【情報処理安全確保支援士】BCPとDRの違いとは？災害時の事業継続とシステム復旧を完全解説

企業を取り巻くリスクは、自然災害からサイバー攻撃まで多岐にわたります。こうした危機的状況において、組織が生き残れるかどうかは、事前の準備次第です。

本記事では、混同されがちな「BCP（事業継続計画）」と「DR（災害復旧）」の違いから、実践的な策定手順、クラウド時代の最新復旧戦略まで徹底解説します。情報処理安全確保支援士試験の午後問題で問われる深い理解レベルを目指します。

BCP（事業継続計画）とDR（災害復旧）の本質的な違い

BCPとDRは密接に関連していますが、その対象範囲と目的は明確に異なります。この違いを理解することが、試験対策の第一歩です。

BCP：事業全体を守る包括的な戦略

BCP（Business Continuity Plan）は「事業継続計画」を意味し、予期せぬ事態が発生しても事業を継続させる、または最短時間で再開させるための総合的な行動計画です。

BCPの対象範囲はITシステムに限定されません。以下のような要素を含む包括的な計画です。

• 従業員の安全確保と安否確認システムの運用
• 代替オフィスの確保と指揮命令系統の移転
• 緊急時の資金調達と決済手段の確保
• サプライチェーンの代替調達先の選定
• 顧客・株主・メディアへの危機広報対応

BCPは「ビジネス」を主語とした、組織の生存戦略そのものです。

DR：ITシステムに特化した復旧計画

DR（Disaster Recovery）は「災害復旧」を意味し、BCPの一部として、特にITシステムとデータの復旧に焦点を当てた計画です。

現代のビジネスでは、ITシステムの停止は事業停止と同義です。そのため、DRはBCPの中で極めて重要な位置を占めますが、あくまで「BCPという目的を達成するためのIT手段」として位置づけられます。

DRの主な活動内容は以下の通りです。

• バックアップデータの復元（リストア）手順の実行
• 予備サーバーへの切り替え（フェイルオーバー）
• ネットワーク通信経路の再構築

包含関係の理解が試験突破の鍵

BCPは組織全体の戦略であり、その中にITシステム部門が担当するDRが含まれる構造です。BCP策定には経営層や各事業部責任者が主体となり、DR策定にはCIO（最高情報責任者）やシステム管理者が中心的役割を果たします。

両者の連携が不十分だと「システムは復旧したが社員が出社できない」「社員は無事だがシステムが動かず業務処理ができない」といったミスマッチが発生します。

復旧計画を数値化する4つの重要指標

BCP/DRを具体化する際、避けて通れないのが「時間の指標」です。これらは情報処理安全確保支援士試験の午後問題で頻出する最重要項目です。

RPO（Recovery Point Objective：目標復旧時点）

「過去のどの時点のデータまで復元できるか」を示す指標です。データ損失の許容範囲を定義します。

• 1日1回の夜間バックアップ：RPOは最大24時間前
• リアルタイム同期システム：RPOは数秒前

RPOが短いほど、システム投資額は大幅に増加します。業務の重要度とコストのバランスが重要です。

RTO（Recovery Time Objective：目標復旧時間）

「災害発生からどれくらいの時間でシステムを再稼働させるか」を示す指標です。許容されるダウンタイムの長さを定義します。

• ECサイト：災害発生から3時間以内に再開
• 社内文書管理システム：24時間以内に再開

RTOが短いほど、高可用性を実現するための冗長化投資が必要になります。

RLO（Recovery Level Objective：目標復旧レベル）

「どの程度の性能や機能で復旧させるか」を示す指標です。完全復旧か縮退運転かを定義します。

• 平常時100%の処理能力 → 非常時は重要顧客のみ対応する50%の能力で稼働
• 全機能の提供 → 注文受付機能のみに限定した縮退モード

緊急時に全ての機能を完全復旧させるのは現実的でない場合が多く、優先順位に基づいた段階的復旧を計画します。

MTPD（Maximum Tolerable Period of Disruption：最大許容停止時間）

「これを超えたら事業が倒産・破綻する」というデッドラインです。法的規制や顧客とのSLA（サービスレベル合意）によって決定される、絶対に守るべき時間制限です。

RTOは必ずMTPDよりも短く設定する必要があります（RTO < MTPD）。安全マージンを確保した設定が求められます。

これらの指標は、システム部門だけで決定できません。「ECサイトが1日停止すると1億円の損失が発生するため、コストをかけてでもRTOは1時間以内にする」といった経営判断（ビジネスインパクト分析）が必須です。

バックアップサイト戦略：コストと復旧速度のトレードオフ

DR（災害復旧）の中核となるのが、メインセンターが被災した際に切り替える「バックアップサイト（副センター）」の構築です。情報処理安全確保支援士試験では、コストと復旧速度のバランスを考慮したサイト選定が頻出します。

ホットサイト（Hot Site）：瞬時切り替えの最高性能

本番環境と同等の機材・データ・ネットワークを常時稼働待機させる方式です。

特徴

• データのリアルタイム同期により、切り替えは瞬時～数分で完了
• RTO、RPOともに極めて短く設定可能

メリット

• 最速の復旧が実現できる
• データ損失リスクが最小

デメリット

• 常に2倍のインフラコストが発生し、維持費が極めて高額

適用例

• 証券取引システム
• 銀行の勘定系システム
• 救命救急センターの医療情報システム

ウォームサイト（Warm Site）：中間的なバランス型

機材は設置済みだが、電源が入っていない、またはアプリケーションが起動していない状態を維持する方式です。本番より性能の低い機材を配置する場合もあります。

特徴

• 災害発生後にバックアップメディアからデータをリストアし、アプリケーションを起動
• 復旧には数時間～数日を要する

メリット

• ホットサイトより大幅に低コスト
• 一定の復旧速度を確保

デメリット

• 復旧作業に人員と時間が必要
• 最新データ反映にタイムラグが発生

適用例

• 社内業務システム
• メールサーバー
• 日次更新のWebサイト

コールドサイト（Cold Site）：最小コストの長期復旧型

通信回線や電源設備、場所のみを確保し、機材は災害発生後に調達・搬入する方式です。

特徴

• 復旧には数週間～数ヶ月を要する場合がある

メリット

• 維持コストが最も安価
• 場所の確保のみで対応可能

デメリット

• 復旧に長時間を要する
• 緊急時の機材調達リスク（在庫切れ等）が存在

適用例

• 重要度が低いシステム
• 長期間停止しても代替手段（紙運用など）があるシステム

クラウド時代のDR戦略：Multi-Region / Multi-AZ構成

近年、物理的なバックアップサイトの自社構築に代わり、AWS・Azure・Google Cloudなどのパブリッククラウドを活用するケースが標準になっています。

マルチAZ（Availability Zone）構成

同一リージョン（例：東京）内の物理的に離れたデータセンター間で冗長化する方式です。

• データセンター火災や停電には対応可能
• 大規模震災（東京直下型地震など）には耐えられない可能性がある

マルチリージョン構成

東京リージョンと大阪リージョンなど、地理的に遠隔地で冗長化する方式です。

• 物理的なホットサイト構築と比較して低コスト
• Infrastructure as Code (IaC) を活用し、有事の際のみリソースを起動する「パイロットライト方式」が実現可能
• 平常時はスナップショットとテンプレートのみ保管し、コストを最小化

情報処理安全確保支援士試験でも「クラウドを活用したBCP/DR」は頻出テーマです。「東京で稼働するシステムを、いかに低コストで大阪リージョンに復旧させるか」という設計力が問われます。

BIA（ビジネスインパクト分析）：守るべき優先順位の決定

「サーバーを二重化する」といった技術論から入るのは、失敗するBCPの典型例です。まず「何を守るべきか」を明確にする分析が必要です。それがBIA（Business Impact Analysis：ビジネスインパクト分析）です。

ステップ1：重要業務の特定と優先順位付け

組織内の全業務をリストアップし、優先順位を決定します。

「給与支払いシステムが1週間遅延しても倒産はしないが、顧客からの受注システムが1日停止すると信用を失い、顧客が競合他社に流出する」といった現実的な判断を行います。

ここで特定される「中核事業」が、BCP/DR対策の最優先対象となります。

ステップ2：被害想定とMTPD（最大許容停止時間）の算定

特定した重要業務が停止した場合の影響を、定量的・定性的に評価します。

定量的評価（数値化可能な損害）

• 売上損失額の算出
• 違約金の発生額
• 復旧作業の人件費

定性的評価（数値化困難な損害）

• 企業の社会的信用の失墜
• ブランドイメージの低下
• 顧客離れによる長期的な売上減少

これらの評価結果に基づき、「いつまでなら停止が許容されるか（MTPD）」を決定します。これがRTO（目標復旧時間）設定の根拠となる重要な指標です。

ステップ3：依存リソース（ボトルネック）の洗い出し

重要業務を継続・復旧させるために不可欠なリソース（経営資源）を特定します。

ITリソース

• サーバー、ストレージ、ネットワーク機器
• PC、タブレット等のエンドポイント
• SaaSアカウントとライセンス

人的リソース

• システム運用担当者
• 保守ベンダーの技術者
• 承認権限を持つ管理者

物理リソース

• オフィススペース
• 電力供給設備
• 特殊な帳票用紙や専用機器

情報処理安全確保支援士試験では、「業務Aを継続するためにはシステムBが必要だが、システムBはサーバーCとネットワークDに依存している」といった依存関係の整理が問われます。

リスクアセスメント：脅威の特定と優先順位付け

BIAで「守るべきもの」が明確になったら、次は「何から守るか」を分析します。これがリスクアセスメントです。

全ての脅威に完璧に備えることは予算的に不可能です。発生確率と影響度をマトリクスで評価し、対策の優先順位を決定します。

主要な脅威の分類

自然災害

• 地震、津波
• 台風、洪水
• 落雷、豪雪

ハザードマップの確認により、拠点ごとのリスクを定量的に評価します。

人為的災害

• 火災
• 人的操作ミス
• 内部不正による破壊行為

技術的脅威

• ランサムウェア攻撃
• DDoS攻撃
• ハードウェア故障
• 通信回線の障害

社会的脅威

• パンデミック
• テロリズム
• 大規模暴動

サイバー攻撃の脅威増大とDR戦略の進化

従来のDRは物理障害対策が中心でしたが、現在は「サイバー攻撃からの復旧」も同等以上に重要です。

特にランサムウェア攻撃では、「バックアップデータも暗号化されて復元不可能になる」事態が発生しています。これを防ぐため、以下の対策が必須です。

• バックアップデータのオフライン保管（テープバックアップ、エアギャップ環境）
• イミュータブル（書き換え不可）ストレージの活用
• バックアップシステムへのアクセス権の厳格な制限
• 世代管理による複数時点のバックアップ保持

情報処理安全確保支援士試験では、「ランサムウェア感染時の復旧手順」が頻出テーマとなっています。

有事の指揮系統：組織体制とコミュニケーション設計

完璧な書類上の計画があっても、人が適切に動けなければ意味がありません。BCP発動時の組織体制（Emergency Response Team）を明確に定義する必要があります。

役割分担の明確化

対策本部長

• 社長または役員が担当
• BCP発動の最終決定
• 撤収・通常運転への復帰判断

情報収集班

• 被害状況の集約
• 社員の安否確認
• 交通機関・ライフラインの状況把握

対外対応班

• 顧客への状況説明と謝罪
• メディア対応窓口
• 取引先への連絡

システム復旧班

• IT担当者と保守ベンダーで構成
• DR手順の実行
• 復旧状況の報告

エスカレーションルールの策定

「誰が、どのような状況で、誰に報告するか」という連絡網（連絡フロー）を整備します。

平時の連絡手段（社内チャットやメール）が使用不可能な状況を想定し、以下のような多重化された連絡手段を用意します。

• 安否確認システム（専用サービス）
• 衛星電話
• 個人のSNSアカウント
• 事前に指定した集合場所

情報処理安全確保支援士試験では、「担当者が独自判断でサーバーを再起動し、ログが消失して原因究明が不可能になった」という失敗事例が出題されます。「インシデント発生時は証拠保全を優先し、リーダーの指示に従って対処する」という手順の順守が重要です。

計画の陳腐化を防ぐ：訓練と維持管理のPDCAサイクル

BCP/DR策定の最大の敵は「陳腐化」です。計画策定の翌月にシステム構成が変更されたり、担当者が退職したりすることは珍しくありません。

「手順書のパスワードが古い」「バックアップテープの保管場所が変わって不明」といった事態を防ぐため、PDCAサイクルによる継続的な改善が必須です。

BCPのテスト・演習手法

机上ウォークスルー（Desk Check）

関係者が会議室に集まり、計画書を読み合わせながらシミュレーションを実施します。

• 「この担当者に連絡がつかない場合の代替手段は?」
• 「この手順で本当にシステムが復旧するか?」

といった矛盾点や抜け漏れを洗い出すのに効果的です。コストをかけずに実施できる基本的な訓練方法です。

シミュレーション訓練

特定のシナリオ（例：日曜深夜のランサムウェア感染発覚）に基づき、実際に連絡網を回したり、模擬的な意思決定を行います。

時間的制約の中で適切な判断ができるか、連絡手段が実際に機能するかを検証できます。

システム切り替え訓練（DR訓練）

実際に本番系を停止（またはネットワーク遮断）し、バックアップサイトへの切り替えを実行します。

最も実効性が高い訓練ですが、業務影響のリスクも伴うため、入念な準備と経営層の承認が必要です。切り替え後の動作確認、切り戻し手順の確認まで含めて実施します。

計画のメンテナンスタイミング

定期的な見直し

• 年1回など、決まった時期に計画を見直す
• 訓練結果や監査指摘事項を反映

イベント発生時の見直し

• 大規模な人事異動（担当者の変更）
• システムの更改や構成変更
• オフィスの移転・統廃合
• 新たな法的規制の施行

ISO 22301（事業継続マネジメントシステム：BCMS）の認証取得企業では、これらの維持管理プロセスが厳密に審査されます。認証取得は、取引先や顧客への信頼性アピールにもつながります。

BCPとDRの違い、正しく理解できていますか？ 実力診断・練習問題10選

「なんとなくわかっているつもり」が一番危険です。災害時に本当に機能する計画を立てるために必要な基礎知識と応用力を、厳選された練習問題でチェックしてみませんか？経営視点のBCPと技術視点のDR、その両輪を理解してこそ「災害に強いエンジニア」と言えます。

まとめ：BCP/DRは経営戦略であり投資判断

BCPとDRは、単なる「防災マニュアル」や「バックアップ作業」ではありません。企業の存続を左右する経営戦略そのものです。

本記事の重要ポイント

1. BCPは事業全体、DRはITシステムを対象とし、両者は包含関係にある
2. RPO（データ）、RTO（時間）、RLO（レベル）、MTPD（期限）の4指標をビジネス視点で定義する
3. ホット・ウォーム・コールド・クラウドの各サイト方式を、コストとリスクのバランスで選択する
4. BIA（ビジネスインパクト分析）なしに実効性のある計画は策定できない
5. ランサムウェア対策はDRの重要な要素として位置づける
6. 訓練と更新を継続しない計画は、有事の際に機能しない

情報処理安全確保支援士試験での出題傾向

この分野は「技術力」だけでなく「マネジメント能力」や「ビジネス理解度」を問う重要テーマです。

• 「なぜそのRTOを設定したのか?」
• 「なぜそのバックアップ方式を選択したのか?」

という問いに対し、経営的視点（コスト、リスク、事業影響）と技術的視点（実現可能性、手順）の両面から論理的に説明できる力が求められます。

実践への第一歩

完璧な計画を一度で作成しようとする必要はありません。まずは現状のリスクを可視化し、できるところから対策を実施し、訓練を通じて段階的にブラッシュアップしていく姿勢が重要です。

「想定外」という言葉で済まされない時代において、BCP/DRは企業の社会的責任でもあります。情報処理安全確保支援士として、技術的な知識だけでなく、組織全体を守る視点を持つことが求められています。