ディザスタリカバリ(DR)とは? 目的や注意点を解説! 万が一における災害対策

  • ディザスタリカバリ
2023.07.14
ディザスタリカバリ(DR)とは? 目的や注意点を解説! 万が一における災害対策

日本は島国で、地震や水害などの自然災害が比較的多いと言われています。そのため、リスクを想定したうえでディザスタリカバリの計画を立てておくことが重要です。
本記事では、ディザスタリカバリの概要や企業が認識すべきリスク、有効とされる3つの方法を解説します。システム担当者の方は、災害時のセキュリティ対策にお役立てください。

ディザスタリカバリとは災害時におけるシステム復旧のこと

ディザスタリカバリとは本来、「災害復旧」を意味する言葉です。英語で「Disaster Recovery」と表記し、略してDRと呼ばれることもあります。システムが一時的に使えなくなる状態から復旧させる取り組みを指します。
地震や水害などの天災に加え、テロなどの脅威も、世界中で発生する可能性があります。それらの発生は、企業のシステムに甚大な影響を及ぼします。そのため、非常事態から少しでも早く脱するために行われるディザスタリカバリは、あらゆる企業にとって重要な取り組みです。

RPO(目標復旧時点)とRTO(目標復旧時間)

ディザスタリカバリを策定するにあたっては、「RPO(Recovery Point Objective)」と「RTO(Recovery Time Objective)」といった2種類の指標があります。
RPOは「目標復旧時点」とも呼ばれ、「いつの時点のデータを復旧させるのか」を指す用語です。RPOが1秒ならシステムダウンする直前まで、RPOが1日ならシステムダウンから1日前のデータを復旧させることが目標になります。RPOに応じた頻度でのバックアップが必要です。
一方RTOは「目標復旧時間」と呼ばれ、システムダウン後「どれくらいの時間で復旧させるのか」を意味します。復旧するのにかかる予測時間ではなく、事業を継続していくうえで目標とすべき時間を指します。
ディザスタリカバリを行うにはRPOとRTOを設定しておくことが必要であり、システムダウンによる影響や復旧にかかるコスト、平常時のランニングコストや導入コストなどから総合的に判断します。

企業を脅かす主なリスク

企業を脅かす主なリスク

ディザスタリカバリを考えていくにあたっては、まず、企業が直面するリスクについてどのようなものがあるのかを確認しておくことが大切です。ここでは主なリスクについて5つ紹介します。

自然災害

地震や津波、大型台風などの自然災害は、人命にも関わる大きな被害をもたらします。特に日本は島国であり、毎年のように大きな自然災害が起きています。オフィスは被災を免れても、データセンターが被災して大きな影響を受けることもあります。
一度被災すると長期にわたって事業継続が困難になるケースも多いのが特徴です。そのため、「大切なデータを守るためにはどうすればよいか」を平常時からしっかりと考え、具体的な対策を講じておくことが大切です。

ヒューマンエラー

社内で起きがちな人的なミスも、企業にとっては見逃せないリスクです。例えば、重要なデータが格納された機器を紛失してしまったり、盗難にあったりすることが考えられます。水没や故障などもよくある単純なヒューマンエラーです。
こうしたエラーは、故意ではないからと放置しているわけにはいきません。防止策を検討するとともに、起きてしまった際の被害を抑える対策も講じる必要があります。

サイバー攻撃や内部不正

過失が原因となるヒューマンエラーとは異なり、悪意の第三者によるサイバー攻撃や、内部の不正なども、ひとたび発生すれば、企業にとって重大な信用問題に直結します。システムがサーバダウンしてしまうと、ユーザーに大きな損失を与えたり、不正アクセスによって機密情報が抜き取られたりするリスクも否めません。近年はサイバー攻撃の手法もさらに巧妙化してきていることから、企業には常に最新情報を入手し、先回りして防御する仕組みを構築することが求められています。

ネットワークやシステムの障害

悪意のある他者から攻撃を受けるのとは異なり、電力供給がうまくいかずにダウンしたり、ネットワークに通信障害が起こったりするリスクもあります。こうした問題は、自社で普段からいくら気をつけていても、発生自体を完全に防ぐことは困難です。電力会社や通信会社の復旧作業次第で、被害が長引くことも想定したうえで、どのように事業を継続させるかを検討するようにしましょう。

テロ

外務省が2022年3月に公表した「我が国の国際テロ対策」にもあるように、近年、テロリストがインターネットやSNSを通して過激思想を拡散させる動きが活発化しています。テロ組織と関係の薄い個人が、そのようなテロリストの主張に共鳴して自発的にテロを起こす事例も見られ、いつどこでテロが起きてもおかしくない状況です。そのため、日本においてもテロは対岸の火事だと考えずに、万一のリスクに備えて対策を講じていかなければなりません。

参照元:外務省「我が国の国際テロ対策」
https://www.mofa.go.jp/mofaj/gaiko/terro/taisaku_0506.html

ディザスタリカバリの目的

ここまで紹介したリスクは、いくら対策を打ったとしても完全に排除することはできません。そこで、万一問題が発生したときに必要とされるのがディザスタリカバリです。

ディザスタリカバリの目的は、大きく分けて3つあります。

・一刻でも早く事業を回復、継続させる
・システムが中断している間に発生した損失をカバーする
・信用失墜のリスクを少しでも低減させる

システムダウンしている時間が長引けば長引くほど、自社の損失が拡大しますし、原因究明や復旧も遅れるおそれがあります。ひいては、ユーザーや取引先、社会全体からの信用を失墜させることになりかねません。ディザスタリカバリにより、重大な問題が発生した際の影響を最小限にとどめることが可能になります。

BCPとの違い

「BCP」は事業経営に関する用語で、昨今は企業のリスク管理としてBCP計画を策定することが重視されています。リスクに対処するといった意味では、ディザスタリカバリと同義と思われるかもしれませんが、厳密には意味合いが異なります。

ディザスタリカバリは、自然災害などによりシステムダウンした際、システムを復旧させるための対策や取り組みにフォーカスを当てているのが特徴です。一方、BCPはディザスタリカバリを含め、「企業が非常事態に直面した際、どのように事業を継続させていくべきか」といった全体的な計画を指します。つまり、BCPは、経営を存続させていくのにあたって総合的に講じる復旧対策といった意味があり、ディザスタリカバリの上位概念と考えてよいでしょう。

ディザスタリカバリに有効なバックアップの種類

ディザスタリカバリに有効なバックアップの種類

ディザスタリカバリを行うには、何よりもバックアップが有効であり、基本的な取り組みとされています。ただ、バックアップと一口に言っても、実際にはさまざまな種類があるため、採用する前に理解しておかなければなりません。
そこで、次から主なバックアップの特徴について解説します。どの方法が自社にとって適しているのかを検討してみてください。

クラウドバックアップ

クラウドバックアップとは、その名のとおり、クラウド(オンライン)にある仮想サーバー上に、自社データをバックアップさせておくことです。

社内やデータセンターで自社運用する「オンプレバックアップ」には、自社が独自に定めたセキュリティ要件も満たせるなど、いくつかメリットがあります。しかし、初期投資や運用、保守、機能拡張などにコストがかかったり、構築に時間や手間がかかったりすることが課題です。
その点で、クラウドベンダーやバックアップベンダーへ依頼する「クラウドバックアップ」は、構築から運用、保守など、必要なものは基本的にベンダーが用意してくれるため、迅速かつ安価に運用可能です。遠隔地になると多少転送速度が落ちることはあるものの、災害時には大切なデータを保全できるのも、安心できる要素と考えられます。

レプリケーション

レプリケーションとは、サーバーのレプリカ(複製品)を遠隔地などに設置し、リアルタイムにデータをコピーし続ける仕組みのことを指します。万一システムがダウンした場合は、レプリカを利用することで、ダウンする直前の状態にスピーディに復旧させられるのがメリットです。
ただしデメリットとして、リアルタイムにコピーすることでウィルスまでコピーしてしまうおそれがあります。また、データのレプリカを作成するためには、サーバーや設備などのコストが通常の倍近くかかる点にも注意が必要です。

リモートバックアップ(遠隔バックアップ)

リモートバックアップは、通常データを置いてあるところから、ネットワークを経由して遠隔地にあるサーバーやデータセンターなどにデータを送り、保存することです。バックアップを取っていても近隣にあれば、地震などの災害時に同様の被害を受けることになりかねません。そのためバックアップの保管場所は、自社拠点から遠いエリアに置くことが大切です。

リモートバックアップの大きなメリットのひとつは、災害時におけるデータ保全を、より確実なものにできることです。いつ東日本大震災クラスの災害がまた起きるかは誰にもわからないため、そのリスクに備えた取り組みを全うしておくことで、顧客や取引先からの信頼も得やすくなるでしょう。

しかし、導入にコストがかかることや、バックアップデータの転送に時間がかかってネットワークへの負荷が大きくなることに留意する必要があります。

ディザスタリカバリを行う際の注意点

ディザスタリカバリを行う際の注意点

さまざまな災害から自社のシステムを守り、被害を最小限に抑えるためには、より効果的なディザスタリカバリを実施していくことが大切です。ここでは特に注意しておきたい、3つのポイントを紹介します。自社で取り組む際の参考にしてください。

データの保管場所を考慮する

先に述べたように、自社拠点とバックアップ保管場所とが近すぎると、同時に被災するリスクが大きくなります。そのため、複数のバックアップを取り、それぞれを別地域で保管することが重要です。東日本大震災を教訓に、500~1,000km程度離れた地域で保管することがディザスタリカバリでは主流となっています。
また、バックアップを遠隔地に置く場合は、どのような災害が考えられるエリアなのかをあらかじめ調べておくことが大切です。同じ電力事業者管内に保管することにもリスクがあります。

災害発生のタイミング・場所は事前に予測できず、リスクをゼロにはできません。したがって「災害は起きるもの」としてその影響やリスクを低減できるよう、データの保管場所を慎重に検討してください。

非常時のことを想定して手順は簡潔に

ディザスタリカバリは災害などの非常時、いかにシステムを早期に復旧させるかが重要な目標となります。手順が難しかったり、複雑であったりすれば結局時間や手間がかかり、取り組みの意味がなくなってしまいます。
そのため、たとえどのような非常事態になっても、誰でも混乱なく手順を踏めるように、ディザスタリカバリはシンプルでわかりやすい手順にしておくことが大切です。

導入コストを検討する

ディザスタリカバリを行うにあたって、ツールやシステムを採用する場合は、その機能性や期待できる効果とともに、導入や運用のコストも選択のポイントとなります。ITシステムへの依存度が高い企業やデータの厳密な正確性が求められる企業では、ディザスタリカバリにかけるコストも上がるでしょう。一方、そういった条件に該当しない企業もあり、どの程度のコストが適切かを見極めることが大切です。自社にとって、どれほどの利用規模になるのかを試算すれば、省コスト化や最適化を図れるようになります。

まとめ

近年クラウドシステムは普及が進み、技術も進歩してきているものの完全ではありません。そのため、クラウドへの移行を進めていく企業こそ、自然災害やサイバー攻撃などさまざまな脅威への対策を進めていくことが大切です。万一の障害対応や、日々の運用管理も、技術的な面だけではなく、業務効率化やコスト削減など、経営全体を見据えて取り組むことが求められています。

株式会社Y2Sが手がけるアウトソーシングサービスでは、24時間365日有人監視を行い、障害発生時には必要に応じて直接復旧作業に駆けつけます。また、サイバーセキュリティとデータ保護を包括的にカバーできるソリューションとして、Acronis Cyber Protect Cloudもおすすめです。ディザスタリカバリと並行し、障害対策・セキュリティ対策も検討してみてください。