あらゆる企業や組織にとって、地震や台風、洪水などの自然災害や、大規模テロ、パンデミック、さらにはシステム障害や不祥事などの様々な危機に遭遇する可能性を見据え、事業継続や早期復旧の方法を検討しておくことは非常に重要です。
これらのリスクへの備えが十分にできていないと、企業は経済的な打撃を受けるだけでなく、顧客ロイヤリティ低下、業務の中断、ひいては事業継続の危機に陥るかもしれません。
このような最悪の状況を回避するために、BCP対策やDR対策が不可欠となります。
目次
1. BCP対策とは?
BCP (事業継続計画)とは、緊急事態発生時に企業の事業継続のための方策を立てるための包括的な計画のことです。2011年の東日本大震災や、2020年の新型コロナウイルス感染症の流行などをきっかけに、その重要性を見直した企業も多いことでしょう。
1-1. BCP対策の概要
企業の規模や業種、立地条件などによって、具体的な内容は異なりますが、 BCP対策とは災害による被害を最小限に抑え、事業全体の継続に焦点を当てた戦略的な対策を指します。
主な対策として以下のようなものが挙げられます。
1-1-1. 重要業務の選定と対応手順の文書化
- 災害時にも優先して継続すべき重要業務を選定する
- 重要業務の実施手順やマニュアルを文書化する
1-1-2. データのバックアップと復旧体制の整備
- 重要データを定期的にバックアップし、遠隔地に保管する
- サーバー、PC、ネットワーク機器などの復旧手順を明確化する
- クラウド化により自社環境より堅牢なサーバーへデータを移管する
1-1-3. 代替施設や代替拠点の確保
- 災害時に業務を移転できる代替施設を事前に確保する
- テレワークが可能な環境を整備する
1-1-4. 非常用備蓄の準備
- 食料、飲料水、携帯トイレ、毛布などの備蓄を行う
- 非常用発電機や通信機器を準備する
その他、安否確認システムの整備や全従業員向けのBCP教育、サプライチェーンのリスク対策なども該当するでしょう。
これらの対策を組み合わせて実施することで、災害発生時の被害を最小限に抑え、重要業務を継続または早期に復旧させることができます。
1-2. BCP対策とDR対策との違い
DR(災害復旧計画)とは、システムやデータの復旧に特化したもので、BCPの一部を担います。
DR対策は、主にデータやシステムの復旧を重視する対策であり、DR対策もBCP対策の一部と捉えることもできます。ITシステムに焦点を当て、バックアップやレプリケーション、仮想化技術などを活用して、短時間でシステムを復旧させることを目的としたものです。
上記のBCP対策の中では「データのバックアップと復旧体制の整備」が該当します。
BCP対策とDR対策の違いを整理しましょう。
BCP対策は主に事業継続性とリスク管理に焦点を当てており、企業の中核業務の中断を最小限に抑えることを目的としています。
一方、DR対策はデータおよびシステムの迅速な復旧を重視し、災害発生時における情報の損失を最小限に抑えます。
対応策についても、BCPは主に組織の全体的な事業継続性に焦点を当て、通信手段、人員配置、設備の確保などを含む広範な対策を実施するのに対し、DR対策はデータのバックアップ、システムの復旧計画、代替オフィスの用意など、主にITと関連する対策に焦点を当てています。
2. BCP対策と通信確保
他社との情報のやり取りやクラウドサービスの普及など、企業活動においてネットワークは必須のインフラといえます。
安定したネットワークの確保は、BCPの実効性を大きく左右するため、様々な対策が必要となります。
2-1. 近年増加する災害リスクと企業への影響
自然災害や人為的な災害の頻発により、企業は深刻なダメージを被る可能性が高まっています。災害発生時に最優先されるべきは従業員の安全確保ですが、次いで事業継続への影響も無視できません。
通信網が寸断されれば、企業は外部との連絡が一切取れなくなり、顧客へのサービス提供や取引先との連携にも支障が生じ、生産拠点や物流網が遮断されれば製品の製造や出荷ができなくなります。また、データセンターがダウンすれば、クラウドサービスやシステムにアクセスできなくなる可能性もあります。
このように、災害による通信網や重要インフラの麻痺は、企業活動に壊滅的な影響を与えかねません。つまり、BCPの要は「通信」の確保といえます。
いかにネットワークを守り抜くかが、事業継続を左右する最重要課題となります。
2-2. 災害時に通信を守るため必要な準備とは
災害が発生した際に通信を確保するには、平時から様々な備えが不可欠です。
中でも重要なのが以下の3点です。
通信手段を一つに絞ると、その手段が使えなくなった場合に致命傷となります。
有線と無線、固定と移動体、さらにはキャリアを複数確保するなどして、通信経路を多重化することが大切です。
また、拠点を一か所に集中させるのではなく、バックアップ拠点を遠隔地に用意しておく必要があります。
東日本と西日本といったように距離の離れた地域を選び、そこにサーバーやネットワーク機器を設置しておけば、被災地の拠点がダウンしても業務を継続できます。
さらに、非常時に備えて、衛星携帯電話や無線機、移動用基地局なども準備しておくと安心です。電源確保のための発電機や蓄電池の用意も重要なポイントです。
このように、細かな備えを行っておくことで、災害発生時にもネットワークを維持し、企業の命綱となる通信を守ることができるのです。
2-3. 災害時の通信手段の種類と特徴
災害発生時に活用できる主な通信手段とその特徴は以下の通りです。
有線通信
| 通信手段 | 特徴 | 固定電話回線 |
・多くの企業で利用している ・設備の損壊で利用できなくなるリスクあり |
|---|---|
| 専用回線 |
・遠隔拠点との閉域網で使用 ・設備の損壊で利用できなくなるリスクあり |
| インターネット回線 |
・クラウドサービスやVPN接続に必須 ・設備の損壊で利用できなくなるリスクあり |
無線通信
| 通信手段 | 特徴 | スマートフォン (携帯電話) |
・キャリア側に問題がなければ利用可能 ・基地局や中継アンテナが被災すると利用できなくなるリスクあり |
|---|---|
| 衛星電話、衛星回線 |
・地上の通信インフラに依存せず、広範囲での通信が可能 ・機器の確保と運用コストがかかる |
| IP無線、MCA、MCAアドバンス |
・災害時の連絡手段として有効 ・高速で安定した通信が可能だが、専用の機器が必要となる |
この中から、複数の通信手段を組み合わせて活用することが重要となります。
電話、インターネット、無線の多重化によってリスクを分散し、障害発生時の代替通信経路を確保しておく必要があるでしょう。
2-4. 通信手段とバックアップ
たとえば、基幹システム保護の観点では、自社設備での管理よりもデータセンターやクラウドのようなオフィスよりも耐災害性やリスク対策に特化したサーバー環境の方がサーバー損傷によるデータ喪失には強いと言えます。
同時に、データセンターやクラウドへの通信経路を確保することも不可欠です。単一のネットワークに依存してしまうと、その回線が遮断された場合に業務に甚大な影響が出ます。回線断が発生した際に、各拠点に冗長用のサブ回線を敷設したり、直接インターネットバックボーン接続することで異経路で通信を行えるような構成にすることが重要です。
さらに、特定のキャリアのネットワークだけに頼らず、複数のキャリアの回線を組み合わせる「キャリア冗長」構成にすることで障害に強くなります。さらに万全を期すのであれば、異なるルートや回線種別を併用することが理想的です。
しかし、こうした回線冗長化やキャリア多重化には、多額のコストがかかるのが課題です。
平時から多くの通信費用を払い続けることになるため、費用対効果が合わないという判断を下すことになるかもしれません。
2-5. BCP対策における回線冗長化のメリットとデメリット
回線冗長化のメリット
回線が冗長化されていれば、1つの回線が不通になっても、他の回線に切り替えることで通信を維持できるため、障害発生時にも業務の中断を最小限に抑えることができます。
複数の回線を利用することで、特定の回線やキャリアに依存するリスク分散にもつながります。また、複数の異なる経路の回線を利用することで、経路障害に強くなり、通信の可用性と信頼性も高くなるでしょう。
回線冗長化のデメリット
一方、複数の回線を準備し、常に運用することになるため、多額のコストがかかうえに、回線の切り替え設定や監視体制など複雑な運用ができる専門的な知識を持つ人材と体制も必要となります。
このように、回線冗長化にはメリットとデメリットがあり、コストとリスク分散のバランスを考慮する必要があります。
2-6. 回線冗長化とコスト最小化を両立する具体的なソリューション
回線冗長化のデメリットを解消するための手段の1つとして、契約期間の縛りをなくしたり、DR拠点向けに平常時と緊急時の帯域需要に対応するサービスを検討しましょう。
例えばColtでは、必要な時に必要な分だけネットワークを利用できる「セルフオーダー式ネットワークサービスを提供しています。オンラインポータル上で即座に回線を開通・帯域変更できる設計環境も備えており、納期や管理上の手間も省くことができます。平時は帯域を最低限に抑え、緊急時のみ帯域をあげる、といった使い方も可能なため、BCP対策とTCO削減を同時に実現可能です。
導入事例
株式会社エアネット
DR拠点向け回線の帯域を柔軟にコントロールし納期短縮と大幅なコスト削減を実現
千代田化工建設株式会社
社内システムを安定して利用できる
キャリア冗長構成を短納期で実現
3. BCP対策とセキュリティ
サイバー攻撃によって生じるITリスクに対するBCPはサイバーBCPとも呼ばれ、両者は密接に関連しています。多くの企業がサーバー攻撃への対策をインフラ投資の中核として重要視していることが分かります。
IDC Japanは2024年4月8日、国内におけるITインフラ支出の動向調査の結果を発表した。「外部環境の変化やビジネスニーズへの迅速な対応の実現に向けたITインフラ投資」を最優先または優先のIT投資項目とした回答企業は86%に上った。また、事業開始当初からデジタルテクノロジーを中核とする「デジタルネイティブビジネス」企業では、ITインフラ投資を最優先のIT投資領域の1つととらえる企業が60.0%を占める。
(中略)ITインフラ投資においては、従業員規模を問わず、サイバーセキュリティ対策が最も重視する項目となった。
巧妙・悪質化するサイバー攻撃を完全に防ぐことは難しいですが、万全の備えで発生確率を抑えたり、万が一サイバー攻撃の脅威に晒された時に被害を最小限にとどめることができます。
事業継続性を高めるためには、BCPとセキュリティを統合して考えることが重要です。
3-1. サイバー攻撃の脅威と企業への影響
ネットワークを介してコンピューターや情報システムに影響を与えるサイバー攻撃への対策も、BCPに盛り込まなければなりません。とくに企業がランサムウェアに感染したり、重要データが流出したりすると、事業活動に甚大な支障をきたします。
金銭的損失に加え、社会的信頼を失墜させ、ブランドイメージが傷つくリスクもあります。
サイバーセキュリティを怠ると、企業は存続の危機に直面するリスクがあります。
3-2. ネットワークにおける多層防御
複雑化・高度化したサイバー脅威からの被害を防止するためには、ネットワークレベルで多層的に防御することが不可欠といえるでしょう。
たとえば、入口対策として、マルウェアや不正アクセスなどの外部からの攻撃を未然に防ぐため、ファイアウォールやセキュアネットワークゲートウェイなどによる対策が有効となります。
また、ネットワークのエッジだけでなく、不正アクセスを防ぎきれなかった際の内部対策として、複数レイヤーでネットワーク暗号化を行うことで、被害を最小限に抑えることができます。
さらに、DDoS(攻撃分散型サービス拒否)攻撃のようなサイバー脅威を検知・排除し、自動防御を可能とするサービスを導入することで、インターネット接続においても高い安全性を実現できるはずです。
これらのネットワークにおける対策を多層的に組み合わせて防御することで、サイバー攻撃を未然に防ぎ、事業継続性を高めることができます。
3-3. BCP視点でのサイバー攻撃への対応
サイバー攻撃を受け、被害が発生してしまった時の具体的な対応策も検討する必要があります。
以下は、サイバー攻撃への対処の一例です。
1. インシデントの早期検知
サイバー攻撃の早期発見は重要です。
SIEM(Security Information and Event Management / セキュリティ情報イベント管理 )などを活用して、不審なアクティビティや異常なパターンを検知し、被害状況を早急に確認しましょう。
2.システムの分離と停止
攻撃が拡大する可能性がある場合、影響を最小限に抑えるために感染したシステムやデバイスをネットワークから分離したり、シャットダウンを行ったりして、被害の拡大を食い止めます。
3.原因の特定と対処
ログ解析や監査ツールを用いて、攻撃者の侵入経路や使用した手口の分析を行います。
攻撃に使われた脆弱性が特定できれば、修正プログラムの適用や設定変更など原因に合わせた対処を行います。
マルウェア感染が疑われる場合は、セキュリティソフトウェアを使って感染範囲を特定し、駆除を徹底します。
4.ダウンタイムの最小化と復旧作業
攻撃や感染でサービスが中断した場合、事前に策定した復旧計画に基づいて、サービスのダウンタイムを最小限に抑えつつ、システムの復旧を実施します。
5.コミュニケーションと報告
関係者や顧客などへの正確な事実関係の開示と適切なコミュニケーションを実施し、説明責任を果たす必要があります。
サイバー攻撃は、発生してからでは対応が後手に回りがちです。平時からサイバー攻撃への備えと対策を整え、攻撃を察知したら迅速に初動対応できるようBCPの一環として準備しておくことが肝心です。
初期対応の成否が、被害の拡大防止や事業への影響を最小化する鍵となります。
4. まとめ
自然災害の多い日本において、BCP対策はあらゆる企業にとって最も重要な経営課題といえます。
なかでも通信手段の確保は、自社だけでなく、顧客や仕入先を含めたサプライチェーン全体での事業継続のためにも最優先で対応すべき事項です。
緊急時にもスムーズに事業を継続するため、堅牢なビジネス環境を構築しましょう。
関連資料
境界線のないセキュリティ対策
本資料では、企業がセキュアアクセスサービスエッジ(SASE)の活用によりデジタル・トランスフォーメーションを進める際、共にプロジェクトを進めるベンダーを一社に絞るシングルベンダー方式、複数のベンダーと提携するマルチベンダー方式のどちらの方法が最適か、それぞれの特長と併せて紹介しています。
