BCP/DR
事業継続計画(BCP)とは
BCP(Business Continuity Plan:事業継続計画)とは、災害やサイバー攻撃などの緊急事態が発生した際に、事業の中断を最小限に抑え、重要な業務を継続または早期復旧するための計画です。ひとり情シスはIT-BCPの策定と維持に中心的な役割を担います。
BCP策定のステップ
- ビジネスインパクト分析(BIA):業務の停止がどの程度の影響を及ぼすかを分析
- 各業務システムの重要度をランク付け
- 許容停止時間を部門ごとに確認
- リスク評価:どのような脅威が事業を中断させうるかを洗い出す
- 自然災害(地震、台風、洪水)
- サイバー攻撃(ランサムウェア、DDoS)
- 設備故障(サーバー障害、回線断)
- パンデミック(感染症の流行)
- 対策の策定:リスクごとの対応策と代替手段を計画
- 訓練の実施:年1回以上のBCP訓練(机上訓練・実動訓練)
- 見直し:環境変化に合わせて計画を定期的に更新
RPOとRTO
BCPにおける2つの重要指標を理解しましょう。
| 指標 | 意味 | 例 |
|---|---|---|
| RPO(Recovery Point Objective) | どの時点までのデータを復旧するか | RPO=1時間 → 障害発生1時間前までのデータを復旧 |
| RTO(Recovery Time Objective) | 復旧までにかかる目標時間 | RTO=4時間 → 4時間以内にシステムを復旧 |
RPOが短いほどデータ損失は少なくなりますが、より頻繁なバックアップが必要になりコストが増加します。業務の重要度に応じてRPO/RTOを設定しましょう。
バックアップの3-2-1ルール
データバックアップの業界標準ルールです。
- 3:データのコピーを最低3つ持つ(原本 + バックアップ2つ)
- 2:2種類の異なるメディアに保存(例:NAS + 外付けHDD)
- 1:1つはオフサイト(遠隔地)に保管(例:クラウドストレージ)
さらに近年は「3-2-1-1-0ルール」も提唱されています。
- 1:1つはオフライン(ネットワークから隔離された状態)で保管
- 0:バックアップの検証を行い、リストアエラーが0であることを確認
ランサムウェアはバックアップサーバーも暗号化することがあるため、オフラインバックアップは特に重要です。
DR(Disaster Recovery)環境の構築
DR(災害復旧)は、BCPの中でもITシステムの復旧に焦点を当てた部分です。
- コールドスタンバイ:予備機を用意しておき、障害時に手動で切り替え。コスト低だが復旧に時間がかかる
- ウォームスタンバイ:予備機にデータを定期同期。数時間で復旧可能
- ホットスタンバイ:リアルタイムで同期。即座に切り替え可能だがコスト高
- クラウドDR:AzureやAWSのDRサービスを利用。従量課金で初期コストを抑えられる
中小企業では、まずクラウドバックアップ(Microsoft 365のデータ、ファイルサーバーのデータ)を確実に実施し、復旧手順を文書化してテストすることから始めましょう。計画は作っただけでは意味がありません。定期的な復旧テストが最も重要です。
✅ 完了済み