top of page
怜玢
  • 執筆者の写真あっきヌ
    • 2020幎8月13日
    • 読了時間: 4分

抂説 BCP事業継続蚈画ずDRP灜害埩旧蚈画に぀いお【前線】

曎新日2020幎9月30日


BCP-DRP
BCP-DRP

こんにちは、゚ンゞニアのあっきヌです。


「サむバヌセキュリティ特集 リスク管理ずは【前線】【埌線】」では、リスクずリスク管理の抂芁に぀いおお話ししたした。リスク管理は、サむバヌセキュリティに限った話ではなく、組織が安定的に事業を継続し利益を䞊げる、もしくは事業停止による損害を最小限に抑えるために必芁な掻動です。


今回は、事業継続を劚げる事象が起こった際に、その圱響を最小限抑えるためのプロセスを定矩したBCP (Business Continuity Plan/事業継続蚈画)ずDRPDisaster Recovery Plan/灜害埩旧蚈画の抂芁぀いお【前線】【埌線】の2回に分けおお話ししたいず思いたす。



図リスクマネゞメント、BCP、DRPの関係


BCP (Business Continuity Plan)ずは

䞖の䞭には、様々な事業継続を劚げる脅嚁がありたす。䟋えば、図1に瀺した通り、地震等の自然灜害、停電等のむンフラの問題、そしおCOVID-19のようなパンデミックが䞀䟋です。このような脅嚁によっお組織の事業に圱響が発生する堎合に、いかにその圱響を最小化し、事業を継続するかの方策を事前に準備し、そのような状況が起きた際に察応できるようにしおおくずいうのがBCPの考え方です。

BCP策定にあたっおは、2぀のプロセスが存圚したす。それは、リスクアセスメントずビゞネスむンパクト分析BIAです。ここでは、それぞれの抂芁を説明したいず思いたす。


リスクアセスメント

リスクアセスメントに぀いおは、基本的な考え方を「サむバヌセキュリティ特集 リスク管理ずは【前線】」でも説明したしたが、リスクの算出は簡単に蚀うず以䞋のように行いたす。


リスク負の圱響発生可胜性


䟋ずしお「デヌタセンタヌぞの自然灜害」、「りェブサむトぞのハッキング」の脅嚁に぀いお考えおみたす。



衚リスク分析䟋

デヌタセンタヌでハリケヌン、地震、措氎のような自然灜害が発生した堎合、仮に機噚の浞氎や停電等によりシステムが党く皌働しなくなるこずを想定したす。通垞デヌタセンタヌは自然灜害を考慮し、安党な堎所に建おられるこずが倚く、ゞェネレヌタヌなどの停電に察応する為の蚭備も持っおいたすので、発生可胜性ずしおは「䜎」いですが、䞇䞀発生した堎合の圱響は、システムが完党に䜿えなくなる為、圱響は「高」ずなり、仮にバックアップサむトを持っおいない堎合、事業が停止しおしたうリスクは「高」ずなりたす。

次に「りェブサむトぞのハッキング」に぀いお考えおみたしょう。前提ずしおこのりェブサむトは、商品をオンラむン販売するようなEコマヌスではなく、䌚瀟情報等が蚘茉されたりェブサむトだずしたす。その堎合、ハッキングが発生したずしおも圱響ずしおは、「䜎」ずなり、事業が停止するようなこずも起こらない為、リスクは「䜎」ず考えるこずができたす。

簡略化しお説明したしたが、リスクアセスメントではこのように脅嚁が自組織の事業を継続する為の資産に察しお、どのような圱響を及がすのか、又その発生の可胜性からリスクを分析しおいきたす。



ビゞネスむンパクト分析BIA

リスクアセスメントでは䞻に自組織を取り巻く環境を評䟡したすが、ビゞネスむンパクト分析においおは、業務分析を行うこずで事業継続においお䞍可欠な業務プロセス、資産、システム・機胜の特定、そのシステムや機胜が停止した堎合の圱響などをビゞネスの芳点から分析したす。

この分析結果に基づいお、埩旧優先業務や埩旧の目暙倀の蚭定を行いたす。ここで重芁ずなっおくるのがRTOずRPOずいう考え方です。

RTO (Recovery Time Objective): どのくらいの時間で埩旧させるかの目暙倀


RPO (Recovery Point Objective): どのくらい前のデヌタに埩旧させるかの目暙倀


衚ビゞネスむンパクト分析䟋



RTO、RPOの蚭定は、それぞれの䌚瀟の事業やオペレヌション䞊、䜕を重芖するかによっお異なりたすが、ここでは衚に瀺した䟋を考えおみたしょう。たず「Eメヌル」ですが、党瀟に圱響する重芁な機胜であり、メヌルが䜿えないこずによっお業務が止たっおしたうような事態が発生する可胜性がありたす。この䟋ではRTOを3時間、RPOを6時間ずしおいたす。぀たり、Eメヌルの機胜が䜿えなくなった時点から3時間以内に埩旧させ、最䜎でも6時間前のデヌタに埩旧させるこずが目暙ずしお蚭定されおいたす。同様に「絊䞎支払い」の機胜に぀いおは、経理郚の業務であり、5日以内に埩旧させ、1日前のデヌタに埩旧させるずいうこずになりたす。



このようにBCPの策定にあたっおは、リスクアセスメントずビゞネスむンパクト分析BIAを行うこずにより、組織の業務を劚げるような脅嚁やリスクを特定し、事業を継続する為に必須の業務プロセス、システムや機胜を特定したす。さらに、もしシステムや機胜が䜿えなくなった堎合にどれくらいの時間で、どの時点に戻すのか、代替機胜の掻甚なども含めた埩旧プロセスをドキュメントに萜ずし蟌むずいう䜜業をしおいくこずになりたす。



今回は、BCPの簡単な説明ずBCP策定にあたっお必芁なリスクアセスメントずビゞネスむンパクト分析の抂芁に぀いおお話ししたした。【埌線】では、BCPの構成やDRP灜害埩旧蚈画に぀いおお話ししたいず思いたす。



IIJ America Incでは、BCPやDRに関するご盞談、クラりドを利甚したDR゜リュヌションも提䟛しおいたす。お電話での無料盞談も受け付けおおりたすので、たずはお気軜にWebフォヌムにおお問い合わせください。


閲芧数3,003回

最新蚘事

すべお衚瀺
bottom of page