ディザスタ リカバリ計画の例とベスト プラクティス

ベンジャミン・フランクリンの言葉「計画なくして成功なし」は間違っていませんでした。業務が中断、または完全に停止する恐れのある災害では、特にこの言葉が当てはまります。そのため、ディザスタ リカバリのための戦略と計画が必要となります。

保護を最大化し、中断を最小限に抑えるには、複数のタイプの災害に対処するための明確で包括的かつ実践的な計画が必要です。各計画は、シンプルなディザスタ リカバリ計画の例を使用して構成する必要があり、会社全体で利用しているテンプレートに従うことが理想的です。さらに、ディザスタ リカバリ計画の形式は、実績のあるベスト プラクティスに従い、お客様固有のビジネス ニーズや優先事項に対応できるよう調整する必要があります。

この記事では、ディザスタ リカバリ計画とその重要性について説明し、ビジネスを保護するための取り組みをすぐに開始できるように、いくつか例をご紹介します。また、ディザスタ リカバリのベスト プラクティスに関するガイダンスもご提供します。ディザスタ リカバリ計画の取り組みを簡素化・改善できる Jira Service Management の機能の詳細もご覧ください。

ディザスタ リカバリ計画を理解する

潜在的なさまざまな災害は事業を脅かす可能性があり、それらの災害により業務が中断または完全に停止する場合があります。ダウンタイムのコストは、毎分数百ドルから数千ドルに達する可能性があります。会社の事業継続戦略のために、および長期的に存続して成功を収めるためには、ディザスタ リカバリ計画が極めて重要です。

現行の ITSM (IT サービス管理) と DevOps のサポート プロセスが、効果的なディザスタ リカバリ計画の策定に役立ちます。選択した ITSM ソフトウェアの機能も、ディザスタ リカバリ計画に役立つことがあります。IT インシデントはすぐに災害になり得ます。企業が事後分析レポートなどのインシデント対応やインシデント通知を適切に処理していると、ディザスタ リカバリ計画の取り組みを伝えて、サポートできます。

ディザスタ リカバリ計画に含める内容は、計画で対処しようとしている災害のタイプや、ビジネス固有のニーズによって決まります。ただし、効果的なディザスタ リカバリ計画のすべてには 2 つの共通の目標があります。可能な限り災害を防止することと、必要に応じて一刻も早く復旧するための手順の概要を説明することです。最も一般的で困難な災害タイプのディザスタ リカバリ計画の例をそれぞれ次に示します。ご自身の企業では、これらの各例について計画を策定・管理する必要があります。

ディザスタ リカバリ計画の 5 つの例

ディザスタ リカバリ計画には複数のタイプの災害を含め、業務を最大限に保護する必要があります。最も一般的なタイプの例を次にご紹介しますが、ビジネス固有の特性に応じて、他のタイプも検討する必要がある場合があります。

サイバーセキュリティ侵害の復旧計画

サイバーセキュリティ ディザスタ リカバリ計画を始める際は、サイバーセキュリティ侵害のリスクと影響を慎重に評価する必要があります。優れたサイバーセキュリティ計画には、次の要素が含まれています。

• 計画では、基本的な操作からフル稼働までの復元に必要な時間を指定するか、データ損失の最大許容量を示して、復旧目標を設定する必要があります。これらはそれぞれ、RTO (目標復旧時間) および RPO (目標復旧時点) と呼ばれています。

• 業務のデータ バックアップと保護対策、および復旧戦略と解決策を詳述する必要があります。

• 影響を受けたユーザーや関係者に復旧チームが伝えるべき内容や、その情報を発信する方法について説明する必要があります。

• 関連ドキュメント、保守アクティビティ、従業員と関係者のトレーニング、計画自体の定期的なテストに関する情報を含める必要があります。

サプライ チェーンの混乱の復旧計画

PPRR、つまり防止 (Prevention)、準備 (Preparedness)、対応 (Response)、復旧 (Recovery) は、一般的なサプライ チェーンのリスク管理アプローチです。サプライ チェーンの混乱の復旧計画では 4 つの要素すべてに対処して、効果を最大化し、事業の中断を最小限に抑える必要があります。

防止と準備に取り組むには、重要なサプライ チェーンをそれぞれマッピングして、代替手段を用意しているサプライヤーと、用意していないサプライヤーを明らかにする必要があります。代替手段にアクセスできる場合、計画では、それらの代替手段を講じる方法や通知すべき関係者を詳述する必要があります。

代替手段がない場合は、影響を受けている業務やチームを計画に詳述する必要があります。計画には、影響を受けたユーザーに通知して、それらのユーザーが混乱に対応して取るべき具体的な行動をアドバイスするための手順も含める必要があります。また、サプライヤーとのつながりを回復した後の迅速な復旧計画も示す必要があります。

インフラストラクチャ障害の復旧計画

IT インフラストラクチャ障害の復旧計画では、サイバーセキュリティ侵害の復旧計画を反映し、補完する必要があります。インフラストラクチャの重要な要素を特定し、ハードウェア、ソフトウェア、ネットワーク構成に関する、最新・正確・完全な詳細を含める必要があります。

この計画には、代替手段、回避策、インフラストラクチャに障害が発生した場合の従業員の行動に関する情報を含める必要があります。また、IT 以外の物理的なインフラストラクチャの障害からの復旧に関する情報も含める必要があります。

データ センター停止の復旧計画

企業では多くの場合、重要なデータ センターを、自動的に呼び出される「ホット スペア」、または手動でアクセスできる「ウォーム スペア」のバックアップとして指定します。データ センター停止の復旧計画では、重要なデータ センターの利用可能なバックアップを詳述し、それらのバックアップにアクセスする方法を説明する必要があります。

自然災害復旧計画

すべての自然災害復旧計画は、重要なデータのバックアップを保存・更新する方法や場所に関する詳細な情報を含めることから始める必要があります。会社では少なくとも 1 つのバックアップをオフサイトに保存する必要があります。ビジネスに影響を及ぼす自然災害がバックアップにも影響を与えることがないように、十分に離れた場所をお勧めします。オフサイトのバックアップにリモートで安全にアクセスできる必要があります。自然災害によって交通に支障をきたす可能性があるためです。

ビジネスに影響を与える可能性が最も高い自然災害のタイプを判断し、そのための計画を策定する必要があります。地方政府機関やオンラインの気象および気候リソースは、計画プロセスでの貴重な情報源になり得ます。

ディザスタ リカバリ計画のベスト プラクティス

作成する計画を問わず、次のようなベスト プラクティスに基づいて構築する必要があります。

• ビジネスが最も被害を受けやすい災害や脅威を特定し、優先順位を付けます。

• 最も重要な業務に優先順位を付け、復旧への取り組みではそれらの業務の復旧に最初に集中できるようにします。

• 許容できる復旧目標を定義します。これらの目標は、許容できるデータ損失と業務中断 (目標復旧時点) または業務回復の所要時間 (目標復旧時間) で表すことができます。

• 重要なビジネス データの強固なバックアップと復旧プロセスを実装します。少なくとも 1 つのバックアップを安全なオフサイトの場所に保管し、アクセスとリカバリのプロセスを復旧目標に合わせます。

• チームを招集し、各復旧計画を実施します。各チームには、最も深刻な災害から迅速かつ効果的に復旧するために必要なスキルを持つメンバーを含めるようにします。また、復旧を通して関係者とコミュニケーションを取り、安心させられるメンバーも含めましょう。

• 計画を定期的にテストして更新します。保管されたままのディザスタ リカバリ計画では、復旧目標を達成できない可能性が高くなります。計画を定期的に見直してテストし、変化する脅威やビジネス ニーズに合わせて最新の状態に保ちます。また、必要に応じて、関係者の教育やトレーニングを頻繁かつ定期的に行う取り組みの計画を含めます。

ディザスタ リカバリ計画に Jira Service Management を使用する

上記でご確認いただいたように、ディザスタ リカバリ計画は事業継続計画における、難易度の高い、極めて重要かつ多面的な要素です。Jira Service Management の多様な機能により、ディザスタ リカバリ計画を簡素化して、ご自身、同僚、ビジネスにとってより効果的なものにできます。

Jira Service Management では、ディザスタ リカバリ プロセスに関連するタスク、インシデント、リクエストを追跡するための中央プラットフォームを提供します。これにより、ディザスタ リカバリ チームのメンバー間のコラボレーションが加速し、関係者とのコミュニケーションが改善されます。課題追跡機能やレポート機能により、復旧への各取り組みを監視し、必要に応じて修正できます。Jira Service Management では、ディザスタ リカバリの情報のナレッジ ベースも作成できるため、チーム メンバー全員が情報にすばやくアクセスできます。

ディザスタ リカバリ計画の例: よくある質問

ディザスタ リカバリ計画の作成方法

ビジネスに関連する各災害タイプの復旧計画を作成するための基本的な手順は次のとおりです。

1. IT の意思決定者やその他の関係者と協力して、予想される災害とそれに関連するリスクを特定・評価・優先順位付けします。

2. これらを最も重要な業務に合わせて、それぞれの復旧目標を文書化します。

3. バックアップと復旧により、これらのリスクと目的にどのように対処するかを説明します。現行のバックアップおよび復旧の活動や解決策での既知のギャップや欠点を明らかにします。

4. ディザスタ リカバリ チームのメンバーと各メンバーが担う役割を一覧表にして簡単に説明します。

5. 復旧計画のテスト スケジュールと、各計画のテスト パフォーマンスの測定方法を説明します。

6. 計画を関係者全員と共有し、計画の作成、テスト、実施時およびその後に意見やフィードバックを求めます。

ディザスタ リカバリ計画に含める必要がある内容とは?

少なくとも次の要素をすべてのディザスタ リカバリ計画に含めてください。

• 最もクリティカルな業務と、各業務が直面する災害関連の脅威を優先順位付けしたリストを作成します。

• 現在のバックアップおよび復旧のポリシー、プロセス、テクノロジーの簡単な説明を書き、既知の欠点やギャップをハイライトします。

• 現在のプラクティスとソリューションで特定された脆弱性に対処する方法を説明します。

• ディザスタ リカバリ チームの各メンバーとその役割に関する簡単な説明を記載したメンバー表を作成します。

• 計画の定期テストの予定を書き、特定された問題にどのように対処するかを簡単に説明します。

• 主要な関係者から質問、コメント、提案を募ります。

ディザスタ リカバリ計画ではどのようなイベントを取り上げるべきですか?

ディザスタ リカバリ計画では、業務を脅かすできるだけ多くの災害のシナリオを扱う必要があります。この記事では、お客様や同僚の方がビジネスにおいて必ず考慮すべき重要な分野を取り上げます。ビジネスや市場の特定の特性によっては、追加の災害タイプについて計画する必要がある場合もあります。