タグ
セキュリティ IT infrastructure

事業継続性と災害復旧の比較:自社に適している計画はどちら?

職場の取締役会会議で会議テーブルのそばに座る自信に満ちた起業家の写真

事業継続計画と災害復旧計画は、企業が予期せぬインシデントに備えるために利用するリスク管理戦略です。これらの用語は密接に関連していますが、どちらが適切かを選択する際、考慮すべき重要な違いがいくつかあります。

  • 事業継続計画(BCP):BCPは、災害発生時に組織が通常の事業機能に戻るために取るべき手順を概説した詳細な計画です。他のタイプの計画が復旧とシステム中断防止の1つの特定の側面(自然災害やサイバー攻撃など)に焦点を当てているのに対し、BCPは広範なアプローチを取り、組織が可能な限り広範な脅威に対処できるようにすることを目指しています。
  • 災害復旧計画(DRP):その性質上、BCPよりも詳細な災害復旧計画は、企業がシステム中断時にITシステムと重要なデータを具体的にどのように保護するかについての緊急時対応計画で構成されています。BCP計画とDR計画により、企業は大規模な停止、自然災害、ランサムウェアマルウェア攻撃など、さまざまな災害シナリオから企業がデータと IT システムを保護できます。
  • 事業継続性と災害復旧(BCDR):事業継続性と災害復旧(BCDR)はビジネスのニーズに応じて、一緒にまたは個別にアプローチできます。最近、ますます多くの企業が 2 つの分野を一緒に実践する方向に移行しており、経営幹部が単独で業務にあたるのではなく、BCとDRの実践に協力するよう求められています。そのため、この2つの用語はBCDRという1つの用語に統合されましたが、2つの活動の本質的な意味は変わっていない。

組織が採るBCDRの策定アプローチに関係なく、この分野が世界中でどれほど急速に成長しているかは注目に値します。データ損失やダウンタイムなど不適切なBCDRがもたらす結果によって損失額が上がるにつれて、多くの企業が既存の投資に資金を追加しています。International Data Corporation(IDC)の最近のレポートによると(ibm.com外部のリンク)、昨年、世界中の企業はサイバーセキュリティーとソリューションに 2,190億ドルを費やす見込みで、前年比12%増となっています。

事業継続計画と災害復旧計画が重要な理由

事業継続計画(BCP)と災害復旧計画(DRP)を策定すると、広範にわたる計画外のインシデントに備えられるようになります。優れたDR計画を効果的に導入すると、特定の脅威がもたらす可能性のある通常のビジネス機能に対するリスクを利害関係者がより深く理解できるようになります。事業継続災害復旧(BCDR)に投資していない企業は、計画外のインシデントによるデータ損失、ダウンタイム、金銭的罰金、風評被害に見舞われる可能性が高くなります。

事業継続計画と災害復旧計画に投資する企業が期待できるメリットをいくつか紹介します。

  • ダウンタイムの短縮:災害によって通常業務が停止した場合、再び業務を再開するには数億ドルのコストがかかる可能性があります。よく知られているサイバー攻撃は特に被害が大きく、望ましくない注目を集めることが多く、ダウンタイムの短さを宣伝する競合他社に投資家や顧客が逃げてしまう原因にもなります。強力なBCDR計画を導入すると、直面する災害の種類に関係なく、復旧時間を短縮できます。
  • 財務リスクの低減:IBMの最近のデータ侵害コストレポートによると、2023年のデータ侵害の平均コストは445万ドルで、2020年から15%増加しています。強力な事業継続計画を持つ企業は、ダウンタイムを短縮し、顧客と投資家の信頼を高めることで、これらのコストを大幅に削減できることが実証されています。
  • 罰則の軽減:データ侵害により個人顧客情報が流出した場合、多額の罰則が科される可能性があります。医療および個人金融の分野で事業を営む企業は、取り扱うデータの機密性が高いため、より高いリスクにさらされています。これらの分野で事業を展開する企業にとって、強力な事業継続戦略を策定することは不可欠であり、重い罰金のリスクを比較的低く抑えることができます。

事業継続災害復旧計画の策定方法

事業継続災害復旧(BCDR)計画は、企業が個別に調整されたアプローチを採用する場合に最も効果的です。事業継続計画(BCP)と災害復旧計画(DRP)は似ていますが、重要な違いがあり、別々に策定した方が有利です。

  • 強力なBCPは、災害前、災害発生中、災害発生直後に通常の事業運営を継続するための戦術に焦点を当てています。
  • DRP はより事後対応的な傾向があり、インシデントに対応し、すべてを元に戻してスムーズに実行する方法をまとめています。

効果的なBCPとDRPを策定する方法を説明する前に、両方に関連するいくつかの用語を見てみましょう。

  • 復旧時間目標(RTO):RTOとは、計画外のインシデントが発生した後、ビジネス。プロセスを復旧させるのにかかる時間のことです。合理的なRTOを確立することは、企業がBCPまたはDRPを作成するときに最初に行わなければならないことの1つです。
  • 目標復旧時点(RPO):企業の目標復旧時点(RPO)は、障害発生時に失っても許容でき、それでも復旧できるデータ量です。データ保護は現代の多くの企業の中核的な機能であるため、大規模なデータ侵害が発生した場合の継続性を確保するために、データをリモート・データセンターに常時コピーしている企業もあります。また、企業によっては、バックアップ・システムからビジネス・データを復旧するまでに数分(または数時間)という許容可能なRPOを設定し、その間に失われたものが何であれ復旧できることを知っています。

事業継続計画(BCP)の策定方法

事業継続計画に関しては、各企業の要件が若干異なりますが、規模や業界に関係なく、強力な結果をもたらす広く使用されている4つのステップがあります。

1. ビジネス・インパクト分析を実行する

ビジネス・インパクト分析(BIA)は、組織が直面しているさまざまな脅威をより深く理解するのに役立ちます。強力なBIAには、すべての潜在的な脅威とそれらがもたらす可能性のある脆弱性について確固とした説明を作成する作業が含まれます。また、BIAは各事象の可能性を見積もるので、組織はそれに応じて優先順位をつけることができます。

2. 潜在的な対応策を練る

BIAで特定した脅威ごとに、ビジネスの対応策を練る必要があります。脅威によって必要な戦略は異なるため、直面する可能性のある災害ごとに、どのように復旧できるかについて詳細な計画を立てることをお勧めします。

3. 役割と責任を割り当てる

次のステップは、災害発生時に災害復旧チーム全員に何が必要かを把握することです。このステップでは、予測できることを文書化し、計画外のインシデントが発生した際に個人がどのようにコミュニケーションをとるかを考慮する必要があります。多くの脅威は携帯電話ネットワークやWi-Fiネットワークなどの主要な通信機能を遮断するため、信頼できる通信フォールバック手順を用意しておくことが賢明であることを覚えておいてください。

4. 計画をリハーサルして修正する

対策を準備した脅威ごとに、BCDR計画がスムーズに機能するまで継続的に練習し、改善する必要があります。チーム・メンバーが自信をつけ、事業継続が中断された場合に自分がどのように行動する可能性が高いのかを知ることができるように、誰も実際の危険にさらすことなく、できる限り現実的なシナリオをリハーサルします。

災害復旧計画(DRP)の策定方法

BCPと同様に、DRPは主要な役割と責任を特定し、効果を発揮するために常にテストし、改善する必要があります。ここでは、DRPの策定に広く使用されている4段階のプロセスを紹介します。

1. ビジネス・インパクト分析を実行する

BCPと同様に、DRPは企業が直面する可能性のあるそれぞれの脅威とその影響を注意深く評価することから始まります。それぞれの潜在的な脅威が引き起こす可能性のある損害と、それが日常の業務運営を妨げる可能性を考慮してください。さらに考慮すべき点としては、収益の損失、ダウンタイム、風評修復のコスト(広報活動)、悪評による顧客や投資家の損失などがあります。

2. 資産の目録を作成する

効果的なDRPを実現するには、企業が何を所有しているかを正確に把握する必要があります。これらの目録を定期的に作成すると、ハードウェア、ソフトウェア、ITインフラストラクチャー、組織が重要なビジネス機能に利用しているその他のものを簡単に特定できます。以下のラベルを使用して、各資産を分類し、「極めて重要」「重要」「重要ではない」といった保護の優先順位をつけることができます。

  • 極めて重要:通常業務で利用している資産には、「極めて重要」というラベルを付けます。
  • 重要:このラベルは、少なくとも1日に1回は使用し、障害が発生した場合、重要な業務に影響を与える(ただし、完全に停止するわけではない)ものに付けます。
  • 重要でないもの:企業が所有していても、使用頻度が低く、通常業務に不可欠でない資産です。

3. 役割と責任を割り当てる

BCPと同様に、責任を説明し、チーム・メンバーが責任を遂行するために必要なものを確実に備える必要があります。ここでは、広く使われている役割と責任について考えてみましょう。

  • インシデント報告者:破壊的な事象が発生した際に、関係者の連絡先を管理し、ビジネス・リーダーや利害関係者と連絡を取る人。
  • DRP監督者:インシデント発生時に、チーム・メンバーが割り当てられた作業を確実に遂行できるようにする人。
  • 資産管理者:災害発生時に重要な資産を確保し、保護する役割の人。

4. 計画をリハーサルする

BCPの場合と同様に、DRPが効果的であるためには、常にDRPを実践し、更新する必要があります。定期的に練習し、意味のある必要な変更があれば文書を更新してください。たとえば、DRPの作成後に会社が新しい資産を取得した場合、それを今後の計画に組み込む必要があります。そうしないと、災害が発生しても保護されません。

強力な事業継続計画と災害復旧計画の例

事業継続計画(BCP)が必要か、災害復旧計画(DRP)が必要か、あるいはその両方について連携または個別に取り組む必要がある場合でも、他の企業が準備を強化するためにどのように計画を立てているかを知ることは参考になります。ここでは、企業のBCとDRの両方の準備に役立つ計画の例をいくつか紹介します。

  • 危機管理計画:優れた危機管理計画は、事業継続計画や災害復旧計画の一部となり得ます。危機管理計画は、特定の脅威にどのように対処するかをまとめた詳細な文書です。これらは、停電、サイバー犯罪、自然災害などの特定の種類の危機に組織がどのように対応するかを詳細に指示するものです。具体的には、事象が進行する間の時間ごと、分ごとのプレッシャーにどのように対処するか対策が練られています。事業継続と災害復旧計画に必要な手順、役割、責任の多くは、適切な危機管理計画に関連しています。
  • コミュニケーション計画:コミュニケーション計画は、事業継続や災害復旧の取り組みにも等しく適用されます。これらは、計画外のインシデント発生時に組織がPR上の懸念に具体的にどのように対処するかをまとめています。適切なコミュニケーション計画を練るために、ビジネス・リーダーは通常、コミュニケーションの専門家と連携してコミュニケーション計画を策定します。災害の可能性が高く、かつ深刻だと判断された場合どのように対応するかを正確に把握するために、具体的な計画を立てているところもあります。
  • ネットワーク復旧計画:ネットワーク復旧計画は、組織がインターネット・アクセス、携帯電話データ、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)などのネットワーク・サービスの中断を回復するのに役立ちます。ネットワーク復旧計画は、基本的かつ不可欠なニーズである通信に焦点を当てているため、通常は範囲が広く、災害復旧よりも事業継続性の側面で考慮する必要があります。多くのネットワーク化されたサービスが業務運営にとって重要であることを考慮して、ネットワーク復旧計画は、中断後にサービスを迅速かつ効果的に復元するために必要な手順に焦点を当てています。
  • データセンター復旧計画:データセンター復旧計画は、データ・セキュリティーとITインフラへの脅威に重点を置いているため、DRPよりもBCPに含まれる可能性が高くなります。データ・バックアップに対する一般的な脅威としては、人員の過剰な負担、サイバー攻撃、停電、コンプライアンス要件への準拠の困難などが挙げられます。
  • 仮想化復旧計画:データセンター計画と同様に、仮想化復旧計画は、DRPよりもBCPの一部となる可能性が高くなります。仮想化復旧計画は、中断から数分以内に運用を開始できる仮想マシン(VM)インスタンスを利用します。仮想マシンは、高可用性(HA)を通じて重要なアプリケーションを復旧させる物理コンピューターの表現/エミュレーション、つまりシステムが障害なく継続的に動作する機能を提供します。

事業継続および災害復旧ソリューション

わずかな中断でもビジネスを危険にさらす可能性があります。IBMでは、クラウド・バックアップや災害復旧機能、セキュリティーやレジリエンス・サービスなど、さまざまな脅威に直面する企業の備えを支援する幅広い緊急時対応計画および災害復旧ソリューションをご用意しています。

著者

Mesh Flinders

Staff Writer

IBM Think