SP 800-34とは
NIST SP 800-34 Rev.1「Contingency Planning Guide for Federal Information Systems」(2010年公開)は、IT システムの緊急時対応計画(コンティンジェンシープラン)を策定するためのガイドラインです。災害、障害、サイバー攻撃等によるシステム停止からの復旧手順を事前に計画し、事業継続を確保することが目的です。
緊急時対応計画の7ステップ
| Step | 内容 |
|---|---|
| 1. ポリシー策定 | 緊急時対応計画の基本方針・適用範囲・役割を定義 |
| 2. BIA(ビジネスインパクト分析) | 各システムの重要度、停止時の影響、RTO/RPOを定義 |
| 3. 予防措置の特定 | 障害を未然に防ぐ対策(冗長化、バックアップ、UPS) |
| 4. 復旧戦略の策定 | 各システムの復旧方法(バックアップからの復元、代替サイト等) |
| 5. 計画書の策定 | 具体的な復旧手順、連絡先、必要リソースを文書化 |
| 6. テスト・訓練 | 年1回以上の復旧テストと机上演習 |
| 7. 計画の維持 | 環境変化に応じた計画の定期的な更新 |
BIA(ビジネスインパクト分析)
BIAは緊急時対応計画の最も重要なステップです。各システムについて以下を定義します。
| 項目 | 定義 | 例 |
|---|---|---|
| RTO(復旧時間目標) | システム停止から復旧までの許容時間 | メール: 4時間、基幹システム: 24時間 |
| RPO(復旧時点目標) | どの時点までのデータを復旧するか | メール: 1時間前、基幹: 前日バックアップ |
| MTD(最大許容停止時間) | 事業に致命的な影響を与えない最大停止時間 | ECサイト: 2時間、社内ポータル: 3日 |
復旧戦略
| 戦略 | RTO | コスト | 概要 |
|---|---|---|---|
| ホットサイト | 数分〜1時間 | 高 | 本番と同等の環境を常時稼働。即座に切替 |
| ウォームサイト | 数時間〜1日 | 中 | 機器は準備済み。データとアプリのリストアが必要 |
| コールドサイト | 数日〜1週間 | 低 | 場所と電源のみ。機器の搬入・セットアップが必要 |
| クラウドDR | 数分〜数時間 | 中 | Azure Site Recovery等でクラウドにDR環境を構築 |
まとめ
SP 800-34はIT緊急時対応計画の策定を「ポリシー→BIA→予防→復旧戦略→計画書→テスト→維持」の7ステップで体系化しています。BIAでRTO/RPOを定義し、それに見合った復旧戦略を選択することが計画の核心です。