中小企業のIT-BCP入門 ― 災害・障害時にビジネスを止めないための最低限の準備

「BCPは策定したが、IT面の対策は手つかず」― 中小企業でよく聞く言葉です。紙のBCPマニュアルに「サーバーが使えない場合の代替手段」と書かれていても、具体的な手順がなければ機能しません。

本記事では、中小企業が最低限整備すべきIT-BCPの項目を、現実的な範囲で解説します。

IT-BCPとは何か

IT-BCP（IT Business Continuity Plan）は、自然災害やサイバー攻撃によってITシステムが停止した場合に、事業を継続するための計画です。通常のBCPがヒト・モノ・カネを対象にするのに対し、IT-BCPはITインフラ、データ、通信手段に焦点を当てます。

想定すべき3つのシナリオ

シナリオ1: 自然災害（地震・水害・停電）

オフィスやサーバールームが被災し、物理的にアクセスできなくなるケースです。オンプレミスのサーバーが水没・破損した場合、データとシステムの両方を失うリスクがあります。

シナリオ2: サイバー攻撃（ランサムウェア）

ランサムウェアによってサーバーやPCのデータが暗号化され、業務システムが使用不能になるケースです。近年の医療機関や製造業の被害事例でも、復旧に数週間〜数ヶ月を要したケースが報告されています。

シナリオ3: SaaS / クラウド障害

Microsoft 365やGoogle Workspaceの大規模障害により、メール、ファイル共有、ビデオ会議が使えなくなるケースです。クラウドだから安全とは限りません。

最低限整備すべき5項目

1. 重要業務とITシステムの紐付け

自社の事業継続に不可欠な業務（受発注、請求、顧客対応など）と、それに紐づくITシステムを一覧化します。すべてのシステムを同時に復旧させることは不可能なので、復旧の優先順位を決めます。

2. バックアップの3-2-1ルール

3つ以上のコピーを、2種類以上の媒体に、1つはオフサイトまたはオフラインで保管する ― この原則を徹底します。クラウドバックアップに加えて、外付けHDDやテープでのオフラインバックアップを確保しましょう。

3. 代替通信手段の確保

メールやTeamsが使えなくなった場合の代替連絡手段を決めておきます。個人携帯の連絡先リスト、LINEやSMSでの緊急連絡網、全社員の携帯電話番号リスト（紙ベースも含む）を事前に準備します。

4. リモートワーク体制

オフィスに出社できない場合でも業務を継続できるよう、リモートワーク環境を整備しておきます。VPNまたはクラウドサービスへのアクセス手段、自宅からの業務に必要なPCの準備、リモートでの承認・決裁フローの整備が含まれます。

5. 復旧手順書の整備

障害発生時に「何を、誰が、どの順番で」復旧させるかを手順書としてまとめます。手順書はIT担当者だけでなく、経営層や各部門の責任者にも共有しておきます。

年に1回の訓練

IT-BCPは策定しただけでは意味がありません。年に1回以上、実際にバックアップからの復旧テスト、代替通信手段での連絡訓練、リモートワーク切り替えの演習を行い、手順の有効性を検証しましょう。

情シス365では、IT-BCPの策定支援からバックアップ体制の構築、定期的な復旧テストの実施まで支援しています。60分無料相談をご利用ください。