災害復旧と事業継続

導入

私たちは皆、少なくとも一度は「ショーは続かなければならない」と誰かが叫ぶのを聞いたことがあるでしょう。サイバーセキュリティでは、このモットーは、ビジネス継続性と災害復旧計画（BC&DR）の必要性を説明するためにしばしば使用されます。インシデントは発生する可能性がありますが、それが活動を停止させたり、必要以上にお金を失う理由であってはなりません。これらの危険から守るためには、（BC&DR）計画を持つ必要があります。この記事では、これら二つがどのように連携して機能するかについて詳細に説明し、それらを実施するためのいくつかのガイドラインを提供します。

ビジネス継続性と災害復旧とは何ですか？

これらの2つの計画は、同じ文書内で絡み合わせたり、概要を描いたりすることができますが、それぞれサイバーセキュリティと組織管理の2つの異なる側面に対応しています：

ディザスターリカバリーは、（壊滅的な）事故が発生した後に通常の運用を回復するプロセスです。これには、データ、ハードウェア、ソフトウェア、およびその他のIT資産を最適な状態にできるだけ近い状態に復元することが含まれます。ディザスターリカバリープランは、通常、データのバックアップ、緊急手順の作成とテスト、従業員の訓練などの事項を扱います。

一方、ビジネス継続性とは、悪影響を及ぼす出来事が発生した際、またはその後に、重要なビジネス操作を迅速に維持または復元するプロセスです。これには、ビジネスへの影響を最小限に抑えるための計画の開発が通常必要であり、最も重要な活動とそれに関連するインフラ/リソースを特定した後、それらがほとんどの事故で影響を受けないようにします。ビジネス継続計画には、顧客サービス、製造、財務業務など、重要なビジネス機能を維持または迅速に復元するための戦略が通常含まれています。

これら二つの実践の主な違いは、ビジネス継続計画が緊急時の一時的な解決策であり、新たに発生した問題に効率的に対応するために採用しやすいという点です。一方、災害復旧計画は遅くて複雑なことがありますが、事故前の状態にできるだけ情報とインフラを戻すことを目的としています。

Bc&drプランの重要性

ビジネス継続性および災害復旧（BC&DR）計画の重要性は、2011年の東日本大震災に対する富士通グループの対応によって強調されました。約1億ドルの損失を被ったにもかかわらず、彼らはすべての重要なシステムを24時間以内に復旧させ、1週間以内に完全に稼働させました。この成功は、彼らの十分に準備されたBC&DR計画のおかげです。自社のシステムを回復させただけでなく、災害の影響を受けた他の企業や個人への支援も行いました。BC&DR計画を整備することで、自然災害の際に企業が被る可能性のあるコストを大幅に削減することができます。富士通の事例を含む複数のケーススタディがこれを証明しています。 

BC&DR計画を作成または評価するために、以下の重要なステップを考慮してください。

Starting from Business Continuity:

1. 重要なビジネス機能の特定: ビジネス機能とは、入力を出力に変換するために必要な活動とリソースの組み合わせを指します。重要な機能とは、ビジネスの継続的な運営に不可欠な活動と人々のことです。それらがなければ、会社は出力を生成することができません。重要な機能を特定する最初のステップは、ビジネスの生存に不可欠な主要な人物と資産を特定することです。
2. 潜在的な障害を特定する: あなたの運営にとって重要な資産やリソースを特定した後、それらの機能に影響を与える可能性のある潜在的な脅威を特定することが重要です。これらの脅威には、地震のような自然災害、政治的不安、またはサイバーセキュリティの脆弱性の悪用が含まれる可能性があります。これらの障害のうち、いくつか、すべて、またはどれも重要な機能に適用されるものを明確に定義する重要性を見逃さないことが重要です。これにより、リスク管理プロセスの次のステップを効率的に実行することができます。
3. 重要なビジネス機能を維持または迅速に復旧させる手順の開発: 重要な機能を特定したら、災害が発生した場合でもこれらの機能が継続的に運用できるようにする計画を開発することが重要です。これには、代替の場所を作成すること、バックアップ通信機器を持つこと、または中断が発生した場合に他の機能が従うべき指示を実装することが含まれる場合があります。このステップの効果は、最も可能性の高い中断の原因に対する包括的な解決策を特定する能力に大きな影響を与えます。
4. コミュニケーション計画を策定する: よく作成されたビジネス継続計画は、適切に実施されなければ効果がありません。発生する可能性のある中断について、従業員や顧客に効果的に通知するための計画を立てることが重要です。ビジネス継続計画の成功裏な実行を確実にするためには、強力で詳細なコミュニケーション計画を立てることが不可欠です。この計画は、計画過程で特定された潜在的な中断を考慮に入れ、必要な場合には迅速かつ効率的にビジネス継続計画を開始できるようにする必要があります。
5. コミュニケーションプランの策定: 十分に作成されたビジネス継続計画は、適切に実施されない限り効果を発揮しません。従業員と顧客に発生した中断について効果的に通知するための計画が必要です。ビジネス継続計画を成功させるためには、強力で詳細なコミュニケーションプランを整備することが重要です。このプランは、計画プロセスで特定された潜在的な中断を考慮に入れ、必要が生じた際にビジネス継続計画を迅速かつ効率的に開始できるようにするべきです。
6. 事業継続計画の維持と更新のための計画を策定する: 事業継続計画を効果的にするために定期的に更新する必要があるリソースを特定し、文書化する。特定の期限を設定し、これらの文書を最新の状態に保つ責任者を割り当てる。

反対側では、災害復旧計画には以下の内容が含まれているべきです：

1. Identify Critical Systems and Data for Recovery: 喪失時に回復が必要な高優先度のインフラとリソースを特定することは非常に重要です。
2. 潜在的な災害シナリオの特定: 災害シナリオによって回復コストが異なる場合があります。例えば、24時間浸水したサーバールームは、1時間未満で浸水したものと異なる回復コストを持つことになります。
3. データとシステムのバックアップおよび復元手順の開発: ステップ1で識別されたリソースを回復するための詳細な計画を作成します。この計画は、ステップ2で開発されたシナリオに基づいています。
4. 災害復旧計画をテストし、定期的に更新する: 従業員が災害復旧手順を理解し、それに従うように訓練されていることを確認してください。手順に第三者の関与が含まれる場合は、適切な契約を結んでください。.
5. 災害復旧計画の維持と更新のための計画を立てる: 復旧プロセスに必要なリソースとベンダーを特定して文書化し、それらのリストを更新し続けてください。さらに、シナリオと予算を必要に応じて更新することを忘れないでください。

災害復旧とビジネス継続計画を策定する際のアプローチは、あなたとあなたの会社の好みに完全に依存しています。いくつかの会社は簡潔さのために単一の包括的な文書を持つことを好み、他の会社は各側面を個別に取り組むことを好みます。どちらのアプローチを選択しても、それぞれが特定の利点や欠点を持っているわけではないことを覚えておくことが重要です。

結論

災害復旧または事業継続計画を策定する際には、開かれた心を持ち、警戒を怠らないことが重要です。その理由は、規制の遵守ではなく、戦略的および競争的な考慮によるものである可能性があります。政治的混乱、サイバー攻撃、自然災害などの予期しない出来事は、どの業界にも大きな影響を与える可能性があります。これらの出来事に対処し、迅速に回復できる企業は、危機をチャンスに変えることができる企業です。計画の欠如があなたを妨げる要因とならないようにしましょう。