IT-BCPとは
BCP(Business Continuity Plan:事業継続計画)とは、自然災害やサイバー攻撃などの緊急事態が発生した際に、事業の中断を最小限に抑え、早期に復旧するための計画です。その中でITシステムの継続と復旧に特化した計画がIT-BCPです。
現代の企業はITなしでは業務が成り立ちません。メールが使えない、ファイルサーバーにアクセスできない、基幹システムが停止している——こうした状態が1日続くだけで、売上や顧客信用に深刻な影響を与えます。にもかかわらず、中小企業の多くはIT-BCPを策定していません。
IT-BCPで想定すべきリスク
| リスク | 影響 | 発生頻度 |
|---|---|---|
| 自然災害(地震・水害) | サーバー物理損壊、停電、ネットワーク断 | 低〜中 |
| ランサムウェア | 全データ暗号化、業務全面停止 | 中(年々増加) |
| ハードウェア障害 | サーバー/PC故障によるデータ消失、業務中断 | 中 |
| クラウドサービス障害 | M365, AWS等のサービス停止 | 低(ただし影響大) |
| 人的ミス | 誤削除、設定ミスによるデータ消失 | 高 |
| 停電・電源障害 | UPS未設置の場合、サーバー急停止によるデータ破損 | 中 |
IT-BCP策定の5ステップ
Step 1:業務影響度分析(BIA)
まず、どのITシステムが停止すると、どの業務がどれだけ影響を受けるかを整理します。
| システム | 停止時の影響 | 許容停止時間(RTO) | 許容データ損失(RPO) |
|---|---|---|---|
| メール | 社外連絡不能、受注機会損失 | 4時間 | 0(損失不可) |
| ファイルサーバー | 資料参照不能、業務遅延 | 8時間 | 24時間 |
| 基幹業務システム | 受発注停止、売上直接影響 | 2時間 | 1時間 |
| 社内チャット | コミュニケーション遅延 | 24時間 | — |
RTO(Recovery Time Objective)は「何時間以内に復旧させるか」、RPO(Recovery Point Objective)は「何時間前までのデータが復旧できればよいか」です。この2つの指標でバックアップ戦略が決まります。
Step 2:リスク評価と対策立案
各リスクに対して「予防策」と「発生時の対応策」を定めます。予防策はリスクの発生確率を下げること(例:UPS導入、EDR導入)。対応策はリスク発生後の復旧手順(例:バックアップからのリストア手順)です。
Step 3:バックアップ戦略の設計
BIAで定めたRTO/RPOに基づき、適切なバックアップ頻度・保管場所・復旧方法を設計します。詳細は次のセクションで解説します。
Step 4:復旧手順書の作成
システムごとに具体的な復旧手順書を作成します。「誰が」「何を」「どの順番で」復旧するかを明文化し、IT担当者以外でも手順に従って作業できるレベルまで詳細化します。
Step 5:訓練と見直し
計画は作るだけでは意味がありません。年に1回以上の復旧訓練を実施し、手順の不備や環境の変化を反映して計画を更新します。
バックアップ戦略
3-2-1ルール
- 3つのコピー — 本番データ+2つのバックアップ
- 2種類のメディア — クラウド+物理メディア(外部HDD等)
- 1つはオフサイト — 本社と物理的に異なる場所に保管
ランサムウェア対策としての不変バックアップ
ランサムウェアはバックアップも暗号化の標的にします。不変バックアップ(Immutable Backup)とは、一定期間は削除・変更ができない設定でバックアップを保管する方式です。Azure Blob StorageのImmutability PolicyやVeeamのInside Protection Groupなどで実現できます。
クラウド活用によるBCP強化
クラウドサービスは、それ自体がBCPの強力な基盤です。
- 地理的冗長性 — Microsoft 365のデータは複数のデータセンターに自動複製。1拠点の災害では消失しない
- アクセスの場所非依存 — オフィスが被災しても、自宅やカフェからM365にアクセスして業務継続可能
- SaaS障害時の代替 — M365のSharePointが停止しても、OneDriveのオフライン同期でファイルアクセス可能
ただしクラウドも万全ではありません。クラウドサービス自体の大規模障害(過去にM365で数時間〜十数時間の障害実績あり)に備え、重要データのローカルコピーを持つことも推奨します。
情シス365では、IT-BCPの策定からバックアップ設計、復旧訓練の実施まで支援します。災害やランサムウェアに備えた「いざという時」のIT環境を構築します。
→ 情シス365の詳細を見る
まとめ
IT-BCPは「作っておいてよかった」と思える日が必ず来ます。まずはBIA(業務影響度分析)で優先順位を明確にし、3-2-1ルールに基づくバックアップ体制を構築しましょう。年1回の復旧訓練で計画の実効性を検証することも忘れずに。