main menu

情報セキュリティ トピックス

IT-BCP 基礎理論

2026.03.16
印刷

総合研究部 主幹研究員 芹野 祐介

【もくじ】

Ⅰ.序論

Ⅱ.インフラ構築

Ⅲ.計画見直しの重要性

Ⅳ.IT-BCPを1から始めるには

Ⅴ.総括

クラウドバックアップとシステム復元により、ビジネス継続性を実現する様子

Ⅰ.序論

IT-BCP(IT Business Continuity Plan)とは、地震や水害などの自然災害、システム障害、サイバー攻撃、人的ミスといった不測の事態が発生した場合でも、企業のITサービスを継続、許容可能な時間内に復旧させるための計画です。現代の企業活動は基幹システム、クラウドサービス、ネットワーク、データ基盤などITに大きく依存しており、ITの停止は即座に売上の減少、業務の停滞、顧客満足度の低下、ブランド毀損へと直結します。そのためIT-BCPは単なる情報システム部門の対策ではなく、経営戦略の一部として位置付けられるべきものとなります。

IT停止が社会的・経済的に大きな影響を及ぼした事例は少なくありません。2022年にはKDDIで大規模な通信障害が発生し、広範な法人・個人利用者に影響が及びました。2021年にはトヨタ自動車の取引先がサイバー攻撃を受けたことで部品供給が停止し、国内工場の操業が一時停止しました。これらはITやデジタル基盤の障害が自社のみならずサプライチェーン全体に波及し得ることを示しています。IT-BCPはこうした連鎖的リスクも視野に入れて策定する必要があります。

Ⅱ.インフラ構築

IT-BCPの中核となる考え方の一つが、RTO(目標復旧時間)とRPO(目標復旧時点)の設定です。RTOは「どの程度の時間内に復旧させるか」を示し、RPOは「どこまでのデータ損失を許容するか」を示す指標です。例えば、ECサイトであれば数時間以内の復旧が求められる場合もある一方、社内の情報共有システムであれば一日程度の停止が許容される場合もあります。どのシステムにどの水準を求めるかは、事業への影響度を分析するBIA(事業影響分析)を通じて決定することが基本となります。

具体的な対策としては、業務データの定期バックアップ(フルバックアップ、差分バックアップ等の方法は問わず週単位、月単位で実施)とその多重化(同環境、別環境含め複数のバックアップ先を用意)、クラウドやデータセンターの冗長構成、ネットワーク回線の二重化、代替拠点の確保、テレワーク環境の整備などが挙げられます。また、ランサムウェア対策としてオフラインバックアップを保持することや、ゼロトラスト型のセキュリティ強化も重要です。技術的対策だけでなく、障害発生時の指揮命令系統、社内外への連絡体制、広報対応方針なども明文化しておくことが必須となります。

Ⅲ.計画見直しの重要性

IT-BCPは一度策定して終わりではありません。システム構成やクラウド利用状況、組織体制は常に変化するため、定期的な見直しと訓練が不可欠であり、机上演習や実地復旧訓練を通じて課題を洗い出し、改善を重ねることで実効性が高まることになります。特にサイバー攻撃は年々高度化しており、「発生しない前提」ではなく「発生する前提」で備える姿勢が求められます。

IT-BCPとは、「ITを止めないこと」そのものが目的ではなく、「事業を止めないこと」を最終目的とする経営施策であり、限られた経営資源の中で、どの業務を優先的に守り、どこまでの投資を行うかを合理的に判断することが求められます。デジタル化が進展する現代において、IT-BCPは守りの施策であると同時に、企業の持続的成長を支える基盤でもあります。適切に設計・運用されたIT-BCPは、危機発生時の損失を最小化するだけでなく、顧客や社会からの信頼を維持・向上させる重要なファクターとなります。

Ⅳ.IT-BCPを1から始めるには

実際にIT-BCPを策定する際には、全社の業務とIT資産を洗い出し、重要度を分類し、基幹システムや顧客データ、サーバやネットワークなど、停止すると事業に大きな影響が出るものを特定。自然災害、停電、サイバー攻撃、想定されるリスクを洗い出し、発生確率や影響度を評価することが必要になります。またIT-BCPはIT部門だけの問題ではなく、経営層との連携が必須となり、復旧目標や投資判断、DR発動判断は経営の意思決定が必要なため、定期レビューで方針やリスク評価を常にし続けることが重要です。

インフラとして、策定したRTO/RPOをもとに、復旧手段を設計します。災害復旧サイト(コールドスタンバイサイトまたは(待機系を停止状態で用意、障害時に起動する方式のサイト)、ホットスタンバイサイト(待機系を常時稼働させ即時切り替え可能なサイト))、クラウド利用、バックアップ取得・保管方式、ネットワーク冗長化を検討します。Amazon Web Services や Microsoft Azure 等のマルチリージョン構成(完全に独立した別環境を並列としたRaid環境の構成)を活用したクラウドDR(ディザスタリカバリ)が一般的となります。サイバー攻撃を前提にオフラインバックアップや不変ストレージ(一度書き込んだデータの変更、削除ができないストレージ(ランサムウェアに効果あり))の組み込みを検討し自社に合う環境を構築します。

Ⅴ.総括

IT-BCPの本質は「作ることより動かせること」です。IT-BCPは事業存続能力への投資であり、現場で実際に機能することが最重要となります。現場で実行可能な手順、定期テスト、経営判断に基づく目標設定を組み合わせることで、IT停止による事業リスクを最小化することが可能となります。進め方は、現状把握、 → 目標設定 → 復旧設計(インフラ整備) → 手順書作成 → 定期テスト → 改善・運用のサイクルを持続させることになります。現在日本はサイバー攻撃の過激化、自然災害がいつ自社を対象とするか予想ができない情勢のため、可及的速やかにITを含むBCPを策定させることが日本の企業において必須となっております。

Back to Top