「情報の視点」から見たBCPとDR

情報を守るという観点で、よく用いられるのが「DR」という言葉です。DRはBCPとのセットで「BCP/DR」と併記されることもよくあります。「DR」はDisaster Recoveryの略であり、いわゆる「災害復旧」です。BCPとの対比でDRP（Disaster Recovery Plan：災害復旧計画）、あるいはDR対策と記載されることもあります。ただしDRは、「災害復旧」全般を指すのではなく、「システム復旧」というIT寄りの意味で使われることが少なくありません。なぜでしょうか？

そもそもBCPという言葉が注目されるようになったのは、ニューヨーク同時多発テロ（2001年9月）や東日本大震災（2011年3月）以降のことです。とはいえ、金融機関や大手メーカーなどでは、基幹系システムの予期せぬ停止やデータ消失に備え、システムの二重化やバックアップシステムの構築といった対策を長年実施してきています。こうした対策を「DR対策」と呼んでいたため、BCPが一般化した今日でも、「システム復旧」という意味合いでDRが使われ続けていると思われます。つまり、「DR対策」や「DRP」は、ITに特化したBCPと考えてもらうのがいいでしょう。

今日の企業は情報資産なしには立ち行かない

今日、情報システムを利用せずに事業を行っている企業はほとんどありません。ECビジネスのように、情報システムなくしてはまったく成り立たない企業も増えています。にも関わらず、BCPには「情報の視点」が欠落しやすいといわれています。それゆえ、企業は事業の継続に必要となる情報資産をいかにして守るべきか、すなわち「DR対策」を考えておく必要があるのです。

企業の持つ情報資産の中で何より重要なのが「データ」でしょう。過去の取引データや製品の設計データなどデータベースに蓄積された非構造化データもあれば、従業員が作成した各種ドキュメントや電子メールなどのテキスト情報、コールセンターの電話でやり取りされた音声ファイル、プレゼンテーション用の動画ファイルといった非構造化データもあります。

もちろん、情報資産はデータだけではありません。データを活用するには基幹システムをはじめとする業務システムが必要ですし、顧客や取引先との接点となるWebサイト、スケジュール管理システム、入館システムなども欠かすことのできない存在です。さらに、それらの運用基盤となるITインフラやネットワークなども守るべき情報資産といえます。「DR対策」によって、こうした多種多様な情報資産を守っていかないと、事業の継続はままならないのです。

被災時に備え、守るべき情報資産とは何か

それではここで、経済産業省の「ITサービス継続ガイドライン」を参考に、守るべき情報資産について整理してみましょう。

データの保全

被災後に代替システムで運用を行う際には、事前に本番システムとの間でデータ同期しておく必要があります。RPO（Recovery Point Objective：目標復旧時点）とRTO（Recovery Time Objective：目標復旧時間）、すなわち過去のどの時点まで遡り、どれだけの時間で復旧させるかを、コストとの兼ね合いを考慮しつつ検討する必要があります。

情報システムの保全

仮想化技術を用いて分散したサーバーやストレージを統合しておけば、データやITインフラの日々の管理が容易になるだけでなく、被災時に代替システムをスピーディに立ち上げることが可能になります。また、構成管理ツールを用いて業務で使われている情報システムを管理しておけば、通常時のシステム変更やトラブル対処が容易になるだけでなく、被災時のシステム復旧にも役立ちます。

通信回線の確保

複数の拠点で基幹システムを運用している場合は、高品質かつ帯域保証されているネットワークが不可欠なため、被災時に備えて代替回線を用意しておく必要があります。また、従業員が端末から業務システムにアクセスしたり、取引先との情報のやり取りのためのネットワークの確保も必須です。さらに、大規模災害時には電話が通じにくくなったり、電子メールが遅延したりする可能性にも留意しておく必要があります。

電源の確保

被災後に事業を継続するためには、各種情報システムを稼働させるための非常用電源装置を準備しておく必要があります。

クライアント環境の保全

被災時には、従業員のクライアントPCが破損したり、従業員がオフィスに入館できない場合を想定し、代替となるクライアント環境を確保しておく必要があります。電子メールやファイル共有などをクラウドサービス（SaaS）に移行しておけば、被災時に他の端末から利用し業務を継続することも可能です。

DR対策のカギは「クラウド化」と「冗長化」

ここまで守るべき情報資産について紹介してきましたが、具体的にはどのように守ればよいのでしょうか。

昨今では、データセンターやクラウドサービスの普及により、社内サーバーで業務システムを運用するケースは減少傾向にあるようです。しかし、自社のサーバーに「情報資産を持たない」ことはDRを考えるにあたり重要な視点です。データセンターやクラウドサービスを提供している事業者は、耐震・免震や防火など被災時におけるサービス継続に熱心に取り組んでいるので、「データの保全」「情報システムの保全」「電源の確保」といった点については、信頼できる事業者との契約は良い手段の1つといえるでしょう。また海外ロケーションも含めた、複数の地域でデータをバックアップしておけば、より安心です。

「クライアント環境の保全」をするためにはPBXのクラウド化が有効です。オンプレミスで運用していたPBXが被災した場合、その復旧には時間がかかり、当然その間PBXも固定電話も使用できません。しかし、あらかじめPBXをクラウド化しておけば、インターネット環境さえあればどこからでも電話を利用することができます。また災害後、従業員がオフィスに出社できない状況に備えて、各従業員が持つスマートフォンを内線化しておくことも有効です。さらに、電子メールやファイル共有などをクラウドサービスに移行しておけば、平時と変わらない環境で業務に取り組むことができるでしょう。

残るは「通信回線の確保」です。仮に情報システムやデータに被害がなく、従業員の手元に端末があったとしても、業務システムにアクセスする手段が失われてしまえば事業の継続は困難です。そもそも通信手段がなければ、経営層の判断を全社に伝えたり、従業員に指示したりすることもままなりません。そういう意味でも、事業継続の根幹となり得るネットワークの冗長化は最優先すべき「DR対策」と言えるでしょう。