ⅰ」で上位
40%
に入る程度の得点をする必要がありますが、上位
40%
程度に入ってさえいれば、それがギリギリ
40%
でも満点でも「午後Ⅱ」の採点結果とはリンクしません。
数値的なデータはないので思い込みかもしれませんが、試験の合格と体力の観点から(特に)論述式がある区分の受験者や体力に不安のある受験者は「午後Ⅰ」は
10
割を目指さずに
8
~
9
割取れると確信したら「午後Ⅱ」にむけて体力を温存しておくと「午後Ⅱ」でのアウトプットに体力的な余裕ができ、いい結果が出やすいと感じています。
まあ、そもそも「午後Ⅰ」で
8
~
9
割取れると確信できるレベルならそのまま「午後Ⅱ」も通過できるレベルにあるという見方もできますが、そういうレベルに達しているのにガス欠で「午後Ⅱ」を落とすのはもったいないのでということで…
また、同様に「午前Ⅰ」は体力面から常に免除される状態が理想です。続く「午前Ⅱ」はマークシートの絶対評価で
60%
が通過ラインですが、過去問を正解するだけで到達可能な場合がほとんどなので、ひたすら対策しておき
15
問正解を確信したら午後に向けて一度クールダウンするのが得策でしょう。
私の場合、個人的な経験で言うと午前中から過度に集中しすぎると午後まで集中力が持ちません。午前中は見たことがある問題をきっちりと正解してゆったりと過ごすのが理想です。
--
さて、本題です。
最近頻発する天災がトリガーとなったのか
BCP
(
Business Continuity Plan
有事時事業継続計画)についてアドバイザリーする件がいくつかあり、その中で
IPA
の情報処理技術者試験のシラバスとグローバル系フレームワーク(※ここではとりあえず
IT
の
BCP
に関連する米国立標準技術研究所(
NIST
)
SP800-34 Rev.1
を挙げておきます)の用語のセレクトでちょっと気になる点がありました。
外部リンク:
※
NIST Special Publication 800-34 Rev. 1
Contingency Planning Guide for Federal Information Systems
グローバル系フレームワークで
BCP
や
BIA
(
Business Impact Analysis Risk
に対するビジネス影響度分析)を扱うときにおなじみの以下の用語
いずれも災害等で停止したシステムを復旧させるにあたり考慮が必要な重要なインジケータです。
・
RTO
Recovery Time Objective
目標復旧時間
⇒障発生時に
<いつまで>
に復旧させるかの目標値
・
RPO
Recovery Point Objective
目標復旧時点
⇒障害発生時に
<どの時点>
まで復旧させるかの目標値
・
RLO
Recovery Level Objective
目標復旧レベル
⇒
RTO
内に
<どのレベルまで>
復旧させるかの目標値
・
MTD
Maximum Tolerable Downtime
最大許容停止時間
⇒
<業務の停止が許容される>
最大の時間
#MTO
Maximum Tolerable Outage
最大許容停止とも
IPA
のシラバス※では
RTO/RPO/RLO
(
IT
サービスマネージャのみ)は以下のように記載されており、試験でも
RTO/RPO
の意味を問う問題しか出題されていません。
つまり
MTD
についての記載はありません。これは何を意味するのでしょうか。。
外部リンク:
※出展:
IT
サービスマネージャ試験(レベル4)シラバス
外部リンク:
※応用情報技術者試験(レベル3)シラバス
外部リンク:
※基本情報技術者試験(レベル2)シラバス
--
どうやら
IPA
と
ここでは
IPA
の試験対策から
BCP
を理解する方に”サービス再開の目標時間”となる
RTO
の解釈と
MTD
の関係を簡単に図示します。
IPA
(
METI
)的な考え方ではこうです。
⇒
「RTOは事故後業務を復旧させるまでの時間」
外部リンク:
■
IT
サービス継続ガイドライン
P7
>g)
目標復旧時間(
RTO
)、目標復旧ポイント(
RPO
)、目標復旧レベル(
RLO
)
目標復旧時間(
RTO
:
Recovery Time Objective)
とは、事故後、業務を復旧させるまでの目標期間(時間)をいう。
グローバル系フレームワークではこうなります。
⇒
「RTOはシステムを復旧させるまでの時間、その後業務を復旧させる時間を別に定義」
つまり業務復旧時間(
WRT
)という概念を導入し、明示的にシステムの回復とデータ
/
人を含めた業務の回復を分けて考えるという方針です。
まとめます。
①
RPO
は災害時の目標復旧時間。その「復旧時間」にはシステムのみか、業務を含むかを確認する。
②
MTD
は災害時に許容される最大の業務停止時間。
BCP
策定時には対象となる各業務の
RTO
+
WRT
(
IPA
でいう
RTO
)を
MTD
以下に抑え込めるよう設計することが必要である。
#
復旧するとは、
RPO
で定めた(過去の)時点のデータを使用した業務プロセスを
RLO
で定めた機能・非機能要件に基づいたレベルで再開できるようになっていることを指す。
試験の合格も事業継続の成功も限られた時間の配分と管理が重要なポイントです。
業界では
IPA
形式の表現も(のほうが)メジャーですので特にグローバルで
BCP
についてコミュニケーションをとるときに「
RTO
」がどちらを指しているか?
WRT
を含んでいるのか?は十分に確認する必要があります。
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara CRISC, CISSP, CEH, PMP, CCIE #14607
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
