事業継続 プラン(BCP)とは？

事業継続プラン（BCP）とは、ハリケーン、火災やデータ漏洩など予期せぬ自然災害や人災の際に、オペレーションを再開する方法に対するロードマップを提供し、会社の経営陣が取り組み、経営陣によって承認されるプロセスです。

災害に遭遇した場合、事業継続プランがなければ、ビジネスは機能しなくなる可能性があります。

事業継続プランとはどのようなものでしょうか？ 

事業継続プランは企業の競争上の優位性を左右するものです。

規模の大小に関わらず、あらゆる組織が事業継続プランを設定し、実際に予行演習を行うべきです。万が一災害に遭遇した場合、事業継続プランが無ければ大混乱となり、従業員の負傷や死亡、企業イメージダウン、コンプライアンス順守を怠ったことに対する罰金、従業員の生産性低下、業績ダウンや財政的損失を引き起こしかねません。

事業継続プランを持たない企業の内75%が災害発生から3年以内に倒産しています。米国連邦緊急事態管理局（FEMA）が公開している報告書によると、中小企業の40%が災害後に事業再開がかなわず、25%が1年以内に倒産しています。

事業継続プランが重要な理由は？

事業主や企業経営者は非常事態時に対して事業継続プランを持たないことがどれほど事業にとって高くつくかを理解すべきです。例えば、調査会社のIDCはＦｏｔｕｎｅ1000企業に対する典型的な費用を下記のように報告しています：

• 事業継続プランがない場合のアプリケーションダウンタイムによる平均合計損失は年間12.5億～25億ドル
• インフラ障害の1時間当たりの平均損失は10万ドル
• 非常に重要なアプリケーション故障時の1時間当たりの平均費用は50万～100万ドル

中小企業（SMB）にとって、ダウンタイムの推定費用は1分間あたり数百ドルから何千万ドルにもなります。企業にとってどれほどの費用がかかるかは、事業の性質や規模によって異なります。

事業が経営停止になった場合、どれほどの費用がかかるのかを計算するには、下記すべてを計算に入れておかなければなりません：

• 売上減
• 従業員の生産性低下
• 従業員、特にIT要員のストレス増
• 顧客の不満
• ブランドイメージダウン
• 規制へのコンプライアンス順守を怠ったことに対する刑罰
• （社内外の両方に対する）サービスレベルの低下

事業継続プランの3つの重要な要素とは？

事業継続プランとは、事業プロセスの継続性を確保しながら、潜在的な脅威からのリスクを特定、対抗、軽減するためのものです。

総合的な事業継続プランは3つの主な要素で構成されています。下記で説明していきます。

緊急事態対応プラン

緊急事態管理プランにより、社員の健康や安全に与えるマイナスの影響を軽減し、非常事態の混乱による全体的な影響を軽減するための総合的なガイドラインとプロトコルを提供しています。

ここでは、スタッフが迅速かつ効率的に脅威へ対処できるように、全社員への教育が必須です。

緊急事態対応プランには下記が必要になります

• 非常事態対応者の明確な目標
• 非常事態時の連絡先情報
• 避難ルートとステージング領域の作成
• 非常事態時対応コミュニケーションの評価と強化

プランを作成したら、意図したとおりにあらゆる重要機能が運営できるか、災害遭遇時に結果を出すことができるかを保証するためのレビューやテストが必要不可欠です。

コミュニケーションプロトコルと危機管理

事業継続プランを策定する時、「危機管理」と「非常事態管理」は区別しましょう。危機管理とは、非常事態対応と運用回復ステージの間をつなぐものです。

効果的な事業継続プランは徹底した危機管理プランニングプロセスに依存しています。どんな危機管理プランでも下記事項を実行すべきです。

• 意思決定プロセスと担当社員の行為を支援するために利用可能なリソースを確認する

• 危機管理を行い、危機から回復するための指示を提供するため重要な機能を特定する
• 主要担当者の活動を追跡し、インシデント救済を連携させるためのステータスダッシュボードを作成・監視する
• 必要なコミュニケーションプロトコルの要点を説明するための不測事態プランニングを開始する

災害は予告なく発生します。災害は最も経験豊かな人の力さえも試すものなので、事業継続プランがうまくいくために、社員を訓練し、危機管理プランにおけるギャップを特定し、担当チームが徹底して備えることが重要です。

事業の運用回復

事業継続マネジメントの3つ目の柱は運用回復プランです。運用回復プランにより、社員とビジネスアセットが守られ、業務の混乱、非常事態、危機やサイバー攻撃後に事業基本機能が復元されることが保証できます。

運用回復プランには下記を含むようにして下さい：

• 重要ビジネスエリアに対するリスク評価
• 現実的な目標復旧時間（RTO）の予測
• 管理システムを割り当て、回復戦略を作成して、事業継続チームがプライマリサイト、リモートオフィススペース、データセンター環境やバックアップサイト（複数の場合あり）のセキュリティリスクを管理可能に
• 事業影響分析を行い、オフィスでの生産性、物流、サプライチェーンや収入の流れに対する重大な脅威の影響を特定

事業継続プランテンプレートは書面上では完璧であるかのように思われます。しかし、脅威とセキュリティ問題は事業中断後に悪化することが多々あります。自然災害、テクノロジー故障や人的エラーなど、事業継続プランへの潜在的なあらゆる脆弱性を特定し、適切に備えることが重要です。

事業継続プランニングに関わるべき人は？

チームを集合し、プラン作成を率いるために、まず事業継続マネージャ（BCM）を決めます。この人物が成功するためには、組織のトップレベルからのサポートが欠かせません。これは、プログラムには運営委員会を通じて、エグゼクティブスポンサーと上級管理職の関与が絶対に必要であることを意味しています。

経験上、エグゼクティブスポンサーが関与している事業継続プランは、スポンサーが関与しないＢCPよりも目標復旧時間（RTO）を達成できる可能性が高いことが分かっています。

BCMがチームに参加する人物を組織全体から選択します。どんなタイプの不測の事態が起こりえるのか、不測の事態が自然災害や天候に関連する事態であるのか、火災であるのか、従業員や施設周辺への脅威であるのか、妨害であるのか、従業員のストライキであるのか、IT障害なのか、機器故障なのか、悪意あるソフトウェア攻撃なのか、データ漏洩なのか、従業員の安全問題なのか、サプライチェーンの中断、停電、所有物の損傷、所有物の盗難、製品安全問題、社会不安やテロリスト攻撃、マネジメントや会社の企業イメージに関連するスキャンダル、企業トップの死亡や予期せぬ離職であるのかに基づいて選択を行います。

BCPチームメンバーには一般的に下記が含まれます：

1. エグゼクティブスポンサー
2. 事業継続マネージャ（BCM）
3. セキュリティオフィサー
4. チーフ・インフォメーション・オフィサー
5. 主要ベンダーとパートナー
6. 下記を含む各部門のリーダー：ファイナンシャルリスクマネジメント／コンプライアンス、顧客サービス、施設マネジメント、パブリックリレーションズと従業員コミュニケーション、人事、製造／流通、IT、オペレーション、物流

クリティカルな事業機能に関して、事業継続とITディザスタリカバリの違いは？

多くの人が事業継続プランニングとディザスタリカバリを同じだと考えていますが、実は異なります。

事業継続プランとは、災害後に組織が事業を維持または再開できるように、会社のオペレーションを再開するための目標復旧時点（RPO）とRTOを設定し、方向性を提供するものです。非常事態非難を起動するプロセスや手順を明確にまとめ、役割、責任や連絡先の特定を目的としています。

従業員が仕事に必要なシステム、アプリケーションや電話に必要に応じてアクセスできる、安全な仮の職場を確保します。また、重要な事業プロセスがアップされ実行中であり、社内外コミュニケーションが再開され、ＷＥＢサイトがオンラインで、その他の重要なオペレーションを中断することなく継続できます。

ITディザスタリカバリプランは、事業継続プランのサブセットです。DRは、システム、ネットワークやデータなどのテクノロジーサービスを「従業員のデスク」に回復するためのものです。その後、事業継続プランが引き継ぎ、従業員が通常のビジネスオペレーションを再開するために必要なその他のすべてのツールが備わった「デスク」での仕事に戻れるようにします。

IT DRプランの作成にサポートが必要な場合、「IT災害復旧のための効果的な予算編成方法」」をダウンロードして下さい。この書類ではITリスクへの準備について説明しており、効果的なディザスタリカバリコストと企業固有のインフラに合わせたIT継続コストを見積もる上での明快な予算編成アプローチを提供します。

事業継続プランには何が含まれるでしょうか？

事業継続プランの策定は多くの企業にとって困難であるように思えるかもしれません。とはいえ、ビジネスには災害やサイバー攻撃を切り抜けるための総合的戦略が必要です。

下記にほぼすべての事業継続マネジメントプランの一般的な構成要素を挙げます。

コミュニケーションガイドライン

ビジネス機能が停止した場合、スタッフ、クライアント、ビジネスパートナーやサプライヤーにどのようにコミュニケーションするかを知っておくことは非常に重要です。ここでは、非常に重要なメッセージを伝えるセカンダリコミュニケーションラインを妨げないようにすることがベストです。

非常時の連絡先

プランには、災害時のすべての従業員に対する明確なコンタクトポイントが必要です。また、BCPを監督し、すべての従業員が責任者に連絡する方法を知っておけるように責任者（または責任チーム）を任命しておく必要があります。

事業影響分析と脅威評価

ダウンタイムと売上減に繋がりかねない潜在的な脅威を理解しておくことは非常に重要です。説明した通り、機能停止には様々な理由があり、それらを分類し、リスクレベルを割り当てる必要があります。

プロセスを容易にするため、下記2点を前提にしましょう。

• 脅威が起こる可能性はどの程度あるのか？
• その脅威がビジネスオペレーションにどの程度影響を与えるのか？

また、日常プロセスの停止が企業のソフトウェアやデータバックアップコスト、オンサイトコンピュータシステム、ビジネス機能効率や顧客満足度にどの程度影響を与えるのかを考慮して下さい。

これらすべてを予測することで、災害によりどの程度の収入が失われるのかを予測するのに役立ちます。

業者やサプライヤー

BCPは業者、サプライヤー、ビル所有者およびITとバックアップサイトプロバイダーに中断されることなく連絡できることが生命線です。彼ら全員と連絡が取れることにより、ディザスタリカバリに関連するストレスを幾分軽減できます。

回復プロトコル

回復戦略にはすべてのビジネスに不可欠なオペレーションを理解し、回復の優先順位を付ける必要があります。システムをアップし、実行し続けることは災害復旧プランの第一段階と言えます。段階ごとにプランを実行することをお勧めします。これにより、人的エラー、システム故障やミスコミュニケーションによるリスクを軽減します。

DRプラン

頑強なBCPには、自然災害（洪水、火災、台風、嵐など）後のビジネス機能を管理するための専用プランが必要です。

自然災害があなたの企業のプロセスに影響を与える可能性を予測することは必要不可欠です。そして、従業員を守り、ダウンタイムを最小限に抑え、安定した収入源を確保するための特定シナリオで何をすべきか要点を説明するためのプランを作成すべきです。

事業継続プラン作成時のよくある間違い

事業継続プラン作成時にいくつか間違いを犯すことがあります。下記にいくつか挙げます：

ITとビジネスは一致しない

あなたが中小企業のオーナーだとします。昨年、あなたの組織は事業継続プランを作成しました。今日、あなたはプランのコピーを求め、レビューすることにしました。プランを読み進め、あなたは重役のメールのRTOが24時間であると知って驚きました。あなたはチームの誰からもそのことについて尋ねられた記憶がありません。あなたとマネージャ達は災害発生から4時間以内にメールシステムは利用できると思っていました。なぜあなたやその他のマネージャに相談がなかったのか、事業の他の部分でも事業継続プランの適用範囲で対処されていない要件があるのではないかとあなたは思っています。

第一に、事業継続プランニング戦略を実施する際、マネジメントチームが関わらなければなりません。さらに、BCMチームには、事業全体のその他の部署で選ばれた意思決定者、財務関係者、主要利害関係者、カスタマーサービス担当者、信頼できるサプライヤーやIT担当者が含まれるべきです。このような担当者達が積極的に関与し、事業継続プランと活動が組織目標と一致していることを保証しなければなりません。各部門と事業全体の事業継続戦略に関して、彼らが意思決定できなければなりません。

各チームメンバーは、製品やサービス、その提供方法を含む、組織のオペレーションについて時間をかけて理解しなければなりません。この理解があれば、チームはプログラムをよりうまく運営でき、組織の災害時復旧を保証できます。

BCPをテストしていない

あなたはチームに事業継続プランのテストレポートのコピーをお願いしました。そして、プランが一度もテストされていないことを知りました。

テストしたことのないプランなら、まったくプランがないのと同じです。継続的なテストなしでは、戦略によりあなたの会社が災害から復旧できることを保証できません。

最近の記事で、RockDove SolutionsのCOOであるクリストファー・ブリットン氏はどのプランも下記のように施行することを提案しています：

• プランの各要素に関するハイレベルチェックであるチェックリストを1年に2回行う。
• 全利害関係者の参加を要する非常事態訓練を年1回実施する。これにより、災害時の各参加者の役割を強化し、プランがうまく作用することを保証します。
• 2年に1回卓上レビューを実施する。このレビューでは、非常事態マネジメント役割や責任を割り当てられた主要担当者が集まってシミュレーションされた非常事態について話し合います。
• 2年に1回、あるいは主要ITインフラ変更、合併や事業経営へのその他の大きな変化など組織に重大な変更があった時に、包括的レビューを実施する。このタイプのレビューにより、利害関係者が現在のプランをレビューでき、新たなリスクを特定し、それに沿ってプランを更新できます。
• 復旧テスト演習を2､3年毎に実施する。このタイプのレビューでは、プランを完全にテストし、ギャップを特定し、従業員が各自の役割を実施するのをサポートし、組織が計画しているRTOとRPOに従って復旧できることを確認します。

BCPが時代遅れ

チームが事業継続プランの初回版を作成してから、IT環境を一部仮想化したことに気が付き、あなたはプランにこのようなITインフラ変更が含まれているか尋ねました。そして、BCPが一度も更新されていないと聞かされました。

組織がオペレーションに変更を実施した時には新たなリスクカテゴリがうまれるので、すぐに事業継続プランを更新しなくてはなりません。利害関係者が定期的に集まり、プランに影響を与えるような事業への変更事項について話し合わなければなりません。

新しい脅威がBCPソリューションで考慮されていない

新しい脅威はすでにプランに含まれている他の災害と同様の破壊力を持っている可能性があるので、新しいリスクやサイバー脅威に対処するために常にプランを更新しなければなりません。

2021年上半期に、5社中4社の組織が、サードパーティベンダーのエコシステムにおける脆弱性に起因するサイバーセキュリティ問題を体験しました。あなたが自分の中小企業など「小さすぎてターゲットにはならない」と信じている場合、あなたのITサービスプロバイダーをターゲットにした増加し続ける自動サプライチェーン攻撃を受けるリスクがあります。

数多くの中小企業は、システムやデータを守り、安全に保つために適切な行動をとっていません。これだけでも、攻撃の主要ターゲットとなります。 

事業継続プランと災害復旧プランはサイバーセキュリティを重視していなければならないので、企業は自社が攻撃を切り抜けることができ、また迅速に切り抜けられるという確信がなければなりません。   

事業継続プランがなければ、今すぐ作成開始すべきです

もしあなたが会社の重役でなければ、あなたの最初の目標はBCPへのエグゼクティブスポンサーを得ることです。開始点として、この記事をすべての重役に転送し、話し合いを始めて下さい。エグゼクティブスポンサーを得たら、予算が許せば、コンサルタントを雇い、プラン作成をサポートしてもらうことを検討してみて下さい。あるいは、プロセスを導いてくれるダウンロード可能なプランテンプレートをオンラインで探してみて下さい。（ただし、一般的なテンプレートはあらゆる企業独自の観点をカバーできない点を念頭において下さい。担当チームは貴社の特定のニーズや要件に合うようにテンプレートをカスタマイズするべきです）

貴社業界に最も影響を与えやすいタイプの災害を検討・優先し、そのような災害に最初に対処するプランを作成して下さい。最も重要なのは、定期的にプランをテストし、潜在的な災害の影響を軽減するために機能するプロセスを持つことです。

事業が継続的に進化するにつれて、プランも進化しなければならないことを覚えておいて下さい。プランを常に更新しなければならないことに関して詳細は、「あなたの事業継続プランは本当にまだ有効か?」を再検討して下さい。

事業継続プランニングは事業にとって適切か？

災害に遭遇した場合、事業継続プランはビジネスを継続するために非常に重要です。

どんな企業も火災や異常気象による大惨事から免れることはできません。おそらくもっと重要なのは、ビジネスデータに対するランサムウェア、マルウェアやその他のハッカー攻撃のような人災が驚異的なスピードで増加していることです。

どんな企業も潜在的な災害から守るためにプロアクティブな手段を講じる必要があります。どんな企業も災害に遭った場合（あるいは遭った時）、ビジネスオペレーションを再開する準備をしておくことが最も重要です。実践的で十分に立証されたバックアップ戦略を含む、テスト済みで更新済みのBCPを持つことが最善策であると言えます。

Acronisがあらゆるビジネスを保護する方法 - 完全な事業継続ソリューション

事業継続プランと災害復旧プランと同様に重要なのは、どんな事業でも、障害発生後でもビジネスオペレーションを確保できる適切なサイバーセキュリティソリューションを持っておかなければならないことです。

Acronis Cyber Protectは、中小企業や大企業に下記を提供しています：

• サイバーセキュリティとエンドポイント保護管理、脆弱性評価とパッチ管理、リモートデスクトップとドライブヘルス
• URLフィルタリングと自動バックアップスキャニングを含む、フルスタックで次世代マシンインテリジェンス（MI）ベースのマルウェアに対する保護
• どんなインシデントからでもデバイス上のアプリ、システムやデータを迅速かつ確実に回復

Acronis Cyber Protectはサイバー保護に対する革新的なアプローチを使用しています。サイバーセキュリティをデータ保護と統合し、複雑性を排除し、今日の脅威に対してより優れた保護を提供し、時間やお金を節約して効率を最大限に上げます。 

Acronis Cyber Protect Cloudにより、マネージドサービスプロバイダー（MSP）に対して、統合バックアップ、災害復旧、次世代アンチマルウェア、メールセキュリティ、エンドポイント保護管理、脆弱性評価とパッチ管理機能を提供し、脅威がクライアント環境を損なう前に検知・排除します。

Acronisがあれば、MSPはコストを低く抑えながら、クライアントのリスクをよりうまく軽減/排除できます。サイバーセキュリティ、データ保護とエンドポイント保護管理をネイティブに統合しながら、クライアントのエンドポイント、システムとデータを守ることができる唯一のソリューションです。

また、下記も提供しています：

• フルイメージでの業界最高のバックアップと回復、ほぼゼロRPOとRTOで20ワークロード以上にわたるデータを保護できるファイルレベルのバックアップと回復。
• クライアントのエンドポイントとシステムへのマルウェア、ランサムウェアとゼロディ攻撃を食い止める次世代動作検知エンジンを使い、追加費用なしで必要不可欠なサイバー保護。
• インシデント後の調査と適切な救済ができるようにMSPに対する保護管理を構築。

MSPは、クライアントが必要な機能のみに対して支払うことでコストを管理しながら、高度な保護パックとユニークなサイバー保護機能でもサービスを拡張しています。高度な機能パックには下記が含まれます：  

高度なセキュリティ

• マシンインテリジェンス（MI）ベーステクノロジーを使用した次世代アンチマルウェアにより、シグネチャーベースエンジンで既知のマルウェアを素早く検知しながら、未知/新しいマルウェアを防ぎます 。
• Acronis Cyber Protection Operation Centers (CPOC) からのグローバル脅威モニタリングとスマートで行動可能なアラートにより、マルウェア、脆弱性、自然災害やその他のクライアントのデータ保護に影響を与える可能性のあるグローバルなインシデントを熟知できるので、保護のために推奨された行動を取ることができます。例えば、これによりバックアップをより頻繁にしたり、よりディープなスキャンをしたり、あるいはパッチインスタレーションが具体的になったりします。 
• フォレンジックバックアップにより、デジタル証拠を集め、安全な場所に保存されたディスクレベルバックアップに含めることができ、サイバー脅威からバックアップを守り、今後の調査に使用します

高度な管理

• Microsoftと300+サードパーティアプリケーションのためのパッチ管理により、パッチを簡単にスケジュールまたは手動デプロイして、クライアントのデータを安全に保ちます
• MIベーステクノロジーを使ったドライブ（ハードディスク）ヘルスチェックにより、ディスク問題を予測し、予防手段を講じてクライアントのデータを保護し、アップタイムを向上させます
• 自動またはオンデマンドスキャンによりソフトウェアインベントリ収集を行うことで、クライアントのソフトウェアインベントリに対する深い可視性を提供します 
• ハードウェアインベントリ収集により、クライアントが保護を必要としているデバイスが何台あるかを把握できます
• クライアントシステムのイメージバックアップ生成によるフェールセーフパッチにより、パッチがクライアントシステムを不安定にさせた場合に簡単に回復できます

高度なバックアップ

• Microsoft Exchange、Microsoft SQL Server、Oracle DBMS Real ApplicationクラスターやSAP HANを含む、シングルコンソールから20タイプ以上のワークロードに対する保護
• データ保護マップにより、クライアントマシン全体にあるデータ分散を追跡し、ファイルの保護状態を監視し、収集したデータをコンプライアンスレポートベースで使用します
• 継続的データ保護により、スケジュールされたバックアップ間で行われたクライアントのデータ変更事項を失わないようにできます

高度な災害復旧により、ランブックを使用した災害復旧オーケストレーションを提供します。ランブックとは、クラウドにクライアントの生産環境をどのようにスピードアップさせるかを定義し、どんなインシデントからでもどんなデバイスに対してもアプリケーション、システム、データの迅速かつ確実な回復を提供するための指示一式です。

高度なメールセキュリティにより、スパム、フィッシングメール、ビジネスメール詐欺（BEC）、マルウェア、高度標的型攻撃（APT）やゼロディ脆弱性がエンドユーザーのMicrosoft 365、Google Workspace、Open-Xchangeやオンプレミス受信箱に届く前にブロックします。