回復性および継続性の概要
障害やその他のサービスの可用性に対する脅威が発生した場合、Microsoft はどのようにビジネス継続性を確保しますか?
Microsoft の Enterprise Resilience and Crisis Management (ERCM) チームは、Microsoft サービスとクラウド オファリング全体のビジネス継続性管理とディザスター リカバリー アクティビティを監督します。 Microsoft ビジネス ユニットの代表者は、ERCM チームと連携してビジネス継続性計画を策定し、ビジネス継続性要件への準拠を検証します。
ビジネス継続性管理 (BCM) ライフサイクルは、BCM 手法の中核をなしています。 この 3 フェーズ プロセスは、Microsoft 全体のさまざまなビジネス モデルによって実装できるように、適応可能に設計されています。 まず 、評価 フェーズから始まり、ビジネス継続性プログラムに含める必要がある重要なプロセスと目標を特定します。 評価フェーズでは、ビジネス影響分析 (BIA) も必要です。 計画フェーズでは、回復性と回復戦略を開発して実装し、公式の事業継続計画に文書化することに重点を置いています。 最後に、 機能検証 は、ビジネス継続性計画とその実装をテストして、有効性を検証し、潜在的な改善点を特定します。
Microsoft オンライン サービスビジネス継続性戦略では、ハードウェア、ネットワーク、データセンターの冗長性が使用されます。 データセンター間のデータ レプリケーションは、致命的なインシデント時の高可用性と信頼性を提供します。 また、分離されたハードウェア障害やデータの破損など、日常的なインシデントに対する回復性も向上します。
Microsoft は、ビジネス継続性とディザスター リカバリー計画をどのようにテストしますか?
Microsoft の Enterprise Resilience and Crisis Management (ERCM) ポリシーでは、すべての Microsoft ビジネス継続性とディザスター リカバリー計画を年単位でテスト、更新、およびレビューする必要があることを規定しています。 Microsoft オンライン サービス、ERCM ポリシーごとに少なくとも年 1 回、ビジネス継続性計画をテストします。 アクション レポートを作成して確認した後、検証、テスト結果、およびテスト中に検出された問題に対応してプランの更新を通知します。
ERCM プログラムは、さまざまな潜在的なインシデントに対する回復性と回復戦略を検証するために、人、場所、テクノロジに影響を与えるテスト シナリオの複数のカテゴリを定義します。 各サービスに必要な検証のレベルは、サービスの重要度に基づいており、より重要なサービスほど、より厳格な検証を受けます。 各 Microsoft オンライン サービス チームは、ERCM ガイドラインに従ってビジネス継続性計画をテストし、プランの有効性と、プランを実行するサービス チームの準備状況を測定します。
ERCM ガイドラインに従って、ビジネス継続性計画と機能検証の年次レビューは、前回のレビューから 12 か月以内に行う必要があります。 機能の検証には、BIA などのサポート ドキュメントのレビューを含め、正確な状態を維持する必要があります。 Microsoft では、四半期ごとのレポートを通じて、選択した Microsoft オンライン サービスの機能検証結果をお客様が利用できるようにします。
Microsoft オンライン サービスシステム容量が需要を満たしていることを確認するにはどうすればよいですか?
容量計画は、サービス チームが Microsoft オンライン サービスの可用性をサポートするために必要なリソースを割り当てるのに役立ちます。 Microsoft の ERCM プログラムの一部として、定期的な容量計画が必要です。 サービス チームは、四半期ごとのレビュー中と、より多くの容量レビューを必要とする緊急時に容量データを確認します。
容量計画の生データは、各サービス チームによって管理され、システム処理、メモリ、ハードウェア容量などのメトリックが含まれます。 スケジュールされたレビューはシステムの現在の容量のモデルを使用し、緊急時のニーズに照らしてテストします。 モデルにおいてキャパシティにギャップが示された場合、システム キャパシティへの変更の提案が、レビューのためにサービス チーム リーダーシップに送信されます。 承認された変更は、実装前にサービスチームのエンジニアによって新しいモデルに組み込まれます。
Microsoft オンライン サービスは、定期的なシステム 障害時にサービスの可用性を維持する方法を説明します。
Microsoft オンライン サービスは、冗長アーキテクチャ、データ レプリケーション、および自動整合性チェックを通じてサービスの回復性を実現します。 冗長アーキテクチャでは、地理的および物理的に分離されたハードウェアにサービスの複数のインスタンスをデプロイし、Microsoft オンライン サービスのフォールト トレランスを高めます。 データ レプリケーションを使用すると、異なる障害ゾーンに顧客データのコピーが常に複数存在し、お客様が破損、紛失、または誤って削除した場合でも、重要な顧客データを復旧できます。 自動整合性チェックでは、さまざまな種類の物理的または論理的な破損の影響を受けたデータを自動的に復元することで、データの可用性が向上します。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 回復性と継続性に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
|
ISO 27001 適用性に関する声明 証明書 |
A.17.1: 情報セキュリティ継続性 A.17.2: 冗長性 |
2024 年 11 月 21 日 |
|
ISO 22301 証明書 |
すべてのコントロール | 2024 年 11 月 21 日 |
|
SOC 1 SOC 2 SOC 3 |
BC-1: 事業継続計画 BC-3: 事業継続とディザスター リカバリーの手順 BC-4: BCDR テスト BC-7: Datacenter事業継続計画 BC-8: Datacenterビジネス継続性テスト BC-9: 回復性評価Datacenter DS-5: バックアップ キー サービス コンポーネント DS-6: 重要なコンポーネントの冗長性 DS-7: 顧客データの自動レプリケーション DS-8: バックアップ スケジュール DS-9: バックアップの復元手順 DS-11: オフサイト バックアップ DS-14: 顧客サービスの自動復元 |
2024 年 11 月 8 日 |
Microsoft 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| FedRAMP | CP-2: コンティンジェンシー プラン CP-3: コンティンジェンシー トレーニング CP-4: コンティンジェンシー 計画のテスト CP-6: 代替ストレージ サイト CP-7: 代替処理サイト CP-9: 情報システムのバックアップ CP-10: 情報システムの回復と再構成 |
2024 年 8 月 21 日 |
|
ISO 27001 適用性に関する声明 証明書 |
A.17.1: 情報セキュリティ継続性 A.17.2: 冗長性 |
2024 年 3 月 |
|
ISO 22301 証明書 |
すべてのコントロール | 2024 年 3 月 |
|
SOC 1 SOC 2 |
CA-49: バックアップ ポリシー CA-50: ビジネス継続性 CA-51: データ レプリケーション |
2024 年 8 月 1 日 |
| SOC 3 | CUEC-09: EXO電子メールの復元 | 2024 年 1 月 23 日 |