ビジネス継続性と災害復旧: どちらの計画が適切ですか? – IBM ブログ

事業継続計画と災害復旧計画は、企業が予期せぬインシデントに備えるために依存するリスク管理戦略です。これらの用語は密接に関連していますが、どちらが適切かを選択する際には考慮に値する重要な違いがいくつかあります。

• 事業継続計画 (BCP): BCP は、災害が発生した場合に組織が通常の業務機能に戻るために実行する手順を概説した詳細な計画です。他の種類の計画が復旧と中断防止 (自然災害やサイバー攻撃など) の 1 つの特定の側面に焦点を当てている場合、BCP は広範なアプローチを採用し、組織が可能な限り幅広い脅威に確実に直面できるようにすることを目指しています。
• 災害復旧計画 (DRP): BCPよりも詳細な内容であり、 災害復旧計画 緊急時対応計画は、企業が中断時に IT システムと重要なデータを具体的にどのように保護するかに関する緊急計画で構成されます。 BCP と並んで、DR 計画は、企業が大規模な停電、自然災害、災害などのさまざまな災害シナリオからデータと IT システムを保護するのに役立ちます。 ランサムウェア および マルウェア 攻撃、その他多数。
• 事業継続性と災害復旧 (BCDR): 事業継続と災害復旧 (BCDR) ビジネス ニーズに応じて、一緒にアプローチすることも、別々にアプローチすることもできます。最近、ますます多くの企業が 2 つの分野を一緒に実践する方向に移行しており、経営幹部が単独で作業するのではなく、BC と DR の実践に協力するよう求められています。これにより、2 つの用語が 1 つに結合され、BCDR となりました。, しかし、この 2 つの実践の本質的な意味は変わりません。

組織で BCDR の開発にどのようなアプローチを選択するかに関係なく、この分野が世界中で急速に成長していることは注目に値します。データ損失やダウンタイムなどの悪い BCDR の結果、コストがますます高くなるにつれて、多くの企業が既存の投資を追加しています。昨年、世界中の企業はサイバーセキュリティとソリューションに 219 億ドルを支出する予定であり、前年比 12% 増加しました。 International Data Corporation (IDC) による最近のレポートによると、 (リンクは ibm.com の外にあります)。

事業継続計画と災害復旧計画が重要なのはなぜですか?

事業継続計画 (BCP) と災害復旧計画 (DRP) は、組織が広範囲にわたる計画外のインシデントに備えるのに役立ちます。優れた DR 計画を効果的に導入すると、特定の脅威がもたらす可能性のある通常のビジネス機能に対するリスクを関係者がより深く理解できるようになります。事業継続災害復旧 (BCDR) に投資していない企業は、計画外のインシデントによるデータ損失、ダウンタイム、金銭的罰金、風評被害に見舞われる可能性が高くなります。

事業継続計画と災害復旧計画に投資する企業が期待できるメリットの一部を以下に示します。

• ダウンタイムの短縮: 災害により通常の業務が停止すると、企業が再び業務を再開するには数億ドルのコストがかかる可能性があります。人目を引く サイバー攻撃 特に有害であり、しばしば不要な注目を集め、投資家や顧客がダウンタイムの短縮を宣伝する競合他社に逃げてしまいます。強力な BCDR 計画を導入すると、直面する災害の種類に関係なく、復旧時間を短縮できます。
• 財務リスクの低減: による IBM の最近のデータ侵害コスト レポート、 4.45 年のデータ侵害の平均コストは 2023 万ドルで、15 年から 2020% 増加しました。強力な事業継続計画を持つ企業は、ダウンタイムを短縮し、顧客と投資家の信頼を高めることで、これらのコストを大幅に削減できることを示しています。
• 罰金の軽減: 顧客の個人情報が漏洩すると、データ侵害により多額の罰金が科される可能性があります。ヘルスケアおよび個人金融の分野で事業を行う企業は、取り扱うデータの機密性が高いため、より高いリスクにさらされています。これらの分野で事業を展開する企業にとって、強力な事業継続戦略を策定することは不可欠であり、重い罰金のリスクを比較的低く抑えることができます。

事業継続性災害復旧計画を構築する方法

事業継続災害復旧 (BCDR) 計画は、企業が個別ではあるが調整されたアプローチを採用する場合に最も効果的です。事業継続計画 (BCP) と災害復旧計画 (DRP) は似ていますが、別々に開発することが有利になる重要な違いがあります。

• 強力な BCP は、災害前、災害中、災害直後に通常の業務を継続するための戦術に焦点を当てています。 
• DRP はより事後対応的な傾向があり、インシデントに対応し、すべてを元に戻してスムーズに実行する方法を概説します。

効果的な BCP と DRP を構築する方法を説明する前に、両方に関連するいくつかの用語を見てみましょう。

• 目標復旧時間 (RTO): RTO は、計画外のインシデントが発生した後にビジネス プロセスを復元するのにかかる時間を指します。合理的な RTO を確立することは、企業が BCP または DRP を作成するときに最初に行う必要があることの 1 つです。 
• 目標復旧時点 (RPO): ビジネスの目標復旧時点 (RPO) は、災害時に損失しても回復できるデータの量です。データ保護は多くの現代企業の中核機能であるため、一部の企業では常にデータをリモートにコピーしています。 データセンター 大規模な侵害が発生した場合でも継続性を確保します。バックアップ システムからビジネス データを回復するために許容できる RPO を数分 (場合によっては数時間) に設定し、その間に失われたものはすべて回復できることを知っている企業もいます。

事業継続計画（BCP）の立て方 

事業継続計画に関しては、各企業の要件が若干異なりますが、規模や業界に関係なく、強力な結果をもたらす広く使用されている 4 つのステップがあります。

1. ビジネスへの影響分析を実行する 

ビジネス影響分析 (BIA) は、組織が直面しているさまざまな脅威をより深く理解するのに役立ちます。強力な BIA には、すべての潜在的な脅威と、それらがさらす可能性のある脆弱性についての堅牢な説明を作成することが含まれます。また、BIA は各イベントの可能性を推定するため、組織はそれに応じて優先順位を付けることができます。

2. 潜在的な応答を作成する

BIA で特定した脅威ごとに、ビジネスへの対応策を開発する必要があります。脅威が異なれば、必要な戦略も異なるため、直面する可能性のある災害ごとに、どのように回復できるかについて詳細な計画を作成することをお勧めします。

3. 役割と責任を割り当てる

次のステップは、災害発生時に災害復旧チーム全員に何が必要かを把握することです。このステップでは、期待を文書化し、計画外のインシデントが発生した際に個人がどのようにコミュニケーションをとるかを考慮する必要があります。多くの脅威は携帯電話ネットワークや Wi-Fi ネットワークなどの主要な通信機能を遮断するため、信頼できる通信フォールバック手順を用意しておくことが賢明であることを覚えておいてください。

4. 計画をリハーサルして修正する

準備した脅威ごとに、BCDR 計画がスムーズに機能するまで継続的に練習し、改良する必要があります。誰も実際に危険にさらすことなく、できる限り現実的なシナリオをリハーサルして、チームメンバーが自信を築き、事業継続が中断された場合にどのようにパフォーマンスを発揮できるかを発見できるようにします。

災害復旧計画 (DRP) を構築する方法

BCP と同様に、DRP は主要な役割と責任を特定しており、効果を発揮するためには常にテストされ、改良される必要があります。ここでは、DRP を作成するために広く使用されている 4 段階のプロセスを示します。

1. ビジネスへの影響分析を実行する

BCP と同様に、DRP は、会社が直面する可能性のある各脅威とその影響を注意深く評価することから始まります。それぞれの潜在的な脅威が引き起こす可能性のある損害と、それが日常の業務運営を妨げる可能性を考慮してください。追加の考慮事項としては、収益の損失、ダウンタイム、評判修復 (広報活動) のコスト、悪評による顧客や投資家の損失などが挙げられます。

2. 資産の目録を作成する

効果的な DRP を実現するには、企業が何を所有しているかを正確に把握する必要があります。これらのインベントリを定期的に実行すると、ハードウェア、ソフトウェア、IT インフラストラクチャ、および組織が重要なビジネス機能に依存しているその他のものを簡単に特定できます。次のラベルを使用して各資産を分類し、保護の優先順位 (重要、重要、重要でない) を設定できます。

• 重要： 通常の業務運営に重要な資産に依存している場合は、資産にラベルを付けます。
• 重要： 少なくとも 1 日に 1 回使用するもの、中断された場合に重要な操作に影響を与えるもの (ただし、完全にシャットダウンするわけではありません) にはこのラベルを付けます。
• 重要ではない: これらは、企業が所有しているものの、使用頻度が低いため、通常の業務には不可欠ではない資産です。

3. 役割と責任を割り当てる

BCP と同様に、責任を説明し、チーム メンバーが責任を遂行するために必要なものを確実に備えていることを確認する必要があります。以下に、考慮すべき広く使用されている役割と責任をいくつか示します。

• 事件記者: 関係者の連絡先情報を管理し、破壊的な出来事が発生したときにビジネスリーダーや利害関係者と連絡を取る人。
• DRP 監督者: インシデント発生時にチームメンバーが割り当てられたタスクを確実に実行できるようにする人。 
• アセット・マネージャー： 災害が発生したときに重要な資産を安全に保護することを仕事とする人。 

4. 計画をリハーサルする

BCP と同様に、DRP を有効にするには、継続的に練習し、更新する必要があります。定期的に練習し、意味のある変更が必要な場合はそれに応じてドキュメントを更新してください。たとえば、DRP の作成後に会社が新しい資産を取得した場合、それを今後の計画に組み込む必要があります。そうしないと、災害が発生したときに保護されなくなります。

強力な事業継続計画と災害復旧計画の例

事業継続計画 (BCP) が必要か、災害復旧計画 (DRP) が必要か、あるいはその両方が連携して取り組むか個別に取り組む必要があるかにかかわらず、他の企業が準備を強化するためにどのように計画を立てているかを確認するのに役立ちます。ここでは、企業の BC と DR の両方の準備に役立つ計画の例をいくつか紹介します。

• 危機管理計画: 優れた危機管理計画は、事業継続計画または災害復旧計画の一部となる可能性があります。危機管理計画は、特定の脅威にどのように対処するかを概説した詳細な文書です。これらは、停電、サイバー犯罪、自然災害などの特定の種類の危機に組織がどのように対応するかについての詳細な指示を提供します。具体的には、イベントが進行する間の時間ごと、分ごとのプレッシャーにどのように対処するかです。事業継続と災害復旧計画に必要な手順、役割、責任の多くは、適切な危機管理計画に関連しています。
• コミュニケーション計画: 通信計画 (または通信計画) は、事業継続と災害復旧の取り組みにも同様に適用されます。これらは、計画外のインシデント発生時に組織が PR 上の懸念に具体的にどのように対処するかを概説します。適切なコミュニケーション プランを構築するために、ビジネス リーダーは通常、コミュニケーションの専門家と連携してコミュニケーション プランを策定します。可能性が高く深刻であると考えられる災害に備えて、具体的な計画を立てている人もいます。, したがって、彼らはどのように反応するかを正確に知っています。
• ネットワーク復旧計画: ネットワーク復旧計画は、組織がインターネット アクセス、携帯電話データ、ローカル エリア ネットワーク (LAN)、ワイド エリア ネットワーク (WAN) などのネットワーク サービスの中断を復旧するのに役立ちます。ネットワーク復旧計画は、基本的かつ不可欠なニーズである通信に焦点を当てているため、通常は範囲が広く、災害復旧よりもビジネス継続性の面で考慮される必要があります。多くのネットワーク化されたサービスが業務運営にとって重要であることを考慮して、ネットワーク復旧計画は、中断後にサービスを迅速かつ効果的に復元するために必要な手順に重点を置いています。
• データセンター 回復計画: データセンターの復旧計画は、データ セキュリティと IT インフラストラクチャに対する脅威に焦点を当てているため、DRP よりも BCP に含まれる可能性が高くなります。データ バックアップに対する一般的な脅威としては、人員の過剰な負担、サイバー攻撃、停電、コンプライアンス要件への準拠の困難などが挙げられます。 
• 仮想化された復旧計画: データセンター計画と同様に、BCP は IT リソースとデータ リソースに重点を置いているため、仮想化復旧計画は DRP よりも BCP の一部となる可能性が高くなります。仮想化された復旧計画は以下に依存します 仮想マシン（VM） インスタンスは中断から数分以内に稼働を開始できます。仮想マシンは、高可用性 (HA) を通じて重要なアプリケーションの回復を提供する物理コンピューターの表現/エミュレーション、つまりシステムが障害なく継続的に動作する機能を提供します。

ビジネス継続性とディザスタ リカバリ ソリューション 

わずかな中断でもビジネスを危険にさらす可能性があります。 IBM は、クラウド・バックアップおよび災害復旧機能、セキュリティーおよび回復力サービスなど、さまざまな脅威に直面するビジネスの準備を支援する幅広い緊急時対応計画および災害復旧ソリューションを用意しています。

IBMの事業継続計画ソリューションでデータを保護し、迅速な復旧を実現します。