IT-BCPとは

BCP(Business Continuity Plan:事業継続計画)とは、自然災害やサイバー攻撃などの緊急事態が発生した際に、事業の中断を最小限に抑え、早期に復旧するための計画です。その中でITシステムの継続と復旧に特化した計画がIT-BCPです。

現代の企業はITなしでは業務が成り立ちません。メールが使えない、ファイルサーバーにアクセスできない、基幹システムが停止している——こうした状態が1日続くだけで、売上や顧客信用に深刻な影響を与えます。にもかかわらず、中小企業の多くはIT-BCPを策定していません。

IT-BCPで想定すべきリスク

リスク影響発生頻度
自然災害(地震・水害)サーバー物理損壊、停電、ネットワーク断低〜中
ランサムウェア全データ暗号化、業務全面停止中(年々増加)
ハードウェア障害サーバー/PC故障によるデータ消失、業務中断
クラウドサービス障害M365, AWS等のサービス停止低(ただし影響大)
人的ミス誤削除、設定ミスによるデータ消失
停電・電源障害UPS未設置の場合、サーバー急停止によるデータ破損

IT-BCP策定の5ステップ

Step 1:業務影響度分析(BIA)

まず、どのITシステムが停止すると、どの業務がどれだけ影響を受けるかを整理します。

システム停止時の影響許容停止時間(RTO)許容データ損失(RPO)
メール社外連絡不能、受注機会損失4時間0(損失不可)
ファイルサーバー資料参照不能、業務遅延8時間24時間
基幹業務システム受発注停止、売上直接影響2時間1時間
社内チャットコミュニケーション遅延24時間

RTO(Recovery Time Objective)は「何時間以内に復旧させるか」、RPO(Recovery Point Objective)は「何時間前までのデータが復旧できればよいか」です。この2つの指標でバックアップ戦略が決まります。

Step 2:リスク評価と対策立案

各リスクに対して「予防策」と「発生時の対応策」を定めます。予防策はリスクの発生確率を下げること(例:UPS導入、EDR導入)。対応策はリスク発生後の復旧手順(例:バックアップからのリストア手順)です。

Step 3:バックアップ戦略の設計

BIAで定めたRTO/RPOに基づき、適切なバックアップ頻度・保管場所・復旧方法を設計します。詳細は次のセクションで解説します。

Step 4:復旧手順書の作成

システムごとに具体的な復旧手順書を作成します。「誰が」「何を」「どの順番で」復旧するかを明文化し、IT担当者以外でも手順に従って作業できるレベルまで詳細化します。

Step 5:訓練と見直し

計画は作るだけでは意味がありません。年に1回以上の復旧訓練を実施し、手順の不備や環境の変化を反映して計画を更新します。

バックアップ戦略

3-2-1ルール

  • 3つのコピー — 本番データ+2つのバックアップ
  • 2種類のメディア — クラウド+物理メディア(外部HDD等)
  • 1つはオフサイト — 本社と物理的に異なる場所に保管

ランサムウェア対策としての不変バックアップ

ランサムウェアはバックアップも暗号化の標的にします。不変バックアップ(Immutable Backup)とは、一定期間は削除・変更ができない設定でバックアップを保管する方式です。Azure Blob StorageのImmutability PolicyやVeeamのInside Protection Groupなどで実現できます。

クラウド活用によるBCP強化

クラウドサービスは、それ自体がBCPの強力な基盤です。

  • 地理的冗長性 — Microsoft 365のデータは複数のデータセンターに自動複製。1拠点の災害では消失しない
  • アクセスの場所非依存 — オフィスが被災しても、自宅やカフェからM365にアクセスして業務継続可能
  • SaaS障害時の代替 — M365のSharePointが停止しても、OneDriveのオフライン同期でファイルアクセス可能

ただしクラウドも万全ではありません。クラウドサービス自体の大規模障害(過去にM365で数時間〜十数時間の障害実績あり)に備え、重要データのローカルコピーを持つことも推奨します。

💡 BTNコンサルティングのBCP支援

情シス365では、IT-BCPの策定からバックアップ設計、復旧訓練の実施まで支援します。災害やランサムウェアに備えた「いざという時」のIT環境を構築します。
→ 情シス365の詳細を見る

まとめ

IT-BCPは「作っておいてよかった」と思える日が必ず来ます。まずはBIA(業務影響度分析)で優先順位を明確にし、3-2-1ルールに基づくバックアップ体制を構築しましょう。年1回の復旧訓練で計画の実効性を検証することも忘れずに。