IT部門の事業継続計画とは？ ～ IT-BCPのポイントと遠隔地バックアップ ～

予期せぬ大規模災害やサイバー攻撃による損害からいち早くITインフラを復旧させ、事業継続を図る「IT-BCP」が注目されています。脅威に対する防御策を考えるだけでなく、実際にITが損害を受けたときにいかにして素早く平常時の状態を取り戻すかという手順を考えておくことが、事業継続マネジメントを遂行する指針となります。IT-BCPの押さえておくべきポイントについて解説していきます。

IT-BCPとは

IT-BCP（情報システム運用継続計画）とは、企業や組織が大規模災害や事件・事故、サイバー攻撃などに遭遇した際、ITシステムなどのITインフラに対する損害を最小限にとどめ、事業や業務の継続あるいは早期復旧を確保する計画のことです。

IT-BCPはまた、BCP（事業継続計画）の一端を担うものとして捉えることもできます。

BCPは災害時などの緊急事態に対し、中核となる事業の継続を可能とするための方法・手段を取り決めておく計画を指します。

IT-BCPは、BCPの思想をITインフラやITサービスに適用することから始まった危機管理対策の一種です。

企業おけるIT-BCPの必要性

ITシステムが異常を起こして稼働停止すれば、それを利用していた多くの業務が滞ってしまいます。またITサービスの提供が途切れれば、顧客を始めとするステークホルダーの信頼を損ない、事業の継続が危うくなる可能性もあります。

周知のとおり、現在は社会そのものがITインフラに支えられ、依存することで成り立っています。生産、流通、販売、金融、交通システム、ライフラインなどほとんどの事業活動やサービスは、ITなくしては十分にその役割を果たすことができません。

それゆえITリスクは企業に直接的な不利益を与えるだけではなく、サプライチェーンの途絶を招き、利用顧客に不便をもたらして市場を混乱させ、ひいては企業の社会的責任（CSR）の遂行をも妨げてしまいます。

IT-BCPは、こうした危機的状況を回避するための施策です。ITインフラが自然災害やサイバー攻撃による損害を受けたとき、事業や業務への影響を最小限に抑え、迅速な立て直しを図ること、そのための有効な計画を立てることは、企業としての重大な責務といえます。

IT-BCPではサイバー攻撃への対策が重要

IT-BCPが対象とする緊急事態は、BCPで想定される地震などの自然災害、テロ、パンデミックなど外的要因によってもたらされるものだけとは限りません。

上でも触れたサイバー攻撃などの人為的脅威、さらにはヒューマンエラーやソフトウェアの不具合、ハードウェアの故障などの偶発的脅威を含むIT特有のリスクが存在します。

とりわけ、各種サイバー攻撃の脅威は年々増大しています。ウイルス感染などは状況を察知し把握するまでに時間がかかるほど被害が増大します。また、今後はAI技術などを応用したまったく新しい攻撃や不正侵入の可能性が指摘されています。常に最新の防御策を講じることはもちろんですが、万一、被害を受けてしまった場合も想定し、その後の処理手順を細かく定めておく必要があります。

サイバー攻撃のやっかいな点は、データの改ざんや情報漏えいなどの被害を受けてしまうと、社会的信用の失墜や多額の賠償金が発生する可能性があることです。それを防ぐためにも、脅威の早期察知のための方策と、脅威シナリオを想定した上でのアクションプランの策定が不可欠となります。

IT-BCPで企業がすべきこと

IT-BCP全般を考える上で企業がすべきことを挙げていきます。

「リスク」とはもともと、「まだ発生していないけれども、発生したときに解決が必要な事象」を意味する言葉です。IT-BCPではそのような文字どおりの意味のリスク、自社に起こりうる潜在的な脅威をリストアップする必要があります。

まだ発生していない脅威を想定するのは簡単なことではありませんが、それを知るには実際に世の中でどのような脅威や危機的状況が起きているのかという事例を研究し、最新の情報にも目を光らせつつ、自社の場合に当てはめて考える方法が役立ちます。

そして具体的なリスクを想定したら、その脅威が自社のコア業務にどのような影響を及ぼすのかを調査します。続いて自社の業務継続・事業継続の方針に則り、復旧作業の際の優先順位を決め、アクションプラン＝復旧のための手順をフロー化していきましょう。

また、IT-BCPにおいては、重要データの遠隔地バックアップが非常に有効です。遠隔地に、世代管理を伴うバックアップデータが残っていれば、システムの復旧や業務再開のハードルは一気に低くなります。バックアップ内容の世代を遡ることで、ウイルス感染や操作ミスなどによるデータ不整合にも対応できます。損害を最小限にとどめるためにも最も適した方法といえます。

IT-BCPでは、企業が自社に発生し得るリスクに真剣に向き合うことが必要です。綿密な計画を策定し脅威に備えることで、万一、甚大な被害を受けたときも会社の存続が危ぶまれるような事態は避けることができる可能性を高めることができます。企業が抱えるリスクを大局的に捉え、本格的に緊急時の事業継続マネジメントに取り組んでみてはいかがでしょうか。

BCP対策に有効！ 遠隔地バックアップについて解説

ファイルサーバーや重要データのバックアップの方法として、遠隔地バックアップは非常に効果的です。遠隔地バックアップはデータ損失リスクの軽減に役立ち、広域災害に遭遇した際のBCP（事業継続計画）やDR（災害復旧）対策にも有効です。遠隔地バックアップの概要や必要性、メリット・デメリットなどについて解説します。

遠隔地バックアップとは

遠隔地バックアップとは、自然災害などによるデータ損失に備えて重要なデータやシステムをコピーし、常用するITシステムのある事業所とは離れた別の地域に保管することを指します。

バックアップはデータを複数作成して冗長化を図る運用が安全性を高めるポイントとされています。そのうちの少なくとも1つは遠隔地に保管することが推奨されています。

遠隔地にバックアップする理由は、大地震などの災害が起きた場合、ITシステムと同一施設内にコピーしたデータを保管していると、オリジナルデータと同じように被災してバックアップデータが失われてしまう危険性があるためです。

なお、従来、遠隔地バックアップはコスト面の負担が大きいことから、金融機関や一部の大企業での導入が中心となっていました。しかし近年ではIT技術が進歩してさまざまなバックアップ方式が登場し、コストも低減されてきたことから、中小企業を含めた民間企業、行政機関、自治体、医療機関などでも導入が進んでいます。

遠隔地バックアップの必要性

遠隔地バックアップが注目を集めるようになった背景には、2011年3月11日に発生した東日本大震災によるIT被害により、BCP（事業継続計画）やDR（災害復旧）に対する意識が高まったことが挙げられます。

東日本大震災では市庁舎のサーバールームに保管していたバックアップ媒体が水没し、泥をかぶっていたために使用できず、復旧が大幅に遅れた事例が報告されています。

また宮城・岩手の4市町ではコンピュータで管理していた戸籍データの正本（原本）が消失し、バックアップ用の副本は法務局に搬送していて消失を免れたものの、前回の副本作成以降に更新されたデータについては失われてしまうという事態が発生しました。このため法務省は全国の市区町村の副本データを法務局ではなく遠隔地で保管することを決定し、2014年度から、「戸籍副本データ管理システム」を稼働させています。

バックアップデータを遠隔地で保管すべきという考えは、東日本大震災より以前からもなかったわけではありません。

しかし、1995年に発生した阪神淡路大震災では、ビルや家屋倒壊などの被害は大きかったものの、直下型地震だったために被害が比較的狭い地域にとどまっていました。そのため阪神淡路大震災によって得られた教訓は、バックアップは業務活動の本拠地から60km離れた地点に保管するというものでした。

ところが東日本大震災では大幅に被害エリアが広がり、60kmでは到底安全とはいえないということが明らかになります。同一の電力事業者の管内に設置するのは危険とする意見もあり、現在では遠隔地バックアップは500～1,000km程度を目安とするというのが共通認識となっています。

遠隔地バックアップのメリット・デメリット

遠隔地バックアップのメリットは、いうまでもなくデータ損失リスクの軽減です。データが残っていれば、BCPやDR対策として活用可能です。サイバー攻撃や操作ミスなどによるデータ損壊や損失にも有効ですが、とくに広域災害による被災時に役立ちます。また、遠隔地バックアップを実践していることを、顧客を始めとするステークホルダーに対する信頼感につなげることも可能でしょう。

デメリットは、以前よりは低減されたとはいえ、コストがかかることです。またバックアップ作業には時間も要します。バックアップデータの紛失や損壊、不正アクセスなどのリスクも考えられます。

遠隔地バックアップの方法

遠隔地バックアップの方法は次の3つが一般的です。

バックアップ媒体を遠隔地に輸送

かつて主流だった方法で、磁気テープなどの記憶媒体にデータをコピーし、遠隔地の拠点などに物理的に搬送して保管する方法です。中小企業では経営者の自宅に保管することもあります。テープはハードディスクに比べると故障リスクが少ないものの、テープの交換作業などは手動で行う必要があります。搬送や物理的な管理にも人手が必要です。

リモートバックアップ

専用線、VPN（仮想閉域網）、もしくはインターネット回線などのネットワーク経由でバックアップデータを転送し、遠隔地のバックアップセンターなどに保管する方法です。バックアップデータの取得や転送は自動で行われ、バックアップソリューションとして確立されているため信頼性が高いのがメリットです。一方、初期導入コストは高くなる傾向があります。

クラウドバックアップ

クラウドを利用したバックアップサービスも増えています。低価格な月額定額制などを打ち出しているサービスもあり、契約方法も簡単で、導入も容易です。セキュリティの高さもアピールされていますが、実際にどの程度安全性が確保されているかは未知数な部分もあります。

BCPやDR対策として有効な遠隔地バックアップは、多くの企業にとって身近なものとなってきています。情報という企業資源を守り、災害時の事業継続を遂行するためのバックアップ方法として導入を検討してみてはいかがでしょうか。そのほか、ファイルサーバーの運用については、このサイトの他の記事も参考にしてみてください。