BCP(事業継続計画)における企業のデータ保存とバックアップ方法
万が一、地震や台風などの自然災害、火災やテロ、もしくは集団感染などの非常事態が起き、一時的に事業が中断した場合、企業にはどういう影響が考えられるでしょうか?
営業機会の損失に加え、大切な顧客情報や個人情報、蓄積してきたデータの流出による社会的信頼の失墜など、さまざまなリスクが想定されます。場合によっては、甚大なダメージにより事業継続が困難に陥る可能性も考えられます。
そのため多くの大企業では、緊急事態発生時の対策としてBCP(Business Continuity Plan)と呼ばれる「事業継続計画」を策定しています。従業員の安全確保や食料・物資の備蓄といった対策は当然ですが、企業として特に重要視すべきなのが「データ保護」です。
今回は、考えられる緊急事態とリスクを紹介しながら、企業の根幹となるデータの保護、バックアップ方法を紹介していきます。
BCPはどのくらい日本に浸透しているのか?
2011年の東日本大震災以降、BCP(事業継続計画)は大きな注目を集めるようになりました。震災の被害を受けた企業の多くが窮地に陥ったり、事業が完全に中断してしまったりしたからです。災害によって企業の事業が中断した結果、その取引先にも大きな影響が及び、経済全体が停滞する深刻な事態となったため、政府は各企業でのBCPマニュアル策定を推進するようになりました。
では、実際にどのくらいの日本の企業がBCPを策定しているのでしょうか。下記のグラフから、大企業は、2011年以降「策定済みである」「策定中である」の割合が大きく伸びていることがわかります。2017年には「策定済みである」「策定中である」の割合が80%を超えています。
<内閣府「企業の事業継続及び防災の取組に関する実態調査」よりグラフを作成>
※企業規模の区分は、中小企業法第2条「中小企業の区分」及び、日本銀行調査統計局「業種別貸出金における法人の企業規模区分に関する定義」に準ずる
一方で、中堅企業になるとBCPを策定している企業はまだまだ少ない状況です。認知度は改善しているものの「策定済みである」「策定中である」の割合は、2017年で46.5%と半分にも届きません。中小企業になるとこの割合はもっと下がると考えられます。
<内閣府「企業の事業継続及び防災の取組に関する実態調査」よりグラフを作成>
つまり、BCPの概念を理解している企業は多いものの、浸透するまでには時間がかかる状況と言えるでしょう。しかし、緊急事態はいつ発生するかわかりません。次に企業がどういうリスクを想定しているのかを見ていきたいと思います。
想定されるリスクとその対処法とは?
事業継続計画で想定されるのは、自然災害だけではありません。事業継続が困難になる可能性が少しでもある場合は、人的リスクから環境リスクまでありとあらゆるものを想定する必要があります。
<内閣府「企業の事業継続及び防災の取組に関する実態調査」よりグラフを作成>
企業が想定しているリスクの中で、もっとも多かった回答が「地震」で92.0%。次いで「火災・爆発」(59.3%)、「新型インフルエンザ等の感染症」(49.3%)、「通信(インターネット・電話)の途絶」(47.8%)、「津波」(42.3%)、「インフラ(電力・水道等)の途絶」(37.8%)となっています。
首都直下型地震や南海トラフ巨大地震などは、近い将来起きることが指摘されていますし、地域によっては台風や洪水、集中豪雨といった水害も想定しておくべきでしょう。こうした自然災害のほか、通信システム障害などよって業務を一時的に停止しなければならないケースに対しても、多くの企業が対策を練っています。
しかし、これらの緊急事態は、日本全国で一斉に起きる可能性は低いと考えられます。たとえ、自然災害が起きた地域のインフラが停止したとしても、別の地域では平常運転というケースが多いでしょう。そのため多拠点にオフィスを構える企業などは緊急事態発生時の対策として、リスクを“分散”することに努めています。
一例を挙げると、本社のサーバーだけに元データとバックアップ双方を保存している場合、万が一本社が災害にみまわれると、元データとバックアップの両方を失うリスクが高くなります。そのため拠点や部署ごと、単一拠点でも別の場所(遠隔地)にバックアップすることが重要になります。まずはNASや外付けHDDに保存。そのデータをさらにクラウドストレージにバックアップするなど二重三重で備え、リスクを分散するのが一般的です。
次は、もっと具体的で実用的なリスク分散の方法を紹介します。
「3-2-1ルール」で緊急事態発生時に企業の重要なデータを守る
企業が保有する各種データは、非常に重要な経営資源です。こうした経営資源を100%守ってくれるバックアップ方法は存在しませんが、多くの企業に採用されているのが「3-2-1のルール」と呼ばれるものです。
①「3」つ以上のデータを作成する
まずはオリジナルの他に2つのコピー(バックアップ)を作り、計3つのデータにします。
②「2」種類の媒体に保存する
データの保存先が同じだと、災害時に限らず機器の故障などが原因ですべてのデータが消失してしまうリスクがあります。先述のように1つはNASや外付けHDDに保存して、もう1つはクラウドストレージ上に保存するなど、構造の異なるストレージに分けることでリスクを大きく減らせます。
③「1」つは遠隔地で保存する
1つは拠点から離れた遠隔地で保存することで、同時被災からデータを守ることができます。
この3つのルールを守ることで緊急事態発生時に貴重なデータを保護する確率が大きく上がります。さらにリスクを低減するには、もう1つデータを用意して、オフラインで保存することをおすすめします。最近では、ハードウェア暗号化機能などセキュリティ対策が整ったUSBメモリや外付けHDDがあり、緊急事態発生時のデータ保存メディアとして活用できます。4重の対策を行えば、災害時やシステム障害時でも事業に影響が及びにくくなるでしょう。
NASはBCPに必須!? BCPに役立つ機器やアイテム
データの一般的な保存先として、NAS、外付けHDDやSSD、クラウドストレージなどが挙げられます。
クラウドストレージは初期コストが不要で導入しやすく、インターネットさえ繋がればどこからでもアクセスできます。また、サービス事業者がサーバーを管理しているため、社員個人の不注意よる機器の破損や故障がなく、バックアップやデータ保存に非常に有効な手段となります。
しかし、災害やシステム障害でインターネットが繋がらない場合は、もちろんアクセスできませんし、システム障害などによってサーバーがダウンしてしまうと、最悪の場合データが消失してしまう恐れもあります。そのため、もう1つの保存先として、NASと併用するのが便利で安心です。
NASはファイルサーバーとしてもバックアップとしても優れている
NASはRAID(複数台のハードディスクを組み合わせ、仮想の1台のハードディスクとして冗長性を持たせる)と呼ばれる特性があるため、万が一障害が起きた場合にも、データの復旧が可能です。またアクセス権限を細かく付与できるため、不正アクセスや情報漏えいに対しても非常に堅牢な構造になっています。
しかし、NASは実機が存在するため、本体が物理的に壊れる可能性はあります。地震に対する対策の一例ではありますが、耐震ベルトや耐震ゲルなどをNASに設置することで、地震の揺れによる故障リスクを低減できます。
NASのメリットは、緊急時だけでなく、平時の利用にも長けていることです。業務場所を固定しないフリーアドレス制やテレワークに適していますし、NASを部署ごとに用意して使い分けるなどの情報の共有・リスクの分散もできます。
NASが接続されたネットワークが生きている限り、インターネットを介さずにアクセスできるため、多拠点オフィスを展開している場合は、本部で一元管理することが可能です。緊急事態発生時の保守運用の観点だけではなく、平時での効率性を考えることで費用対効果の面もクリアできるでしょう。
NASとクラウドストレージのそれぞれ強み、弱みがありますので、下記の表にまとめました。小まめなバックアップを社内で意識づけ、NASとクラウドストレージを併用して日常的なデータ共有とバックアップを使い分けるとよいでしょう。
NAS | クラウドストレージ | |
---|---|---|
金銭的コスト | △ | ○ |
人的コスト | △ | ◎ |
機能 | ◎ | △ |
セキュリティリスク | ○ | △ |
データ消失リスク | △ | ○ |
参考:NASとクラウドストレージを徹底比較。法人利用で重視すべきポイント
備えあれば憂いなし!事業継続のための万全の準備を
自然災害や予期せぬ事故は、いつ起きるかわからないからこそ入念な準備が必要です。ほとんどの大企業はBCPを策定していますが、中堅企業、中小企業になるとその割合はガクンと下がります。
まだBCP策定にも手をつけていない場合、早急な準備が望まれます。しかし、マニュアルの作成や社員教育・訓練など、社全体で浸透するにはある程度の時間が必要です。一方で、データ保存やバックアップの体制・管理は、ツールや機器を導入することでリスクをすぐに低減することが可能です。
従業員の安全確保と同時に企業の経営資源をどのように保守していくのか。あらゆるリスクを想定したうえで、自社にフィットするプランはなにかを、検討してみてください。