Microsoft 365 の標準バックアップ機能がデータ保持には不十分な理由

投稿日: 09/06/2021
feature image

Microsoft 365 のバックアップ機能についてはデータ保持とは?Microsoft 365 のバックアップとデータ保持の違い」をご確認ください。 

データと IT ソリューションをクラウドへ移行することで、企業によるデータの管理方法や、データ検出・データ作成・データ保持に関する規制に遵守するためのプロセスに対する企業の考え方は変化しています。これまで企業は、データの完全性と可用性を脅かすあらゆる脅威から、すべてのデータとコンテンツを包括的に保護するためのインフラストラクチャとプロセスを、すべてのレベルで管理していました。そのため、利用中のシステムのストレージ、アーカイブのストレージ、バックアップのパージを管理する作業、データ検出、データ作成、データ保持、データ保護を目的とした破壊といった作業を今よりもはるかに密接に統合する必要がありました。

基本的に、ビジネス主導のニーズではなくテクノロジー主導の要件が数え切れないほど存在していたため、IT 部門はこれらすべての責任を負うことになりました。これらの用語やプロセスに関する概念の多くが経時的に曖昧になり、今では職務や職責によって、用語やプロセスの使われ方が異なってしまっています。

お客様の多くが、規制遵守のためにデータを保持する目的で、アーカイブのバックアップを使用することに慣れており、オフサイトかそれ以外の方法でのストレージの冗長化を活用しています。アーカイブのバックアップは、さまざまな理由から、データ検出のためのデータへのアクセス、文書作成、詳細な項目レベルでのコンテンツの廃棄に関連する課題をもたらします。アーカイブのバックアップが広く導入されていた理由は多々あり、複雑さや技術の未熟さ、IT 業界の未熟さといった理由も重視されていたものの、一番の理由はコストでした。ところが、企業がクラウドに移行した途端、バックアップを維持し、データ保持に関する規制遵守を徹底するためのプロセス、役割、責任を再評価することが避けられない事態となっているのです。

Microsoft 365 データ保護 総合ガイドブックを公開しています。(無料)

※この記事は、米国 AvePoint で 2020 年 8 月 16 日付で公開された記事 “Why Simply Backing Up Microsoft 365 Is Not Data Retention” を日本語編訳したものです。

データの日常的な保管方法としてバックアップを使用すべきではありません。なぜかというと、バックアップの主な役割は、「正式に保持されたレコード」ではなく「常に存在する最後の手段」なのです。残念ながら前述した制約により、バックアップしたコンテンツを検索・取得する機能は、バックアップが保持期間に利用できる唯一のコンテンツのコピーであったこともあり、バックアップまたはアーカイブ システムに組み込む必要があったのです。

コンテンツが「現在使用しているストレージ」から移動された場合、IT 部門と連携してテープをロードするか、データベースを再マウントしなければ、電子情報開示プロセスや文書作成のためにコンテンツを利用できる状態にすることはできません。また、適切かつタイムリーにデータを破棄することが、レコードの管理と保持を行う責任の大部分を占めていることから、レコードのバックアップと保持は多くの点で相反しています。そしてこの事実が、事態をさらに悪化させています。

レコード管理チームは、データが完全に破壊されたという想定の下、業務を遂行している可能性があります。一方、IT 部門のファイルには、厳守が求められる破壊要件が適用されているデータが含まれている可能性のある (含まれていないかもしれませんが、誰にもわかりませんよね?) バックアップのコピーが存在しています。

こういった外部の懸念事項 (ストレージのコスト、オフサイトのデータの取得など) による制限によってプロセスを複雑にする必要はもはやありません。あらゆるレベルのクラウド ベンダー (Microsoft 365 などの I/PaaS や AvePoint Cloud Backup などの SaaS クラウド バックアップ ソリューション) は、非常に良心的な価格のストレージ オプションとライセンス プランを提供しています。この種のクラウド ベンダーを利用すれば、コンテンツの完全性、可用性、そして適切な保持を保つためにプロセスを推進する上で、ストレージのコストに関する懸念事項はもはや制約ではなくなります。

単刀直入にまとめると、コンテンツを規制遵守の目的で保持している場合、Microsoft 365 ではコンテンツを本来の場所から移動する必要はありません。また、Microsoft 365 で保持しているコンテンツは、クラウドのサブスクリプションのライセンス コストや、規制要件の遵守に実質的な影響を与えません。

Microsoft 365 の環境において企業は、自分たちが負う責任と Microsoft が負う責任が何かわからず混乱している可能性があります。基本的に Microsoft は、自然災害などの大惨事や極めて軽度な短期間のミスが生じた場合に、ディザスター リカバリーを提供します。一方、お客様には、長期間 (数ヶ月間または数年間) 自社のコンテンツを保護する責任とデータ保持に関して適用されるすべての規制の遵守を徹底する責任があります。

これにより、企業はハードウェアを管理している IT 部門の社員からこれらの管理業務の責任を排除できます。また、レコード管理者は、レコードとレコードの破棄について監査を実施し、報告するため、システムにアクセスできます。法務部門は、情報開示関連の作業や訴訟の管理を行うため、コンプライアンス センターへの電子情報開示アクセス権を得ることができます。個人情報保護責任者は、企業が規制を遵守し、リスクが適切に管理されていることを保証するため、機密ラベルと AIP より提供されるレポートを活用できます。この新たな環境において IT 部門の社員は、自分たちが最も得意とする業務、すなわち「技術を駆使し、企業を前進させること」に改めて集中して取り組めるようになります。

Share this blog

ブログを購読する