> > 災害復旧計画における重要項目とは

RSSフィード

災害復旧計画における重要項目とは

自然災害発生後の事業立て直しに不可欠な災害復旧計画を考える

dc-drp.jpgサイバー犯罪者のマルウェア攻撃に対する防御策を考えていると、つい忘れがちになってしまうのが自然災害です。自然災害も壊滅的なデータの消失やサーバー障害を引き起こす可能性があります。イースタンケンタッキー大学の調査によれば、自然災害が世界にもたらした経済的損失は、2000 年からの累積額で約 265 兆円(2.5 兆ドル)にのぼり、特に中小企業が大きな影響を受けています。中小企業の 4 社に 1 社は災害後に事業を再開していません。原因としては、売上減やデータの消失など、事業があまりに著しく大きな打撃を受けた可能性が考えられます。このような場合、被害額は一日あたりの平均で 32 万円弱(3,000 ドル)にも及びます。

自然災害が起きても事業を継続可能とするには、事業規模の大小に関係なく、災害復旧計画(DRP:Disaster Recovery Plan)を用意しておくことが肝要です。

災害復旧計画とインシデント対応計画の違い

災害復旧計画が対象とするのは自然災害と人為的災害であり、台風や地震、漏電火災に停電など、多岐にわたる災害をカバーします。他方、インシデント対応計画はセキュリティ侵害やサイバー攻撃をはじめとするサイバー犯罪の脅威への備えとして作成します。これが両者の違いです。

災害復旧計画における重要項目

どのような内容を災害復旧計画で定める必要があるかは、ビジネスモデルや顧客の種類、業種、所在地などによって変わりますので、企業ごとに異なります。たとえば、ビジネスプロセスの異なる企業では、流通網も異なるでしょうから、これが計画の違いになって現れます。米国の南部沿岸地帯に本社を置く企業ならハリケーンに対する備えが必要ですし、カリフォルニア州であれば地震による潜在的な被害を想定しなければなりません。さらに、停電でサーバーに被害が及んだ場合も、会社によって影響は異なるでしょう。サーバーが停止すれば、地域の配管工事を請け負う会社よりも、おそらく Amazon の方が被害は大きいでしょう。

すべての企業で使えるような、型にはまった計画は存在しません。とはいえ、災害復旧計画を策定する際に、あらゆる企業が検討すべき重要ポイントはいくつか存在します。

事業に対する影響の評価
災害復旧計画を策定するときは、最初に事業影響評価(BIA:Business Impact Assessment)を行う必要があります。BIA では、事業におけるクリティカルシステム群を特定し、システム別に優先度を評価します。この評価に基づいて、各システムの目標復旧地点(RPO:Recovery Point Objective)と目標復旧時間(RTO:Recovery Time Objective)を設定します。

RPO は、データがバックアップされていなかった場合に、どこまでデータの損失を許容するかを決めるときのよりどころとなります。一方、RTO は、障害の発生後、システムが正常な稼働状態を取り戻すまでにかかる時間です。

オフサイトの格納施設
障害からの復旧プロセスに不可欠なバックアップ用サーバーやハードウェア、その他資材は、本社とは別の場所に置く必要があります。組織の本社がカリフォルニア州のサンアンドレアス断層に近い場所にあるなら、地震の被害を受ける可能性がありますから、同じ地震の影響を受けないよう、十分に遠く離れた場所に格納施設を確保しなければなりません。南部カリフォルニア地震センターのディレクターは、サンアンドレアス断層で巨大地震が起きれば、そこから 640 キロメートル(400 マイル)以上離れたサンディエゴ市にいても、揺れを感じるだろうと予測しています。

コミュニケーション計画
災害復旧計画には、復旧プロセスを進行するのに必要な従業員とサービスプロバイダーの一覧を含めるようにします。また、災害発生時に組織の各人がどのような役割と責任を持つのかを決めておきます。

明瞭かつ端的な指示
数百ページにも及ぶ災害復旧計画は実行に移すのが難しくなります。反対に、簡潔にまとめたものであれば、簡単に実行できます。簡潔にまとめるには、復旧のシナリオごとに、行わなければならないタスクのチェックリストを作成するとよいでしょう。

災害の被害を最小限にとどめるには、スピードがとても大切です。入念に、よく整理された形で災害復旧計画を策定しておけば、企業は災害時の被害を最小限に抑え、短時間で復旧して事業を再開できます。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Key Elements of a Disaster Recovery Plan - [2016 年 8 月 3 日投稿]