Azure Managed Service Column ＜Azure運用コラム＞BCP対策とは？運用のポイントとAzure Site Recoveryを用いたITインフラの対策について解説

企業の継続的成長に必要な BCP とは？企業価値を高める方法を解説

2011 年の東日本大震災や 2016 年の熊本地震、または 2018 年の西日本豪雨など、国内では大規模な自然災害の発生が増えています。
また、テロやサイバー攻撃など、悪意のある第三者による攻撃や、昨今の新型コロナウイルスなどの感染症流行など、企業の事業継続には多種多様なリスクが存在しています。そうした中、企業の事業継続のための BCP が重視され始めているが、BCP とはどのようなものかご存じでしょうか。

BCP とは、何らかの要因によって事業が継続できなくなる場合を想定して、事業継続のために必要なものをあらかじめ考え、準備しておくというものです。
また、BCP は IT とも密接に関係しています。今や IT は企業活動に不可欠なものですが、情報システムや社員が利用する PC などの端末を、災害などが発生した場合においても利用可能としておく必要があります。

そのためにはクラウド化が重要であり、例えば Azure では Azure Site Recovery という総合的な DR ソリューションが提供されています。本記事では、今企業に求められる BCP の目的と対策を明確化した上で、Azure Site Recovery を用いた IT インフラの対策について解説します。

1. BCP とは

SDGs 経営が叫ばれる昨今、BCP という言葉をよく耳にするようになりましたが、BCP とはどのようなものでしょうか。まず、BCP の概要や目的、プロセス、注意点について解説します。

BCP の概要

BCP（Business Continuity Planning：事業継続計画）とは、企業の緊急事態発生時に事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧事業継続するための手段を決めておく計画のことです。具体的には、地震や台風などの自然災害やテロ攻撃、パンデミックなど、企業が事業継続困難となることを想定して、リスクの洗い出しと、実現性のある対策、継続する事業の優先順位などを定め、リスク発現時の体制や事業再開までのプロセスを総合的に定めた計画のことを指します。

緊急事態はいつ発生するかわかりません。企業が事業継続できなくなると、顧客からの信頼を失い、最悪は倒産する可能性もあります。BCP はそのような事態を回避するために重要な役割を担っており、企業のリスクマネジメントに必須であると言えます。

BCP の目的

BCP の目的は下記の通りです。

• 従業員と事業を守る
• 企業価値を高める
• CSR（企業の社会的責任）

従業員と事業を守る

BCP の一番の目的は従業員と事業を守ることです。大規模災害時においても業務を継続させ、企業の成長を止めないことを第一に考えます。

企業価値を高める

BCP 対策を行うことにより、企業の危機管理意識の高さをアピールすることができ、災害発生時においてもサービスや商品を提供できることは顧客に大きな信頼感を与えることができます。結果として、BCP は企業価値を高めることにつながります。

CSR（企業の社会的責任）

CSR（Corporate Social Responsibility）とは「企業の社会的責任」を意味する言葉です。危機管理意識が高い欧米では、企業は従業員や事業だけでなく、国や地域に対しても社会的責任を果たすべき存在であるという意識が高く、その目的のために企業活動を社会に適合させていくことが当たり前とされています。

BCP 策定のプロセスと注意点

BCP 策定は、経営層や現場を巻き込んだ全社的な取り組みで、検討事項は多岐に渡ります。ここでは BCP のプロセスと注意点について解説します。

基本方針の立案

BCP 策定に向けては、まず基本方針の立案を行います。自社の経営方針に基づいて、何のために BCP を策定するのかを明確化します。BCP の基本方針は経営方針の延長に位置し、全てのBCP 対策の指針となる重要な方針となります。

優先事業・商品の検討

企業には様々な商品・サービスがありますが、基本方針を遵守するために、緊急事態発生時に限りある人員や資源の範囲内で優先的に継続する商品・サービス、もしくは事業を決めておく必要があります。主観的な判断ではなく、売上高・利益など、客観的に経営に直結する観点から検討する事が重要です。

被害状況の確認

企業の緊急事態には、地震や台風などの自然災害や、テロ・サイバー攻撃、パンデミックなど様々なものが考えられますが、こうした災害が発生した場合、優先事業・商品にどのような影響を与えるのかあらかじめ想定しておく必要があります。ライフラインや情報通信などのインフラや、企業が持つ人・モノ・情報・金それぞれにどのような影響があり、災害時にどの程度使用可能なのかを想定しておくことが重要です。

事前対策の実施

緊急事態発生時でも優先事業を継続させるためには、従業員や設備などの経営資源が必要です。緊急時においても必要な経営資源を確保するための対策を平時から検討・実施しておく必要があります。情報システムなど IT においては、遠隔地でのデータ保存や、災害対策環境などを準備し、ネットワークを接続できるようにしておくなどの対策が考えられます。定期的に災害対策環境への切り替え訓練を行っておくことも重要です。

緊急時の体制の整備

実際に災害などの緊急事態が発生した場合でも、事業継続するための責任者と、実施体制を整備しておく必要があります。緊急時においても迅速に BCP を発動させるために、企業の意思決定と指揮命令系統を明確化しておくことが重要です。

BCP と DR の関係

システム開発を行っていると DR という言葉を聞いたことがあるかもしれません。

DR とはディザスタリカバリ（災害復旧）を意味し、主にシステムの復旧に関わる作業や常態を定義することを指します。企業が事業継続困難となった際に、システムの復旧ポイント（ RPO ）や、復旧するまでの時間（ RTO ）、復旧時の状態（ RLO ）を定義し、そのための方式、構成、作業手順、作業体制を設計します。

BCP とは、システムを含めた企業の事業継続までの総合的な計画であることに対して、DR はシステムに限定した復旧方法を定義する点が異なります。つまり、DR は BCP のプロセスのひとつであると言えます。

2. IT インフラの BCP 対策

企業の情報システムを支える IT インフラにおける BCP 対策について解説します。

クラウド化の重要性

BCP 対策にはクラウド環境の利用が重要です。企業の IT 環境をクラウドへ移行することで下記のメリットを得ることができます。

• データ消失のリスクを低減できる
• オフィスにいなくても業務が可能

データ消失のリスクを低減できる

クラウドでは、データの配置場所を国内、もしくは世界中の堅牢なデータセンターに設置されている冗長化されたサーバーやストレージに配置されます。そのため可用性レベルが高く、ハードウェアの障害に十分耐えることができます。

特に Microsoft Azure や AWS などのパブリッククラウドは世界レベルでデータを分散配置するため大規模災害にも耐えられる可用性レベルを確保しています。

オフィスにいなくても業務が可能

業務用の PC やタブレットなどのオフィス環境をクラウド化することで、オフィスに出社せずとも業務を行う「テレワーク」の実現が可能となります。大規模災害時は交通機関が使用不可となる可能性があるため、場所を選ばずに業務が可能なクラウドは BCP 対策に役立ちます。

Azure Site Recovery による DR 対策

IT インフラの BCP のためにクラウドは重要な役割を担います。マイクロソフトのクラウド、Microsoft Azure では、BCP の中でも情報システムの災害対策である DR を行うサービス、Azure Site Recovery を提供しています。ここでは、Azure Site Recovery による DR 方法について解説します。

Azure Site Recovery とは

Azure Site Recovery とは、Microsoft Azure が提供する DR （ディザスタ・リカバリ）を行うためのサービスです。オンプレミスまたは Azure のプライマリサイト（リージョン）にある物理サーバーや仮想マシンを、セカンダリサイトの Azure へレプリケーション（データ同期）し、プライマリサイトに障害が発生した場合は、セカンダリサイト（リージョン）へのフェールオーバー（切替え）を行います。切替え後はセカンダリサイトに対してアクセスを行うことで業務継続が実現できます。Azure Portal から簡単なオペレーションで操作が可能で、簡単に BCP 対策の一翼を担うことができます。

Azure Site Recovery のメリット

Azure Site Recovery では、Azure VM（仮想マシン）だけでなく、オンプレミスの物理サーバーや VMware 等の仮想マシンも対象とすることが可能です。オンプレミスのプライマリサイトから、Azure のセカンダリサイトへのレプリケーションなど、柔軟な DR 構成を構築することが可能です。

また、ディスク・メモリの状態、処理中の全トランザクションを追跡・キャプチャし、アプリケーション実行中の復旧ポイントをサイト間でレプリケーションすることで、フェールオーバー後もアプリケーションの処理やデータの状態に不整合がなく、速やかに業務継続することができます。

Azure Site Recovery の主な機能

Azure Site Recovery が持つ主な機能は下記の通りです。

• レプリケーション
• フェールオーバー

レプリケーション

レプリケーションとは、仮想マシンまたは物理マシンのディスクを同期して別の場所でコピーを作成することを指します。レプリケーションにより、アプリケーションやデータの整合性を保持したまま、プライマリサイトの仮想マシンまたは物理マシンを、物理的に離れたセカンダリサイトの Azure VM へコピーすることが可能です。Azure Site Recovery では、下記のレプリケーションをサポートしています。

• Azure VM を1つの Azure リージョンから別のリージョンにレプリケートする
• オンプレミスの 仮想マシン（ VMware・Hyper-V ）、物理サーバー ( Windows・Linux )を Azure にレプリケートする

フェールオーバー

フェールオーバーとは、障害発生時に別の仮想マシンへの切り替えを行い、アプリケーションの実行を継続させることを指します。Azure Site Recovery では、プライマリサイトで障害が発生し業務継続不可となった場合、システム全体をセカンダリサイトへフェールオーバーし、そこからアプリケーションにアクセスすることで業務継続を行います。レプリケーションによりアプリケーションやデータの整合性を保持しているため、切替え完了後はすぐにアプリケーションの実行再開が可能となります。

3. BCP 運用のポイントと事例

ここまで、BCP の重要性やクラウドにおける DR 実現方法について解説してきましたが、実際に企業はどのような BCP 対策を立てているのでしょうか。最後に、BCP 運用のポイントと企業の事例について解説・紹介します。

BCP 運用のポイント

BCP 対策はあくまで想定したリスクを基に策定するため、最初から完璧な計画を目指すことは得策ではありません。大規模な自然災害や事故は、いつ発生するか予想がつかず、想定外の事態や被害が発生する可能性もあるため、定期的に改善を繰り返しながら、徐々に精度を高めていくことが重要です。

BCP 対策の企業事例

実際の企業が行っている BCP 対策の事例について、下記の事例を紹介します。

• 東京海上日動火災保険株式会社
• イオン株式会社

東京海上日動火災保険株式会社

東京海上日動火災保険株式会社（※1）は、地震や台風などの自然災害が発生した場合、被災地はもちろん被災地以外でも保険事故の受付、保険金・満期返戻金などの支払い、保険契約の締結など、損害保険会社としての重要業務を継続する社会的使命を担っている企業です。

東京海上日動火災保険株式会社では、災害発生時の BCP の方針について下記を掲げています。

また、下記の業務を重要業務と位置付けており、災害発生時はこれらの業務継続を最優先としています。

首都直下型地震等により、本店ビルが震度 6 強の揺れを受け、本店ビル（ 3 か月程度）および関東にあるメインシステムセンター（ 1 か月程度）が使用不能となる被害を想定しており、災害発生時は 1 日以内（ 24 時間内）に重要業務の復旧を目標としています。

重要業務を継続するための対策として、指揮命令系統の確立や本店の代替場所の事前準備、情報システムのバックアップの整備等を行っています。災害によりメインシステムセンターが稼働できなくなった場合は、バックアップセンターにて 24 時間後を目途に、重要業務を継続するために必要なバックアップシステムを稼働する計画としています。

※参考1　東京海上日動火災保険株式会社 災害に関する事業継続計画書（要約版）

イオン株式会社

イオン株式会社（※2）は、国内外 14 か国、約 2 万の店舗・拠点で事業を展開する流通・小売の国内最大手企業です。イオン株式会社では、地震や豪雨などの自然災害の増加やテロなどのリスク多様化に対応し BCP が確実に実行されていることを総合的に管理するプロセスである BCM（事業継続マネジメント）を実施しています。イオングループの BCP・災害対応方針は以下の通りとなっています。

地震や津波、台風、大雨、風災害、大雪などの自然災害を対象として、下記をイオングループの BCM 取組み対象分野と位置付けており、分野ごとにイオングループ各社が有するプラットフォームを活用し、産・官・学・民が一体となって地域防災の仕組み作りを行うこととしています。

情報システムにおいては、イオン BCM 総合集約システムを導入しており、イオングループが運営する全ての店舗を対象として、インターネットを経由した地図情報を基に地震災害などが発生したエリアの店舗検索や、店舗被災状況の入力や確認を可能としています。

※参考2　イオン株式会社 イオンのＢＣＰへの取組みについて

4. まとめ

企業が継続的に事業を推進し成長していくには多種多様なリスクが存在しています。特に IT 環境は、企業の成長になくてはならない重要なインフラと言えます。クラウドを活用して適切なBCP 対策を行うことで企業の IT 環境を守り、さらなる成長につなげてみてはいかがでしょうか。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure Site Recovery BCP DR

• 

  Azure NetApp Filesとは？大規模で高性能なファイルサーバーの概要と特徴について解説

• 

  Microsoft Intuneとは？今注目されているデバイス管理サービスについて解説