概説　BCP（事業継続計画）とDRP（災害復旧計画）について【後編】

こんにちは、エンジニアのあっきーです。

前回、「BCP (事業継続計画)とDR（災害復旧計画）について【前編】」と題して、BCPとBCPを策定する上で必要となるリスクアセスメントとビジネスインパクト分析についてお話ししました。この【後編】では、BCPの重要ポイントとDRPの概要についてお話ししたいと思います。

図１：BCP、DRP、DRサイト運用方式の特徴

BCP策定にあたってのポイント

BCP策定にあたっては、下記のような重要なポイントがあります。

①　キーメンバーの特定

特にビジネスインパクト分析は、重要な業務継続のための資産や業務プロセスを特定する必要があり、例えばIT担当だけでは、この作業は不可能です。C-Executives (CEO, COO, CFO等)はもちろんのこと、重要な業務プロセスを理解している社員に情報を提供してもらうなど協力して進めていきましょう。

②　復旧までの代替手段

復旧に時間がかかることを想定し、通常はRPAや電子システムを使い自動化された業務プロセスが使えない場合、復旧するまでの間はマニュアル作業などで代替する等の手段を準備しておくのも事業を継続をするうえで重要です。

③　BCPを発動する条件の定義

どのような状況になればBCPに基づいて行動するのかを定義しておくことで初期対応の遅れ等による被害の拡大を防ぐことができます。

④　コンタクト情報とコミュニケーション手段

BCPが発動され、プロセスを進めるうえで、誰にエスカレーションするのかなど事前に整理しておく必要があります。また、その際にEメールや電話等の特定のコミュニケーション手段が使えない可能性もある為、状況に応じたコミュニケーション手段を選択する必要もあります。

⑤　ドキュメント化

言うまでもなくBCPのドキュメント化は必須です。必要な人に必要な情報を伝達し、共通の認識を持つことはとても重要です。

⑥　テストの実施

BCPが想定通りに機能するのかのテストを行います。定期的に避難訓練をやるように、BCPについても定期的にテストを行い、うまくいかない場合は、プロセスの見直しを行い、ドキュメントを更新しましょう。

ここまでは、BCPについてお話ししました。それでは、引き続きDRPについて説明したいと思います。

DRP（Disaster Recovery Plan）とは？

組織内では、データやITシステムは、業務遂行のために使用されています。DRPは、BCPのサブセットであり、事業を継続させるうえでデータとITシステムに主眼を置いた復旧計画です。

BIAにおいて、業務継続に必要な資産が特定されますが、もちろんデータやITシステムも対象となります。BIAの中でRTO、RPOという考え方が出てきましたが、DRにおいてもとても重要な考え方ですのでおさらいしておきましょう。

RTO (Recovery Time Objective): どのくらいの時間で復旧させるかの目標値

RPO (Recovery Point Objective): どのくらい前のデータに復旧させるかの目標値

また、DRPでは、基本的にはオリジナルサイトが自然災害などで復旧できないことも考慮し、遠隔地にあるDRサイト（バックアップサイト）を導入します。ここで３つのDRサイト運用方式について説明します。

表1に示した通り、DRサイト方式にはホットサイト、ウォームサイト、コールドサイトがあり、復旧時間のスピードとコストが異なりますので、必要に応じた適切な方式を選択します。

表１：DRサイト運用方式

　　　表２：RTO、RPO、DRサイト運用方式（例）

ここで、表２を例にRTO、RPOとDRサイト運用方式について考えてみましょう。

例えば、Eコマースがコア事業である場合、「Eコマースウェブサイト」のダウンは、新規購入が受け付けられなくなる為に利益減につながります。RTOを1時間、RPOを0時間と設定した場合、1時間以内にシステムが止まったときのデータの状態に戻し、システムの運用を再開することになりますが、この場合は、ホットサイト方式を導入し、常にデータをレプリケーションし、オリジナルサイトダウン時にすぐに切り替えるのが適切です。

また、「データアーカイブシステム」は、通常はデータへのアクセス頻度が少ないと思います。RTOを14日、RPOを7日と設定した場合には、WeeklyでDRサイトへバックアップをとる等し、14日以内にデータへアクセスするための機器を搬入・設定し、システムを復旧するというようなコールドサイト方式を導入すればよいかと思います。

このように、業務を復旧させるために必要なシステムをRTO、RPOに基づいて必要なバックアップシステムを適切な方式で準備しておくことが重要です。

最近では、多くの企業がクラウドサービスを利用していると思います。SaaS（Software as a Service）の場合は、ユーザが意識することはありませんが、基本的にはDRが考慮されていると思います。もし心配な場合は、SaaSプロバイダーにご確認ください。

また、IaaS（Infrastructure as a Service）の場合は、IaaSプロバイダーが遠隔サイトを使ったDR関連サービス等を提供していますのでIaaS上で運用している自社のシステムのDRを実現すことも可能となっています。

ここまでDRPの概要について説明しましたが、DRP策定においても、上記で説明したBCP策定の重要ポイントと同様に計画をドキュメント化、テストを行い、プロセスがうまくいかない場合は、プロセスの見直しを行い、ドキュメントを更新するようにしましょう。

まとめ

今回は、「概説　BCP (事業継続計画)とDRP（災害復旧計画）について」と題して【前編】【後編】の2回に分けてBCPに必要なリスクアセスメント/ビジネスインパクト分析、RTO、RPO、DRサイト運用方式等を説明しました。本記事が、事業継続のためにどのような計画が必要なのか今一度考えるきっかけとなれば幸いです。

IIJ America Incでは、BCPやDRに関するご相談、クラウドを利用したDRソリューションも提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。