いまさら聞けない、BCP（事業継続計画）とDR（災害復旧）の違い：盛り込むべき項目、策定と運用のステップとは

パスワード管理ツールを提供するNordPassは、事業継続計画と災害復旧の違いを解説し、なぜこのような取り組みが重要なのか、何を考慮しなければならないのかを取り上げた。データのバックアップやサイバー攻撃対策にとどまっていてはいけないという。

[＠IT]

　パスワード管理ツールを提供するNordPassは2022年8月30日（米国時間）、事業継続計画（BCP）とは何か、なぜ重要なのか、何を含めるべきなのかを解説した。

BCPとは何か

　BCPは火災や洪水、地震などの自然災害の他、サイバーセキュリティインシデントなどで業務が中断した場合、組織がどのように事業を継続するのかをガイドラインとしてまとめた文書を指す。組織が大きなダウンタイムなく、業務を再開することが目的だ。

　コンサルティング会社Mercerの2020年の調査によると、世界の企業の51％がBCPを策定していない。

BCPと災害復旧（DR）の違いとは

　BCPと災害復旧（DR）計画は、よく混同される。両者は重なり合う部分があり、連動する場合も多い。だが、DRは、サイバーインシデント発生後の封じ込めや調査、業務復旧に焦点を当てたものだ。一方、BCPは、組織全体を考慮したより広い概念だ。組織が潜在的な危機に対処する準備を維持するのに役立ち、通常、DRを包含している。

BCPはなぜ重要なのか

　サイバー犯罪は現実に頻発しており、あらゆる規模や業種の企業にリスクをもたらしている。次のようなデータに基づくと、サイバー犯罪は犯罪者にとってもうかる商売であり、被害者を窮地に追い込む可能性があると分かる。

・2021年には、世界の組織の約37％がランサムウェア攻撃を受けた
・事業の中断と復旧に伴うコストが、サイバー攻撃関連の損失の50％を占める
・ほとんどのサイバー攻撃は金銭的な動機によるものであり、2021年に世界のサイバー犯罪のコストは6兆ドルを超えた

　組織はこうした予測不能な時代であっても成功を収めるため、従来のセキュリティ対策にとどまらず、BCPを策定している。多くの組織はBCPを、セキュリティエコシステムの重要な要素と位置付けている。包括的なBCPを策定することで、緊急時のダウンタイムを大幅に短縮し、ひいては潜在的な風評被害や、収益の逸失を軽減できるからだ。

BCPには何を盛り込むとよいのか

　BCPを策定しようとしている組織が考えるべきことは多々ある。組織の規模やITインフラ、人材、リソースなど、さまざまな変数がBCPの策定において重要な役割を果たす。個々の危機はそれぞれ異なり、各組織は危機への対処について、こうした変数に応じた見解を持つ。全てのBCPに何らかの形で含まれる要素は主に6つある。

（1）責任範囲の明確な定義

　BCPではまず、緊急事態が発生した場合の具体的な役割と責任を定義する必要がある。定義する際は誰がどんなタスクに責任を持つのかを詳しく規定し、特定の立場にある人が取るべき行動を明確にしなければならない。緊急時の役割と責任を明確に定義することで、迅速かつ果断に行動でき、潜在的な被害を最小限に抑えることが可能になる。

（2）危機管理コミュニケーション計画

　 緊急事態では、コミュニケーションが極めて重要だ。コミュニケーションは危機管理を左右する。コミュニケーションを効果的に進めるには、明確なコミュニケーション経路を確立することが重要だ。さらに、代替となるコミュニケーションチャネルも必要だ。このチャネルについてもBCPの中に盛り込むことが重要だ。

（3）復旧チーム

　復旧チームは組織が危機に直面した後、できるだけ早く業務を復旧させるためのさまざまな専門家の集団だ。

（4）代替運事業所

　現在、ビジネス環境におけるインシデントといえば、サイバーセキュリティに関連するものを思い浮かべるのが普通だ。だが、BCPは起こり得るさまざまな災害を対象としている。自然災害の発生時にも事業を継続できる代替地の候補を決定しておく。

（5）バックアップ電源とデータバックアップ

　サイバーイベントでも、現実の物理的なイベントでも、事業を継続するには、電力へのアクセス確保が重要だ。BCPには、発電機などの代替電源と設置場所、管理者などのリストを記載する場合が多い。データについても、バックアップの定期的な実行をスケジューリングしておくことで、危機的な状況で発生する損失を大幅に減らすことが可能だ。

（6）復旧ガイドライン

　包括的なBCPには通常、危機が重大な場合を想定し、復旧プロセスの実行方法に関する詳細なガイドラインが含まれている。

BCPを作り上げ、役立てる5つのステップとは

　BCPの策定や運用を目指す組織が考慮すべき一般的なガイドラインを次に示す。主に5つのステップからなるガイドラインだ。

（1）分析

　BCPには、組織のインフラや業務全体に悪影響を及ぼす可能性がある全てのものについて詳細な分析が含まれていなければならない。分析段階の一環として、さまざまなレベルのリスクを評価することも必要だ。

（2）設計と策定

　組織が直面する可能性があるリスクを明確化したら、次に計画の策定を開始する。原案を作成し、細部まで考慮されているかどうかを評価する。

（3）実施

　BCPを組織内に導入するために、BCPの周知に向けた従業員トレーニングが必要だ。危機管理について、全員が同じ認識を持つことが重要だからだ。

（4）テスト

　BCPを厳密にテストする。トレーニングでは、さまざまなシナリオを想定し、BCPの全体的な有効性を確認する。これにより、チーム全員がBCPのガイドラインに精通するはずだ。

（5）メンテナンスと更新

　脅威の状況は常に変化し、進化しているため、定期的にBCPを評価し直して、更新する必要がある。