よく構築され、十分に訓練された事業継続および災害復旧計画は、これまで以上に重要です。あらゆる中断から会社の運営を維持する方法をご紹介します。
災害復旧(DR)および事業継続の基本原則は、何十年もほとんど変わっていません。リスクの特定、事業影響分析の実施、復旧時間目標(RTO)の設定、バックアップおよびリストア計画の作成、定期的なテストの実施です。
以前は、データはオンプレミスにあり、サイバー脅威もそれほど高度ではなく、自然災害も稀で、数時間や数日間の停止でも何とかやり過ごせていました。週次バックアップで十分であり、データ漏洩に関する規制もほとんど存在しませんでした。
現在では、企業データの量は爆発的に増加し、そのデータはあらゆる場所(パブリッククラウド、SaaS、エッジ、IoT、OT、LLMなど)に存在しています。AI生成型のランサムウェア攻撃が間近に迫っており、気候変動の影響で自然災害もはるかに頻繁に発生しています。事業部門は数分以内の復旧を求めており、サイバー攻撃の報告遅延や顧客データの保護失敗に対する罰則も厳しくなっています。
もし災害復旧や事業継続計画が棚の上でほこりをかぶっている状態なら、今こそゼロから全面的に再構築する時です。
主な構成要素としては、最小限の事業継続(MVB)などの戦略、AIや生成AIなどの新技術、統合型脅威ハンティング、自動データ発見・分類、継続的バックアップ、不変データ、ゲーミフィケーション化されたテーブルトップ演習などの戦術的プロセスやアプローチが含まれます。
BaaS(バックアップ・アズ・ア・サービス)やDRaaS(災害復旧・アズ・ア・サービス)も人気が高まっています。企業は「アズ・ア・サービス」モデルの拡張性、クラウドストレージの選択肢、使いやすさを活用しようとしています。実際、ガートナーは2029年までに大企業の85%がBaaSを採用し、クラウドおよびオンプレミスのワークロードのバックアップに利用すると予測しています(2025年は25%)。
2025年に成功するDR/事業継続計画を構築するためにCISOが取るべきステップを以下に示します。
ステップ1:経営層の支援を得て、資金を確保し、チームを作る
効果的な災害復旧・事業継続には、初期段階での多大な作業と継続的な注意が必要です。また、追加のストレージリソース、ソフトウェアツール、スタッフの時間と労力の面でもコストがかかります。
Ryan Whelan氏(アクセンチュアのグローバル・サイバーインテリジェンス責任者)は、小売・ホスピタリティ業界のCISOに優先事項を調査したところ、災害復旧および事業継続が2024年には「トップ10にも入っていなかった」のが、2025年には第3位に急上昇したと述べています。
Whelan氏によれば、この変化は経営層や取締役会レベルで推進されており、規制遵守、法的影響、ブランド毀損への懸念が大きくなっています。従来はDR/事業継続は主にリスク管理や法務部門の領域で、セキュリティは裏方でしたが、今ではCISOがこれらの取り組みの最前線に立っています。
このDR/事業継続の優先度の高まりは、資金増加にもつながっています。ForresterのState of Resilience 2025レポートによると、回答者の37%が今後12か月で資金が増加すると予想し、減少を見込むのはわずか4%でした。残りは現状維持と予想しています。
Todd Renner氏(FTIコンサルティングのサイバーセキュリティ部門シニアマネージングディレクター)は「何か悪いことが起こる前は資金を得るのが難しいが、何か起こった後は資金が得やすくなる」と述べています。
経営層の支援を得たら、次に重要なのは、セキュリティ、データセンター、ストレージ、コンプライアンス、法務、リスク管理、ビジネスプロセス、内部・外部コミュニケーションを含む常設チームを構築することです。組織は縦割りを打破し、学際的なグループを作り、継続的に新たな脅威に対応できるよう進化し続ける必要があります。
具体的な役割としては、関係者との連絡を担当するインシデントレポーター、各自のタスク遂行を管理するプランマネージャー、重要資産の保護とインシデント中の状況報告を担当するアセットマネージャーなどがあります。
ステップ2:リスクの特定と全データの所在把握
大規模かつ分散した企業でリスクを特定するのは複雑な作業です。リスクはあらゆる場所に存在し、サイバー攻撃(内部犯行を含む)から人的ミス、システム障害(ハードウェア、ソフトウェア、ネットワーク)、自然災害、サプライチェーンやクラウドサービス、SaaSプロバイダーに関連するサードパーティの脆弱性まで多岐にわたります。
Forresterが調査対象者にDR/事業継続計画の発動原因を尋ねたところ、主な原因はIT障害、自然災害、ITセキュリティインシデント、サプライチェーンの混乱、停電でした。リスクの種類ごとに異なる対応計画が必要です。
Renner氏は、組織が「自分たちのデータはどこにあるのか?」「誰がそのデータを所有しているのか?」といった基本的な質問に答えるのに苦労することが多いと指摘します。「システムが複雑になるほど、システムオーナーやデータの所在(構造化・非構造化データを含む)の特定が難しくなります」と述べています。
朗報として、AI駆動のソフトウェアツールが、構造化・非構造化の企業データをスキャンして脆弱性を特定し、データ発見や分類を行うことができます。
ガートナーは、2029年までにバックアップおよびデータ保護プラットフォーム製品の90%が生成AIを統合し、管理やサポート業務を改善すると予測しています(2025年は25%未満)。
ステップ3:事業影響分析の実施
データはそれ自体のために存在するのではなく、ビジネスを支えるために存在します。したがって、企業は災害時の事業への影響を理解し、必要なものだけをバックアップする必要があります。しかし、複雑なビジネスプロセスのすべての要素を特定しようとすると、特にハイブリッドやマルチクラウド環境で、マイクロサービス、コンテナ、API、ID・アクセス制御、SaaSアプリケーションなどが乱立している場合、圧倒されることがあります。
アクセンチュアのWhelan氏は、災害時にビジネス全体を復旧しようとするのではなく、事業の骨格となるMVB(最小限の事業継続)を即座に立ち上げ、ミッションクリティカルなプロセスを維持しながら、従来のバックアップ・リカバリ作業を進める方が良い場合もあると述べています。
このような「箱から出してすぐ使える」フェイルオーバーシステムには、例えばメールなどの中核機能が含まれ、組織が内外と連絡を取り合うことができる一方、ERPのような時間的余裕のある機能は後から復旧します。
このMVBアプローチには、事業部門と技術チームの緊密な連携が必要です。両者が協力して依存関係マッピングを行い、重要な事業機能とそれに関連する技術コンポーネントを特定する必要があります。
ステップ4:バックアップ戦略は3-2-1から3-2-1-1-0へ
長年標準とされてきた3-2-1バックアップ戦略は、もはや十分ではありません。データの3コピーを2種類のバックアップ形式で、1つをオフサイトに保管するという考え方は、3-2-1-1-0に置き換えられつつあります。
追加された2つの要素は、オフライン・不変・エアギャップのバックアップ(ランサムウェア攻撃時に復旧可能にするため)と、エラーゼロの目標です。不変データは「ゴールドスタンダード」ですが、適切な実装には複雑さが伴います。例えば、災害時に最後のスナップショットがいつ行われたかをどう把握するか、不変データストアに保存されているデータが正確で破損していないことをどう確認するか、などです。
「データのクリーンさや出所の問題は、依然として大きな課題です」と彼は付け加えます。
FTIのRenner氏は、AI駆動のバックアップ・リストアプラットフォームが企業データの正確性を継続的にスキャンし、スナップショットの頻度、データの保存場所、バックアップが必要なデータについて推奨を作成できると指摘します。
またガートナーは、2029年までに35%の企業が自律的なバックアップ操作を行うエージェンティックAIを導入すると予測しています(2025年は2%未満)。
ステップ5:計画の作成とテスト
実際の計画文書を作成するためのテンプレートは多数あり、AIシステムがそのプロセスを自動化することもできます。計画は明確でなければならず、インシデントの検知・報告手順、社内外関係者とのコミュニケーション、自然災害時の緊急対応、IT復旧、事業継続、関係者の役割と責任などを文書化する必要があります。
しかし、計画は必ずテストしなければなりません。Forresterレポートによると、「残念ながら、テスト状況は2008年以降ほとんど変わっていません。すべてのテストタイプで、ほとんどの組織は年1回しかテストを行わず、計画のウォークスルーやテーブルトップ演習が中心で、テストが本格的になるほど頻度は低下します。回答者の41%は完全なシミュレーションを一度も実施したことがないと答えています。」
先進的な企業は、テーブルトップ演習を静的なPowerPointプレゼンから、より現実的で魅力的なインタラクティブなゲーミフィケーション体験に切り替えることで、より効果的にしようとしていますとRenner氏は述べています。「テーブルトップ演習が、事前に考えていなかった自分のビジネスの一部について学ばせてくれなかったことは一度もありません」と彼は付け加えます。
ステップ6:事後対応の管理
パズルの最後のピースは、災害後の事後分析です。組織は何が問題だったのかを特定し、今後どう防ぐかを決定する必要があります。
また、ガートナーのアナリストMichael Hoeck氏は、企業データのバックアップコピーはただ保存しておくだけでなく、有効活用できると主張しています。彼は、2029年までに30%の企業が分析や推論にバックアップデータを活用すると予測しています(2025年は5%未満)。
