IT用語集 2019/08/08

IT部門の事業継続計画とは？～ IT-BCPのポイントと遠隔地バックアップ～

コラム

2023年11月28日 www.soliton.co.jp より移設

IT-BCPは、災害やサイバー攻撃、障害などでITシステムが止まったときに、業務を継続するか、優先順位に沿って早期復旧するための計画です。単にシステムを守るだけでなく、止まったときに何をどの順で戻すかまで決めておく点に特徴があります。

現在は、自然災害に加えてランサムウェアやクラウド障害、委託先障害など、IT停止の要因が広がっています。そのため、IT-BCPは「止めない対策」と「止まった後の復旧計画」を一体で考える必要があります。

IT-BCPを考えるうえでは、まず意味と必要性、策定の進め方を整理し、そのうえで遠隔地バックアップの考え方、距離の見方、代表的な方法、設計時の注意点まで確認します。

IT-BCPとは

IT-BCP（情報システム運用継続計画）とは、企業や組織が大規模災害や事件・事故、サイバー攻撃などに遭遇した際に、ITシステムやデータなどITインフラへの損害を最小限にとどめ、業務の継続または早期復旧を確保するための計画です。対象はサーバーやネットワークなどの基盤だけでなく、業務アプリケーション、ID基盤、クラウドサービス、データ、運用体制、外部委託先との連携まで含みます。

BCP・DR・IT-BCPの関係

IT-BCPはBCP（事業継続計画）の一部として位置づけられ、事業継続の方針と整合を取りながら策定することが重要です。ITだけに目を向けても、運用する人員や拠点、連絡体制が機能しなければ、実効性のある継続計画になりません。

BCPが事業全体の継続方針を定めるのに対し、IT-BCPはITシステムやデータ、運用体制をどう守り、どう戻すかを具体化する計画です。また、DR（災害復旧）はシステムやデータを復旧するための対策や仕組みを指すことが多く、IT-BCPはそのDRも含めて「どの業務を優先し、どの条件で復旧するか」まで決める枠組みと捉えると整理しやすくなります。

企業におけるIT-BCPの必要性

ITシステムが停止すれば、それを利用する業務が滞ります。外部向けのITサービスが停止すれば、顧客や取引先をはじめとするステークホルダーの信頼にも影響し、事業継続が危うくなる可能性があります。

現在の企業活動は、ITインフラへの依存度が高いのが実情です。生産、流通、販売、金融、交通、ライフラインに至るまで、ITの停止は連鎖的に影響が広がり得ます。だからこそ「守る」だけでなく「止まったらどう戻すか」までを含めて、具体的な手順と体制を平時から準備しておくことが求められます。

「復旧」とは何を意味するのか

IT-BCPでいう復旧は「電源を入れ直して終わり」ではありません。たとえば、データが壊れていないか、改ざんの痕跡がないか、利用者の認証や権限が正しく機能しているか、外部連携（決済・配送・基幹連携など）が再開できるか、といった確認を経て初めて“業務に使える状態”に戻ります。復旧手順には、技術作業だけでなく判断ポイント（いつ切り戻すか、いつ公表するか、いつ外部へ連絡するか）も含めて定義しておくことが重要です。

IT-BCPではサイバー攻撃への対策が重要

IT-BCPが対象とする緊急事態は、地震などの自然災害だけではありません。サイバー攻撃のような人為的脅威、さらにはヒューマンエラー、ソフトウェア不具合、ハードウェア故障など、IT特有のリスクが含まれます。

サイバー攻撃は、被害の把握までに時間がかかるほど影響が拡大しやすい点が厄介です。情報漏えいやデータ改ざんが起きれば、社会的信用の失墜や賠償、復旧コストの増大につながるおそれがあります。防御策の継続的な更新に加え、「検知・封じ込め・復旧」の流れを現実的な手順として落とし込むことが重要です。

攻撃時に起きがちな“復旧の落とし穴”

ランサムウェアなどの被害では、バックアップが同時に暗号化・削除されていたり、管理者アカウントが乗っ取られて復旧作業そのものが妨害されたりするケースがあります。また、復旧を急ぐあまり、侵入経路が塞がれていない状態でシステムを戻し、再感染してしまうこともあります。IT-BCPでは「戻す前に確認すること（封じ込め・証跡保全・アカウント再発行・鍵や設定の再構成など）」も含め、復旧の順序と条件を明確にしておく必要があります。

IT-BCP策定の進め方

IT-BCPは、対策を思いつくまま並べても機能しません。業務の優先順位、復旧目標、手順、体制をつなげて決めていくことが重要です。ここでは、策定の基本ステップを整理します。

1. 想定すべきリスク（脅威）を洗い出す

まずは、自社に起こり得る潜在的な脅威（災害・攻撃・障害・ミス）をリストアップします。難しい場合は「自社で起きたら何が止まるか」を起点に考えると整理しやすくなります。自然災害だけでなく、通信断、停電、空調停止、委託先の障害、クラウド障害、設定変更ミス、証明書期限切れなど、ITが止まる要因は幅広い点に注意が必要です。

「単一障害」ではなく「連鎖」を想定する

障害は一つだけで終わるとは限りません。たとえば停電をきっかけに、通信断や監視停止が重なって状況把握が遅れたり、災害対応で人員が不足して復旧作業が回らなくなったりします。脅威を洗い出すときは、原因だけでなく、その結果として何ができなくなるのかを見ると、計画を具体化しやすくなります。

2. 影響度と優先順位を決める

想定した脅威が、どの業務・サービスにどの程度の影響を及ぼすかを評価し、復旧の優先順位を決めます。特に、停止許容時間（どこまで止められるか）と、復旧目標（どこまで戻せばよいか）を現実的に定義することがポイントです。

RTO/RPOを“言葉”ではなく“合意”にする

RTO（復旧目標時間）は「いつまでに業務を再開したいか」、RPO（復旧時点目標）は「どの時点までのデータを守りたいか」を表す考え方です。ただし、数値を決めるだけでは不十分です。たとえば「RTO 4時間」を掲げても、人員・回線・手順・権限・検証工程が揃っていなければ達成できません。IT部門だけで決めず、事業側と“許容できる停止”と“許容できるデータ損失”をすり合わせ、達成可能な条件（予算・体制・運用）とセットで合意することが重要です。

3. 復旧手順（アクションプラン）をフロー化する

復旧のための作業手順、判断基準、連絡先、役割分担を明確にし、手順をフローとして整理します。加えて、訓練（机上演習・実地訓練）を行い、計画が机上の空論にならないように継続的に改善します。

「連絡体制」と「意思決定」を設計に含める

復旧の成否は、技術力だけでなく初動の速さに左右されます。誰が発令し、誰が判断し、誰が社内外へ連絡するのかが曖昧だと、復旧作業が止まります。緊急連絡網、代替連絡手段、権限委譲（不在時の代理）まで含め、実際に動ける体制を作ることが重要です。

4. 「バックアップ」と「復旧」をセットで設計する

復旧を本当に成立させるには、バックアップの取り方と戻し方を一緒に決めておく必要があります。単にバックアップを取るだけでなく、どの時点に戻すのか（世代管理）、どの手順でどれだけ時間をかけて復旧するのかまで決め、定期的に復旧テストを行うことが欠かせません。

バックアップが“攻撃される前提”で考える

バックアップは守る対象でもあります。攻撃者に管理者権限を奪われると、バックアップの削除や暗号化が行われる可能性があります。そのため、バックアップの保管先や操作権限を本番環境から分離し、隔離保管（論理的・物理的な分離）や削除耐性（改ざん・消去されにくい仕組み）を検討することが重要です。復旧できる状態を維持するには、取得・保管・復旧の一連の運用を“継続的に”守り続ける必要があります。

BCP/DR対策で重要な遠隔地バックアップ

遠隔地バックアップは、本番環境とバックアップが同時に被災するリスクを下げるための対策です。広域災害への備えとしてだけでなく、ランサムウェアなどのサイバー攻撃を受けたときに復旧の起点を残すうえでも重要です。

遠隔地バックアップとは

遠隔地バックアップとは、自然災害などによるデータ損失に備えて、重要なデータやシステムをコピーし、常用するITシステムのある事業所とは離れた別の地域に保管することを指します。ポイントは「同一の被災要因で同時に失われないようにする」ことです。

バックアップは複数作成して冗長化する運用が安全性を高める基本であり、そのうち少なくとも1つを遠隔地に保管する設計が検討されます。同一施設・同一地域にバックアップが偏っていると、災害でオリジナルとバックアップが同時に失われる危険があるためです。

遠隔地バックアップが注目される背景

大規模災害では、近接地に保管していたバックアップが同時に被災し、復旧が遅れるリスクが現実に起こり得ます。東日本大震災以降も、同一地域にバックアップが集中していることの危うさが改めて認識され、遠隔地保管を含むデータ保全の見直しが重視されるようになりました。

たとえば、複数拠点での副本管理のように「地理的に離れた場所に同じデータを保管する」構成は、広域災害時の同時滅失リスクを下げる狙いがあります。自社のバックアップ戦略を考える際も、同様に“同じ災害の影響範囲”を避けるという考え方が有効です。

遠隔地の距離はどの程度がよいか

遠隔地バックアップに「正解の距離」はありません。重要なのは、想定する災害（地震・津波・洪水・停電・通信障害など）に対し、同一の被災圏・同一インフラ圏に巻き込まれない場所を選ぶことです。

参考として、災害リスクを踏まえて広域分散を勧める考え方はありますが、公的に一律の距離基準が定められているわけではありません。距離だけで判断すると失敗するため、復旧要件（RTO/RPO）、拠点配置、輸送可否、回線品質、電力系統や通信の分散などを含めて、総合的に検討しましょう。

距離以外で見落としやすいチェックポイント

遠隔地を確保しても、同一のID基盤・同一の運用アカウント・同一の管理端末でバックアップを操作していると、攻撃により同時に破壊される可能性があります。また、復旧時に必要な要員が現地へ移動できない、回線が混雑して復旧に時間がかかる、といった運用上の制約も起こり得ます。設計段階で「復旧当日に何が制約になるか」を具体的に想定することが重要です。

遠隔地バックアップを優先的に検討したいケース

遠隔地バックアップは、重要データを扱う業務、停止時間やデータ損失の許容幅が小さい業務、同一地域の災害で本番環境とバックアップが同時に失われるリスクを避けたい業務で優先的に検討したい対策です。

一方で、距離を確保すれば十分というわけではありません。復旧に必要な回線、権限、運用要員、保管先の安全性まで含めて成立するかを確認した上で、遠隔地バックアップの方式を選ぶ必要があります。

遠隔地バックアップのメリット・デメリット

メリット

広域災害でもデータ損失リスクを下げられる
本番環境が破壊された場合でも、復旧の起点を確保しやすい（隔離保管を併用すると効果が高い）
BCP/DR対策の実施を、対外的な信頼や説明責任につなげやすい

デメリット

保管・転送・運用のコストがかかる（方式により差が大きい）
バックアップ取得や復旧に時間がかかる場合がある
保管先の権限管理・暗号化・監査など、バックアップ自体のセキュリティ対策が必要

遠隔地バックアップの方法（代表例）

遠隔地バックアップには複数の方式があり、RTO/RPO、運用体制、ネットワーク、コストによって最適解が変わります。ここでは代表的な選択肢を整理します。

バックアップ媒体を遠隔地に輸送

磁気テープなどの媒体にコピーし、遠隔地へ物理搬送して保管する方法です。運用の手間はかかる一方で、ネットワークから切り離した保管（オフライン保管）を実現しやすい特徴があります。復旧に要する時間（輸送・投入・検証）を見積もり、RTOと整合するかを必ず確認しましょう。

リモートバックアップ

専用線、VPN、インターネット回線などでバックアップデータを転送し、遠隔地のバックアップセンターに保管する方法です。自動化しやすく、運用品質を一定に保ちやすい一方、回線帯域や遅延、暗号化、転送時間、転送先の権限分離などを考慮した設計が必要です。

クラウドバックアップ

クラウドのバックアップサービスを利用する方法です。導入の容易さや月額課金などの選択肢がある一方で、復旧手順（戻し方）や権限分離、削除耐性（改ざん・消去への強さ）、保持期間、監査ログなどを事前に確認することが重要です。クラウドは“置くだけで安全になる”わけではなく、設定と運用で安全性が決まります。

設計時に最低限押さえたい要件

方式にかかわらず、バックアップ設計では「取得頻度」「世代数」「保持期間」「復旧手順」「復旧テスト」「権限分離」を最低限のセットとして考える必要があります。加えて、重要データについては暗号化（保管時・転送時）や鍵管理、操作ログの保全も含め、緊急時に説明できる状態を作っておくと実務で困りにくくなります。