読了所要時間: 7分53秒 | 公開日: 2025年8月21日
事業継続計画 事業継続・ディザスタリカバリ計画とは
事業継続・ディザスタリカバリ (BCDR) 計画は、中断後に組織がミッションクリティカルな運用を維持または迅速に再開できるようにする戦略的フレームワークです。想定内のイベントと想定外のイベントが発生した場合に、主要なビジネスプロセス、人員、ITシステム、サプライチェーンがどのように機能するかを簡潔に説明し、緊急時の対応と復旧を橋渡しします。
事業継続計画の策定で最も重要となるのが、レジリエンス (災害から復旧するだけでなく、影響を最小限に抑えながら事業を継続すること) です。堅牢な事業継続計画 (BCP) により、脆弱性を特定し、重要な機能を優先し、人員、プロセス、テクノロジーを調整して協調的対応を実現します。
ビジネスインパクト分析から開始
事業継続計画の策定は、ビジネスインパクト分析 (BIA) から始まります。これは、さまざまなタイプの中断が運用にどのような影響を与えるかを詳細に評価するもので、インフラストラクチャ、アプリケーション、サプライチェーン、データ、人員における依存関係の評価が含まれます。
BIAには、次のような主要リカバリ指標の定義が記載されます。
- 目標復旧時間 (RTO): システムとプロセスをいつまでに復旧させる必要があるかを示す目標時間
- 目標復旧時点 (RPO): データロスの最大許容時間
- 最大許容ダウンタイム (MTD): そのプロセスが (重大な損害を発生させることなく) 利用できない状態の最大許容時間
- 最大許容データロス (MTDL):受け入れがたい結果が生じる前に、その部門が許容できる、データの最大損失量
これらの指標は、サービスレベルアグリーメント (SLA) の作成とリカバリ戦略の選択に役立ちます。
事業継続計画の策定においては、あまり話題にならない2つの重要な指標 (インシデント対応時間 (IRT) と運用再開時間 (ORT)) を理解しておくことも極めて重要です。
- インシデント対応時間 (IRT) とは、中断の発生から事業継続/ディザスタリカバリ計画の発動までに要した時間を指します。迅速な発見と対応により、被害を大幅に軽減できます。
- 運用再開時間 (ORT) は、システムがオンラインに戻った後、すべての機能を復旧するために必要な時間を表します。これには、従業員の再エンゲージメント、アプリケーションの再同期、外部統合の再確立などのプロセスが含まれます。
想定外の事態に備える事業継続計画
事業継続計画は、自然災害、サイバー攻撃、システム障害などの想定外の中断と、メンテナンスやアップグレードなどの計画的な機能停止の両方に組織が対処するのに役立ちます。計画には、通常、次の内容が含まれます。
- 冗長システムとフェイルオーバーインフラストラクチャ
- 職場の復旧とリモートアクセスの手順
- データ保護とディザスタリカバリの戦略
- サイバーセキュリティとサイバーリカバリの戦略
- クライシスコミュニケーション計画と意思決定の階層
ただテクノロジーを復旧するだけではなく、完全復旧に向けた作業が行われている間に重要なサービスが継続的に提供されることを保証する必要があります。
IT運用は、高可用性 (HA) ストレージ、サーバークラスタリング、負荷分散、セキュリティ情報およびイベント管理システム、サイバーボールティング、不変のバックアップ、継続的なデータ保護、自動フェイルオーバーなどのテクノロジーに依存しています。前述の対策は、ハイブリッド/マルチクラウド環境全体でダウンタイムを最小限に抑え、データの整合性を維持するうえで不可欠です。
BCPのテスト、メンテナンス、更新
事業継続計画の策定は一度限りのイベントではありません。BCPが効果を発揮するには、次の条件を満たす必要があります。
- 訓練やシミュレーションを通じて定期的にテストする
- テクノロジー、人員、ビジネスの優先順位の変化を反映して継続的に更新する
- IT、人事、運用、コンプライアンス、経営幹部を含む、部門横断的な事業継続性管理チーム (BCMT) が共同で保有する
テストと改良に継続的に投資しなければ、事業継続計画は、堅牢なリスク管理戦略の弱点にもなりかねません。
事業継続計画の発展
従来、BCPは運用の復旧に重点を置いてきました。しかし、ランサムウェア、パンデミック、気候変動などの新しい脅威により、よりアジャイルで耐障害性のある戦略への移行が求められています。現在では、事業継続計画の策定に以下を含める必要があります。
- リモートアクセスと動的ワークロードをサポートするスケーラブルなインフラストラクチャ
- すべてのアクセスポイントに組み込まれたサイバーセキュリティ
- 物理、デジタル、クラウド環境間の調整
組織は、ITシステムとビジネス機能の両方に影響を及ぼす、同時発生的中断にも備える必要があります。そのため、ディザスタリカバリ (DR) がより広範な事業継続計画の一要素に発展しました。
事業継続計画が重要な理由
耐障害性のある企業は、正常な状態を維持するために、事業継続計画を策定することで障害に対処して事業を継続できるように準備しています。正式な事業継続計画があれば、組織はどのような状況においても事業を継続できます。事前に準備しているかどうかが、事業を再開できるか、中断するかの分かれ目になる可能性があります。
事業継続計画が策定されていないと、壊滅的な被害が生じる可能性があります。ダウンタイムの発生は、たとえ数分であろうと数日であろうと、収益の損失、評判の失墜、さらには廃業につながる可能性があります。準備を怠ると、企業は復旧が困難になる場合があります。
包括的なBCPにより、次のことが保証されます。
- 製品およびサービスデリバリの継続
- 従業員の安全と生産性の維持
- ブランドの評判の維持
- 規制および契約上の義務を果たしていること
事業継続性、ディザスタリカバリ、サイバーリカバリの違い
事業継続性、ディザスタリカバリ、サイバーリカバリは密接に関連していますが、オペレーショナルレジリエンスの異なる側面に重点を置いています。
- 事業継続性には、障害発生時に事業を継続するためのあらゆる側面が含まれます。
- ディザスタリカバリは、自然災害やシステム障害による機能停止後に、ITシステムとデータを復旧することに重点を置いています。
- サイバーリカバリの目的はディザスタリカバリと同じですが、ランサムウェアなどのサイバー攻撃によって引き起こされる意図的な障害に特化しています。これには、安全で変更不可能なバックアップ、エアギャップ型リカバリボールト、自動リストアの機能が含まれます。
包括的なBCDR計画にはこれら3つのアプローチがすべて組み込まれており、網羅的なリカバリ戦略を実現します。
ビジネス機能をトリアージする手段としての重要度評価
ビジネスインパクト分析 (BIA) で最も影響の大きい結果の1つが、ビジネス機能に割り当てられる重要度評価です。このフレームワークは、組織が緊急性と影響に基づいて復旧作業をトリアージするのに役立ちます。
一般的な4段階の基準には次のものが含まれます。
- ティア1: 重要な機能 - 大規模障害を回避するために数分から数時間以内に復旧する必要がある
- ティア2: 基本的な機能 - 24~72時間以内に復旧する必要がある
- ティア3: 必要な機能 - 深刻な影響がなければ、最大1週間復旧を遅らせることができる
- ティア4: 望ましい機能 - 大きな影響がなければ、復旧を延期できる
機能別の例:
- 金融業界にとっては金融取引を処理する機能が非常に重要であり、たとえ短時間のダウンタイムであっても収益と信頼に影響を及ぼします。
- 生死に関わる判断がリアルタイムデータに基づいて行われる医療では、電子健康記録 (EHR) にアクセスできることが非常に重要です。
- 顧客満足度と収益の流れが事業継続性に依存する電子商取引と小売業では、オンライン注文と顧客サービスチケットを管理する機能が非常に重要です。
事業継続性のプロアクティブな柱としてのサイバーセキュリティ
リアクティブな性質を持つリカバリに対して、サイバーセキュリティはプロアクティブであり、脅威の防御、検出、対応に重点を置きます。今日の事業継続計画の策定では、以下を含むすべての階層にサイバーセキュリティを組み込む必要があります。
- ネットワークとエンドポイントのセキュリティ
- 多要素認証とアクセス制御
- データ暗号化とセキュアバックアップ
- セキュリティオペレーションセンター (SOC) の統合
サイバーセキュリティは、障害を未然に防ぐ、事業継続性の重要な一要素です。サイバーセキュリティとサイバーリカバリを組み合わせてプロアクティブおよびリアクティブの事業継続性を実現し、既知のサイバー脅威と未知のサイバー脅威に対処します。
事業継続性とビジネスレジリエンスの違い
事業継続性が障害発生時に事業を中断しないことに重点を置くのに対し、ビジネスレジリエンスは、長期的な課題に直面する中で適応し、進化することに重点を置きます。成熟した事業継続計画は、IT、運用、サプライチェーン、人員モデル全体で組織の耐障害性を強化するための基盤となります。
テクノロジーが事業継続性の確保に役立つ仕組み
今日の事業継続性の中心にあるのがテクノロジーです。医療から教育、中小企業に至るまで、多くの組織が、日常業務と緊急時への備えの両方をサポートするデジタル戦略を採用しています。以下はその一例です。
- セキュアなリモートアクセスを実現するクラウドネイティブプラットフォーム
- 分散チーム向けの仮想デスクトップインフラストラクチャ (VDI)
- 中断のない稼働時間を実現する高可用性ストレージとクラスタリング
- 継続的なデータ保護 (CDP) とバックアップの自動化
- 即時リカバリワークフローをトリガーする監視およびオーケストレーションツール
事業継続性評価とフォローアップの最終的な成果は、ニューノーマルに移行してイノベーションと飛躍的進歩を加速し、時には新たなビジネスモデルにつなげることです。
事業継続性の確保をHPEが支援
ヒューレット・パッカード エンタープライズは、ビジネス成果を迅速に実現するために、運用とビジネスの生産性、プランニングおよび実行サービスをサポートしています。インフラストラクチャに関するHPEの数十年にわたる経験を活用できる、以下のソリューションをご確認ください。
事前構成済みのHPE ProLiant ML、DLサーバー、ソフトウェアは、容易に展開できます。HPE Integrated Lights Out (iLO) サーバー管理ソフトウェアにより、ローカルでもリモートでも監視/管理できます。
as a serviceモデルでは、クラウドの柔軟性に加えて、オンプレミスデータセンターの制御性、セキュリティ、信頼性が得られます。HPEは、HPE GreenLakeを通じて、オンプレミス インフラストラクチャでクラウドエクスペリエンスを実現する、市場をリードするIT as a serviceを提供しています。
中小企業向けには、仮想化デスクインターフェイスを導入して一元的なストレージとセキュリティ、データ保護、24時間365日の可用性、オプションのアーカイブおよびディザスタリカバリストレージを実装するオプションを複数ご用意しています。HPEのサーバー仮想化ソリューションは、スケーラブルで最適化されたプロセッサーが搭載されたHPE ProLiantサーバーを基盤としています。
HPE Zerto Softwareにより、サイバーレジリエンス、ディザスタリカバリ、継続的なデータ保護を強化することで、データロスやダウンタイムを大幅に削減します。業界をリードするRPOとRTOでビジネスを保護し、災害、サイバー攻撃、移行によるデータロスやダウンタイムを最小限に抑えます。
HPE Cyber Resilience Vaultにより、増大するサイバー攻撃の脅威からデータとビジネスオペレーションを保護します。この上なく強力なランサムウェア攻撃であっても被害を軽減できるように設計された、鉄壁のリカバリボールトを構築およびカスタマイズできます。
AI主導のクラウド管理、分散型スケーリング、すべてのワークロードにおける100%のデータ可用性により、既存のエンタープライズ向けブロック/ファイルストレージをモダナイズできます。HPE Alletra Storage MP B10000はアレイ上でインテリジェントなランサムウェア検出およびリカバリテクノロジーを提供し、ランサムウェア攻撃に対するデータの耐障害性維持に役立ちます。
最大20倍のデータ削減に加えて、データの保護、コンプライアンス、セキュリティ、可用性を実現する、柔軟なHPE Alletra Storage MP X10000ソリューションを展開します。
HPE StoreOnce Systemsでサイバーレジリエンスの強固な基盤を構築。従来のバックアップソリューションよりはるかにシンプルでパフォーマンスに優れ、低コストであるうえに脅威およびマルウェア対策が組み込まれたHPE StoreOnceが、ハイブリッドクラウドの保護に変革をもたらします。
ランサムウェア攻撃からの保護に関して、HPE Storage Tapeにおけるテープベースバックアップのエアギャップセキュリティは、セキュアでスケーラブルな低コストのストレージソリューションとして大きなメリットをもたらします。
このようなソリューションなら、インフラストラクチャの複雑性と多様性、および需要の変動性を考慮したインフラストラクチャとソフトウェアを使用して、安全で信頼性の高いデータアクセスを実現し、機能停止の脅威に備えることができます。HPEのソリューションを利用すると、進化する開発の成果を評価し、運用プロセスの充足に役立つテクノロジーを見つけることができます。