IT用語集 2019/08/08

IT部門の事業継続計画とは？～ IT-BCPのポイントと遠隔地バックアップ～

コラム

2023年11月28日 www.soliton.co.jp より移設

予期せぬ大規模災害やサイバー攻撃、システム障害などでITインフラが停止すると、業務やサービスの継続が難しくなります。そこで注目されているのが、被害を最小限に抑え、いち早く復旧して事業継続を図る「IT-BCP（情報システム運用継続計画）」です。

IT-BCPは「止めない」ための対策だけではなく、「止まったときに、何を・どの順で・どこまで戻すか」を決めておく取り組みでもあります。災害や攻撃は“いつか起きるかもしれない”ではなく、“起きたときの影響をどう抑えるか”が問われるテーマです。

本記事では、IT-BCPの概要と必要性、策定の進め方を整理した上で、BCP/DR対策として重要な「遠隔地バックアップ」について、設計時に押さえるべき判断材料（RTO/RPO、保管方式、セキュリティ、運用）を具体的に解説します。

IT-BCPとは

IT-BCP（情報システム運用継続計画）とは、企業や組織が大規模災害や事件・事故、サイバー攻撃などに遭遇した際に、ITシステムやデータなどITインフラへの損害を最小限にとどめ、業務の継続または早期復旧を確保するための計画です。対象はサーバーやネットワークなどの基盤だけでなく、業務アプリケーション、ID基盤、クラウドサービス、データ、運用体制、外部委託先との連携まで含みます。

IT-BCPはBCP（事業継続計画）の一部として位置づけられ、事業継続の方針と整合を取りながら策定することが重要です。ITだけに目を向けても、運用する人員や拠点、連絡体制が機能しなければ、実効性のある継続計画になりません。逆にいえば、IT-BCPは「システムの話」に閉じず、事業の優先順位と復旧目標をITへ落とし込む作業だと捉えると進めやすくなります。

企業におけるIT-BCPの必要性

ITシステムが停止すれば、それを利用する業務が滞ります。外部向けのITサービスが停止すれば、顧客や取引先をはじめとするステークホルダーの信頼にも影響し、事業継続が危うくなる可能性があります。

現在の企業活動は、ITインフラへの依存度が高いのが実情です。生産、流通、販売、金融、交通、ライフラインに至るまで、ITの停止は連鎖的に影響が広がり得ます。だからこそ「守る」だけでなく「止まったらどう戻すか」までを含めて、具体的な手順と体制を平時から準備しておくことが求められます。

「復旧」とは何を意味するのか

IT-BCPでいう復旧は「電源を入れ直して終わり」ではありません。たとえば、データが壊れていないか、改ざんの痕跡がないか、利用者の認証や権限が正しく機能しているか、外部連携（決済・配送・基幹連携など）が再開できるか、といった確認を経て初めて“業務に使える状態”に戻ります。復旧手順には、技術作業だけでなく判断ポイント（いつ切り戻すか、いつ公表するか、いつ外部へ連絡するか）も含めて定義しておくことが重要です。

IT-BCPではサイバー攻撃への対策が重要

IT-BCPが対象とする緊急事態は、地震などの自然災害だけではありません。サイバー攻撃のような人為的脅威、さらにはヒューマンエラー、ソフトウェア不具合、ハードウェア故障など、IT特有のリスクが含まれます。

サイバー攻撃は、被害の把握までに時間がかかるほど影響が拡大しやすい点が厄介です。情報漏えいやデータ改ざんが起きれば、社会的信用の失墜や賠償、復旧コストの増大につながるおそれがあります。防御策の継続的な更新に加え、「検知・封じ込め・復旧」の流れを現実的な手順として落とし込むことが重要です。

攻撃時に起きがちな“復旧の落とし穴”

ランサムウェアなどの被害では、バックアップが同時に暗号化・削除されていたり、管理者アカウントが乗っ取られて復旧作業そのものが妨害されたりするケースがあります。また、復旧を急ぐあまり、侵入経路が塞がれていない状態でシステムを戻し、再感染してしまうこともあります。IT-BCPでは「戻す前に確認すること（封じ込め・証跡保全・アカウント再発行・鍵や設定の再構成など）」も含め、復旧の順序と条件を明確にしておく必要があります。

IT-BCPで企業がすべきこと（策定の考え方）

IT-BCPを実務に落とし込むには、場当たり的に対策を積み上げるのではなく、「優先順位」「復旧目標」「手順と体制」を一連の流れとして決めていくことが重要です。ここでは、策定の基本ステップを整理します。

1. 想定すべきリスク（脅威）を洗い出す

まずは、自社に起こり得る潜在的な脅威（災害・攻撃・障害・ミス）をリストアップします。難しい場合は「自社で起きたら何が止まるか」を起点に考えると整理しやすくなります。自然災害だけでなく、通信断、停電、空調停止、委託先の障害、クラウド障害、設定変更ミス、証明書期限切れなど、ITが止まる要因は幅広い点に注意が必要です。

「単一障害」ではなく「連鎖」を想定する

現実の障害は単発で終わらないことがあります。たとえば停電が起点となり、通信断や監視停止が重なって状況把握が遅れたり、災害対応で人員が不足して復旧作業が回らなくなったりします。脅威洗い出しでは、原因よりも「起きた結果として、何ができなくなるか」に注目すると、計画が実務的になります。

2. 影響度と優先順位を決める

想定した脅威が、どの業務・サービスにどの程度の影響を及ぼすかを評価し、復旧の優先順位を決めます。特に、停止許容時間（どこまで止められるか）と、復旧目標（どこまで戻せばよいか）を現実的に定義することがポイントです。

RTO/RPOを“言葉”ではなく“合意”にする

RTO（復旧目標時間）は「いつまでに業務を再開したいか」、RPO（復旧時点目標）は「どの時点までのデータを守りたいか」を表す考え方です。ただし、数値を決めるだけでは不十分です。たとえば「RTO 4時間」を掲げても、人員・回線・手順・権限・検証工程が揃っていなければ達成できません。IT部門だけで決めず、事業側と“許容できる停止”と“許容できるデータ損失”をすり合わせ、達成可能な条件（予算・体制・運用）とセットで合意することが重要です。

3. 復旧手順（アクションプラン）をフロー化する

復旧のための作業手順、判断基準、連絡先、役割分担を明確にし、手順をフローとして整理します。加えて、訓練（机上演習・実地訓練）を行い、計画が机上の空論にならないように継続的に改善します。

「連絡体制」と「意思決定」を設計に含める

復旧の成否は、技術力だけでなく初動の速さに左右されます。誰が発令し、誰が判断し、誰が社内外へ連絡するのかが曖昧だと、復旧作業が止まります。緊急連絡網、代替連絡手段、権限委譲（不在時の代理）まで含め、実際に動ける体制を作ることが重要です。

4. 「バックアップ」と「復旧」をセットで設計する

復旧を現実にするために、バックアップ戦略は極めて重要です。単にバックアップを取るだけでなく、「どの時点に戻すのか（世代管理）」「復旧の手順と所要時間」までをセットで設計し、定期的に復旧テストを行うことが欠かせません。

バックアップが“攻撃される前提”で考える

バックアップは守る対象でもあります。攻撃者に管理者権限を奪われると、バックアップの削除や暗号化が行われる可能性があります。そのため、バックアップの保管先や操作権限を本番環境から分離し、隔離保管（論理的・物理的な分離）や削除耐性（改ざん・消去されにくい仕組み）を検討することが重要です。復旧できる状態を維持するには、取得・保管・復旧の一連の運用を“継続的に”守り続ける必要があります。

BCP/DR対策に有効：遠隔地バックアップについて解説

ファイルサーバーや重要データのバックアップとして、遠隔地バックアップは非常に効果的です。広域災害に遭遇した際のBCP（事業継続計画）やDR（災害復旧）対策にも有効であり、ランサムウェアなどのサイバー攻撃対策としても重要性が高まっています。

遠隔地バックアップとは

遠隔地バックアップとは、自然災害などによるデータ損失に備えて、重要なデータやシステムをコピーし、常用するITシステムのある事業所とは離れた別の地域に保管することを指します。ポイントは「同一の被災要因で同時に失われないようにする」ことです。

バックアップは複数作成して冗長化する運用が安全性を高める基本であり、そのうち少なくとも1つを遠隔地に保管する設計が検討されます。同一施設・同一地域にバックアップが偏っていると、災害でオリジナルとバックアップが同時に失われる危険があるためです。

遠隔地バックアップが注目される背景

大規模災害では、近接地に保管していたバックアップが同時に被災し、復旧が遅れるリスクが現実に起こり得ます。実際に東日本大震災では、重要データの保全のあり方が改めて課題となり、遠隔地で副本データを管理する仕組みへ移行が進められました。

たとえば、複数拠点での副本管理のように「地理的に離れた場所に同じデータを保管する」構成は、広域災害時の同時滅失リスクを下げる狙いがあります。自社のバックアップ戦略を考える際も、同様に“同じ災害の影響範囲”を避けるという考え方が有効です。

遠隔地の距離はどの程度がよいか

遠隔地バックアップに「正解の距離」はありません。重要なのは、想定する災害（地震・津波・洪水・停電・通信障害など）に対し、同一の被災圏・同一インフラ圏に巻き込まれない場所を選ぶことです。

参考として、過去の災害リスクを踏まえた考え方として「目安として数百km以上離す」といった観点が紹介されることもありますが、距離だけで判断すると失敗します。復旧要件（RTO/RPO）、拠点配置、輸送可否、回線品質、電力系統や通信の分散などを含めて、総合的に検討しましょう。

距離以外で見落としやすいチェックポイント

遠隔地を確保しても、同一のID基盤・同一の運用アカウント・同一の管理端末でバックアップを操作していると、攻撃により同時に破壊される可能性があります。また、復旧時に必要な要員が現地へ移動できない、回線が混雑して復旧に時間がかかる、といった運用上の制約も起こり得ます。設計段階で「復旧当日に何が制約になるか」を具体的に想定することが重要です。

遠隔地バックアップのメリット・デメリット

メリット

広域災害でもデータ損失リスクを下げられる
本番環境が破壊された場合でも、復旧の起点を確保しやすい（隔離保管を併用すると効果が高い）
BCP/DR対策の実施を、対外的な信頼や説明責任につなげやすい

デメリット

保管・転送・運用のコストがかかる（方式により差が大きい）
バックアップ取得や復旧に時間がかかる場合がある
保管先の権限管理・暗号化・監査など、バックアップ自体のセキュリティ対策が必要

遠隔地バックアップの方法（代表例）

遠隔地バックアップには複数の方式があり、RTO/RPO、運用体制、ネットワーク、コストによって最適解が変わります。ここでは代表的な選択肢を整理します。

バックアップ媒体を遠隔地に輸送

磁気テープなどの媒体にコピーし、遠隔地へ物理搬送して保管する方法です。運用の手間はかかる一方で、ネットワークから切り離した保管（オフライン保管）を実現しやすい特徴があります。復旧に要する時間（輸送・投入・検証）を見積もり、RTOと整合するかを必ず確認しましょう。

リモートバックアップ

専用線、VPN、インターネット回線などでバックアップデータを転送し、遠隔地のバックアップセンターに保管する方法です。自動化しやすく、運用品質を一定に保ちやすい一方、回線帯域や遅延、暗号化、転送時間、転送先の権限分離などを考慮した設計が必要です。

クラウドバックアップ

クラウドのバックアップサービスを利用する方法です。導入の容易さや月額課金などの選択肢がある一方で、復旧手順（戻し方）や権限分離、削除耐性（改ざん・消去への強さ）、保持期間、監査ログなどを事前に確認することが重要です。クラウドは“置くだけで安全になる”わけではなく、設定と運用で安全性が決まります。

設計時に最低限押さえたい要件

方式にかかわらず、バックアップ設計では「取得頻度」「世代数」「保持期間」「復旧手順」「復旧テスト」「権限分離」を最低限のセットとして考える必要があります。加えて、重要データについては暗号化（保管時・転送時）や鍵管理、操作ログの保全も含め、緊急時に説明できる状態を作っておくと実務で困りにくくなります。