「BCP対策をやってくれ」と経営層から言われて、途方に暮れていませんか。事業継続計画と聞くと大企業がやることだと思われがちですが、実は中小企業こそBCPが必要なんです。なぜなら、災害やシステム障害が起きたとき、大企業には潤沢な予算と人員がありますが、中小企業にはそれがないからです。1週間業務が止まったら資金繰りが厳しくなる、そんな現実と向き合っている企業は少なくありません。
私は30年のIT業界経験の中で、PMOとしてBCP関連プロジェクトに何度も関わってきました。大掛かりなシステム投資をしなくても、IT観点で押さえるべきポイントを絞れば、中小企業でも現実的なBCP対策は可能です。この記事では、コストを抑えながら段階的に実装できる5つのポイントを、実務目線で解説していきます。
中小企業がBCP対策でつまずく3つの現実
まず、BCP対策がなぜ進まないのか、中小企業特有の事情を整理しておきましょう。理想論だけでは現場は動きません。
予算がない、という壁
BCP対策の話になると、必ず出てくるのが予算の問題です。「DR(災害復旧)サイトを構築しましょう」「冗長化しましょう」といった提案を受けても、数千万円の投資は現実的ではありません。中小企業の年間IT予算が数百万円程度という会社も珍しくない中で、BCP専用の予算を確保するのは至難の業です。
しかし、予算がないからといって何もしないのは危険です。東日本大震災以降、取引先から「BCPはありますか」と聞かれることが増えました。答えられないと、それだけで取引の継続が危うくなる時代になっているんですよね。
専任担当者がいない、という現実
大企業ならBCP担当部署がありますが、中小企業では総務担当が兼務、場合によっては社長自らが考えなければならないこともあります。本来の業務がある中で、BCPまで手が回らない。そもそも何から始めればいいのか分からない。こうした状況が、BCP対策を後回しにさせている大きな要因です。
IT担当者も同様です。日々のシステム運用、トラブル対応、ユーザーからの問い合わせ対応に追われている中で、「もしもの時」の対策まで考える余裕がないのが実情でしょう。
何をどこまでやればいいのか分からない
BCP対策の最大の難しさは、ゴールが見えにくいことです。「完璧なBCP」を目指すとキリがありません。どんな災害を想定すればいいのか、どこまでリスクをカバーすればいいのか、その判断基準が曖昧なまま検討を始めると、結局何も決まらないまま時間だけが過ぎていきます。
2018年の大阪北部地震の時、関西の中小企業数社で「サーバが倒壊して業務停止」という事態を目の当たりにしました。当時関わっていたクライアントの1社も、社内サーバが机から落下してデータ消失。バックアップは毎日取っていたものの、そのバックアップ媒体も同じオフィスに置いてあって全滅でした。そこでBCPの一環として「クラウドバックアップ + 遠隔地保管」を組み合わせる体制を提案・実装しました。費用は月1.5万円程度の追加でしたが、これで仮にオフィスが全壊しても1時間以内に別拠点で業務再開できる構成になりました。BCPは「災害が起きてから」では遅い。地味だが確実な備えが命運を分けると痛感した経験です。
この経験から学んだのは、「完璧を目指さない」ということです。中小企業のBCP対策は、まず最低限のラインを引いて、そこから段階的に充実させていく。そのアプローチが現実的なんです。
IT観点で押さえるべき5つのポイント
それでは、中小企業が現実的に取り組めるBCP対策を、IT観点から5つのポイントに絞って解説します。いずれも、数百万円の予算をかけずに実装できるものばかりです。
ポイント1:データバックアップの3-2-1ルール
BCP対策の基本中の基本がデータバックアップです。しかし、ただバックアップを取ればいいというものではありません。バックアップには「3-2-1ルール」という鉄則があります。
3-2-1ルールとは、データを3つのコピーで保持し、2種類の異なる媒体に保存し、1つは遠隔地に置く、という考え方です。たとえば、業務サーバーに原本があり(1つ目)、同じオフィス内のNASに日次バックアップを取り(2つ目)、クラウドストレージに週次バックアップを取る(3つ目)。これでオフィスが被災しても、クラウド上のデータから復旧できます。
中小企業でよくある失敗例が、サーバーと同じオフィス内にバックアップ用のHDDを置いているケースです。火災や水害が起きたら、原本もバックアップも一緒に失われてしまいます。遠隔地バックアップは必須なんです。
もう一つ重要なのが、バックアップからの復旧テストです。バックアップを取っていても、いざという時に復旧できなければ意味がありません。年に一度は、バックアップデータから実際にシステムを復旧させる訓練を行うべきです。私の経験では、復旧テストをやってみると3割くらいの確率で何か問題が見つかります。バックアップ設定が途中から動いていなかった、暗号化されたファイルが復号できなかった、など。
ポイント2:クラウド活用でオフィス依存を減らす
オンプレミス(自社内設置)のシステムは、オフィスが使えなくなると業務が止まります。クラウドサービスに移行しておけば、オフィスに行けない状況でも業務を継続できる可能性が高まります。
特に中小企業で優先的にクラウド化すべきなのは、以下の3つです。
- メールシステム(Microsoft 365、Google Workspaceなど)
- ファイルサーバー(OneDrive、Google Drive、Dropbox Businessなど)
- 業務システム(会計、販売管理などのクラウド版)
クラウド化のメリットは、場所を選ばずアクセスできることだけではありません。サービス提供側がデータセンターを複数持っていて、冗長化されている点も大きいです。自社で冗長化するには莫大なコストがかかりますが、クラウドサービスなら月額料金の中にその仕組みが含まれています。
ただし、クラウド化にも注意点があります。インターネット回線が切れたら使えないということです。後述しますが、通信手段の確保とセットで考える必要があります。また、クラウドサービス側の障害もゼロではありません。2021年にはGoogle Workspaceで大規模障害が発生し、多くの企業が影響を受けました。「クラウドだから絶対安全」ではなく、「オンプレミスよりは可用性が高い」という理解が正しいです。
ポイント3:リモートワーク体制の整備
新型コロナウイルスのパンデミックで、多くの企業が急遽リモートワーク体制を構築しました。これは結果的に、BCP対策として非常に有効な投資になったと思います。オフィスに出社できない状況でも業務を継続できる体制があれば、地震や水害、交通機関の麻痺といった事態にも対応できます。
リモートワーク体制で最低限押さえるべきIT要素は3つです。
1. VPN接続またはゼロトラストアクセス
社内ネットワークに安全にアクセスする仕組みです。従来はVPN(Virtual Private Network)が主流でしたが、最近はゼロトラストアーキテクチャという考え方も広がっています。中小企業なら、まずはVPNで十分でしょう。ルーターにVPN機能が付いていることも多いので、追加コストなしで始められる場合もあります。
2. Web会議システム
ZoomやMicrosoft Teamsなどのツールです。これは今やほとんどの企業で導入済みでしょう。重要なのは、全社員が使い慣れていることです。緊急時にマニュアルを読みながら使うのでは遅すぎます。日常的に使って、操作に慣れておくことがBCP対策にもなります。
3. 業務端末の持ち出し許可またはBYOD
自宅で業務ができるための端末が必要です。会社PCの持ち帰りを許可するか、BYOD(Bring Your Own Device、私物端末の業務利用)を認めるか、方針を決めておく必要があります。セキュリティポリシーとの兼ね合いで悩ましい部分ですが、BCPの観点では柔軟な運用が求められます。
リモートワーク体制の盲点は、紙の書類や押印です。請求書や契約書が紙ベースの運用だと、どうしてもオフィスに行かなければなりません。電子契約サービスの導入や、社内承認フローの電子化も、BCP対策の一環として考えるべきです。
ポイント4:通信手段の冗長化
いくらクラウド化しても、リモートワーク体制を整えても、インターネットに繋がらなければ何もできません。通信手段の確保は、意外と見落とされがちなポイントです。
中小企業のオフィスでは、1本の光回線に依存していることが多いです。その回線が切れたら業務停止です。理想は、異なるキャリアの回線を2本引いて冗長化することですが、コストがかかります。現実的な対策として、以下の2つを提案します。
1. モバイルWi-Fiルーターの常備
平時は使わなくても、緊急時用にモバイルWi-Fiルーターを数台用意しておきます。月額数千円で維持できるプランもあります。固定回線が切れたときのバックアップ回線として機能します。
2. スマートフォンのテザリング活用
社員のスマートフォンでテザリングできるプランになっているか確認しておきましょう。いざという時、スマホ経由でノートPCをインターネットに繋げれば、最低限の業務は継続できます。
また、連絡手段の多様化も重要です。社内の連絡をメールだけに依存していると、メールサーバーが止まったときに連絡が取れなくなります。SlackやMicrosoft Teams、LINEなど、複数の連絡チャネルを用意しておくことをお勧めします。私がPMOとして関わったプロジェクトでは、緊急連絡用にLINEグループを作っておき、平時から「おはよう」程度の投稿をして、使える状態を維持していました。
ポイント5:復旧手順書の整備と定期訓練
最後のポイントは、システム復旧の手順書です。どんなに立派なバックアップ体制があっても、復旧手順が分からなければ絵に描いた餅です。しかも、復旧作業を担当するIT担当者が被災して連絡が取れない可能性もあります。誰でも復旧作業ができるように、手順書を整備しておく必要があります。
復旧手順書に記載すべき内容は以下の通りです。
- 各システムの復旧優先順位(何から復旧させるか)
- バックアップデータの保管場所とアクセス方法
- システムごとの復旧手順(スクリーンショット付き)
- 必要な機器やライセンス情報
- ベンダーやサービス提供元の緊急連絡先
- 復旧完了の確認方法
復旧手順書は、作っただけでは意味がありません。定期的に訓練を行うことが不可欠です。年に一度、「今日からオフィスが使えなくなったという想定で、クラウドとリモート環境だけで業務を継続してください」という訓練を実施してみてください。必ず何か問題が見つかります。それを一つずつ潰していくことで、実効性のあるBCP対策になっていきます。
訓練のハードルが高いと感じるなら、まずは「復旧手順書を見ながら実際にシステムを復旧させてみる」だけでも構いません。IT担当者以外の人にやってもらうと、手順書の不備が浮き彫りになります。「この専門用語が分からない」「この画面がどこにあるか分からない」といったフィードバックが得られれば、それを反映して手順書をブラッシュアップしていけばいいのです。
脅威別の対策ポイント
ここまで5つの基本ポイントを解説してきましたが、想定する脅威によって優先すべき対策は変わります。主な脅威別に、IT観点で特に注意すべきポイントを整理しておきます。
地震・水害などの自然災害
自然災害で最も怖いのは、オフィスや設備の物理的な損壊です。サーバーが水没したり、建物に入れなくなったりする事態を想定する必要があります。
対策の優先順位は、データの遠隔地バックアップとクラウド化です。オフィスが使えなくなっても、データさえ残っていれば、別の場所でシステムを再構築できます。逆に、データが失われたら復旧は極めて困難です。
また、地震や水害は広域で発生するため、社員の安否確認システムも重要になります。IT部門だけの問題ではありませんが、安否確認サービス(セコムやトヨクモなどが提供)の導入も検討すべきでしょう。IT担当者が被災して連絡が取れない場合に備えて、復旧作業を引き継げる体制も必要です。
サイバー攻撃(ランサムウェア等)
近年急増しているのが、ランサムウェア攻撃によるデータ暗号化です。中小企業も標的になっており、「うちは狙われない」と思っているのは危険です。
ランサムウェア対策で最も重要なのは、バックアップの隔離です。ネットワークに常時接続されたバックアップは、ランサムウェアに感染すると一緒に暗号化されてしまいます。オフライン保存や、読み取り専用設定のクラウドバックアップなど、マルウェアからバックアップを保護する仕組みが必要です。
また、多要素認証(MFA)の導入も有効です。ID・パスワードだけでなく、スマートフォンアプリやSMSでの認証を追加することで、アカウント乗っ取りのリスクを大幅に減らせます。Microsoft 365やGoogle Workspaceは標準で多要素認証に対応しているので、必ず有効化しておきましょう。
サイバー攻撃への対策は、BCPというより情報セキュリティの領域ですが、攻撃を受けた後の復旧という意味ではBCPの一部です。セキュリティ対策とBCP対策を別々に考えるのではなく、統合的に捉えることが大切です。
パンデミック(感染症)
新型コロナウイルスで多くの企業が経験したように、パンデミックは「オフィスに行けない」「社員が出勤できない」という事態を引き起こします。しかし、サーバーやネットワークは無事なので、自然災害とは対策の方向性が異なります。
パンデミック対策の核心は、リモートワーク体制の整備です。VPN接続、Web会議、クラウドサービスへのアクセス。これらが全社員に行き渡っているか、全員が使いこなせるか。平時からテレワークを実施して、運用面の課題を洗い出しておくことが重要です。
もう一つのポイントは、業務プロセスのデジタル化です。紙の書類や押印が必要な業務は、パンデミック時に大きなボトルネックになります。電子契約や電子承認フローの導入を進めることが、間接的なBCP対策になります。
段階的に進めるBCP対策のロードマップ
ここまで読んで、「やることが多すぎて無理だ」と感じた方もいるかもしれません。大丈夫です。すべてを一度にやる必要はありません。段階的に進めるロードマップを示します。
フェーズ1(最初の3ヶ月):最低限の防御
まずは、データを失わないための最低限の対策から始めます。
- 重要データのクラウドバックアップ開始
- バックアップからの復旧テスト(1回だけでもやる)
- 主要システムの復旧手順書の初稿作成
- 緊急連絡網の整備(電話番号、メールアドレスのリスト化)
この段階では完璧を目指さず、「とにかく最悪の事態(データ消失)を避ける」ことに集中します。予算もほとんどかけずに実施できる内容です。
フェーズ2(4〜12ヶ月):リモートワーク体制の構築
次に、オフィスに行けない状況でも業務を継続できる体制を整えます。
- VPN環境の整備
- Web会議システムの全社展開と操作研修
- 主要業務システムのクラウド化検討・実施
- リモートワーク試行期間の設定(週1回など)
- 電子契約サービスの導入検討
この段階で、ある程度の予算(数十万円〜百万円程度)が必要になります。経営層には「取引先からBCPを求められる時代になっている」「新規取引の条件になることもある」と説明して、予算を確保しましょう。
フェーズ3(2年目以降):体制の充実と訓練
基本的な体制が整ったら、精度を上げていく段階です。
- 通信手段の冗長化(モバイルWi-Fiルーターの配備など)
- 復旧手順書のブラッシュアップ
- 定期的な復旧訓練の実施(年1回以上)
- BCP対策の見直し(新しい脅威や環境変化への対応)
BCP対策に「完成」はありません。事業環境が変われば、対策も見直す必要があります。新しい業務システムを導入したら、その復旧手順も追加する。クラウドサービスを乗り換えたら、アクセス方法を更新する。継続的な改善が重要です。
中小企業向けBCPツール紹介
最後に、中小企業でも導入しやすい、BCP対策に役立つITツールを紹介します。
1. バックアップ・クラウドストレージ系
Acronis Cyber Protect
サーバーやPCの丸ごとバックアップができるソフトウェアです。クラウドバックアップにも対応しており、ランサムウェア対策機能も付いています。
便利な点は、物理サーバーでも仮想サーバーでも同じ操作でバックアップできることです。復旧も簡単で、別のハードウェアにもリストアできる柔軟性があります。
使いこなしの難しさとしては、バックアップ先の容量管理があります。クラウドバックアップは容量に応じて料金が増えるので、保存期間や世代管理をきちんと設定しないと、コストが予想外に膨らむことがあります。初期設定時に、どれくらいの容量になるかシミュレーションしておくことをお勧めします。
Dropbox Business
ファイルサーバーの代替として使えるクラウドストレージです。ファイルの履歴管理やアクセス権限の細かい設定ができるので、中小企業には十分な機能です。
便利なのは、デスクトップアプリを入れると、エクスプローラー(Windowsの場合)やFinder(Macの場合)で普通のフォルダのように扱えることです。ユーザーからすると、今までのファイルサーバーと同じ感覚で使えるので、移行時の抵抗感が少ないです。
注意点は、誤削除や上書きの問題です。クラウドストレージは同期が速いので、間違ってファイルを削除すると瞬時に全員の環境から消えてしまいます。Dropboxにはファイル復元機能がありますが、気づくのが遅れると復元できないこともあります。定期的にローカルバックアップを取っておくことも検討すべきです。
2. リモートアクセス系
Yamaha RTXシリーズ(ルーター)
中小企業のネットワーク機器として定評のあるYamahaのルーターです。VPN機能が標準で搭載されており、リモートから社内ネットワークに安全にアクセスできます。
Yamahaルーターの良いところは、信頼性の高さと日本語ドキュメントの充実です。設定例がWebで公開されているので、ネットワークの専門家でなくても、ある程度の設定ができます。
難しさは、VPNの設定自体が初心者には敷居が高いことです。IPsecやL2TP/IPsecといった用語が出てきて、設定項目も多いです。初回の設定はベンダーやSIerに依頼して、その後の運用を自社で行うという形が現実的でしょう。
TeamViewer
リモートデスクトップツールです。自宅から会社のPCを遠隔操作できるので、VPNを構築せずにリモートワークを実現する手段の一つです。
TeamViewerの利点は、導入が簡単なことです。ソフトをインストールして、相手のIDとパスワードを入力するだけで接続できます。VPNのようなネットワーク設定が不要なので、IT知識がなくても使い始められます。
一方で、セキュリティ面では注意が必要です。IDとパスワードが漏れると、誰でも会社のPCにアクセスできてしまいます。必ず強固なパスワードを設定し、可能なら二要素認証を有効にしておくべきです。また、無人アクセス(誰もいない時に遠隔操作)を許可する設定は、セキュリティリスクが高いので慎重に判断してください。
3. 安否確認・連絡系
安否確認サービス2(トヨクモ)
災害時に社員の安否を自動的に確認できるクラウドサービスです。地震などの災害が発生すると、自動的に社員にメールやSMSで安否確認の通知が送られます。
便利なのは、管理者が手動で発動する必要がないことです。震度5弱以上の地震が発生したら自動的に発動する設定にしておけば、管理者自身が被災していても安否確認が回ります。社員は、スマホで簡単に「無事です」「被災しました」などを報告でき、管理者は集計結果をダッシュボードで確認できます。
導入時の課題は、社員の連絡先情報(メールアドレスや携帯番号)の登録です。正確な情報を集めるのが意外と大変で、定期的に更新しないと、退職者にメールが送られたり、携帯番号が変わっていて届かなかったりします。年に一度、テスト発動をして情報の正確性を確認することが運用のポイントです。
Slack(ビジネスプラン)
チャットツールですが、緊急連絡手段としても有効です。メールと違って既読が分かりやすく、スレッド形式でやり取りできるので、緊急時の情報共有に向いています。
Slackの良いところは、スマホアプリでも使いやすく、プッシュ通知で即座に情報が届くことです。災害時にメールが埋もれて気づかないということが減ります。また、ファイル共有も簡単なので、復旧作業の手順書をアップロードして、すぐに共有できます。
注意点としては、Slack自体に障害が発生するリスクもあることです。過去に数時間アクセスできなくなった事例があります。Slackだけに依存せず、電話連絡網やメールなど、複数の連絡手段を確保しておくことが重要です。
まとめ:完璧を目指さず、できることから始める
中小企業のBCP対策は、予算も人手も限られている中で、何とかして事業を守らなければならないという厳しい現実との戦いです。大企業のような万全な体制は作れないかもしれませんが、何もしないよりは、最低限の対策をしておくことが重要です。
この記事で解説した5つのポイント(データバックアップ、クラウド活用、リモートワーク体制、通信手段確保、復旧手順整備)は、どれも数十万円から百万円程度の予算で実現可能なものばかりです。段階的に進めていけば、2年程度で一通りの体制が整います。
BCP対策の本質は、「完璧なシステムを作ること」ではなく、「いざという時に事業を継続できる準備をしておくこと」です。100点満点のBCPは中小企業には無理でも、60点のBCPなら現実的に作れます。その60点があるかないかで、災害時の復旧スピードは大きく変わります。
まずは、自社の重要データがどこにあるか棚卸しをして、それをクラウドにバックアップするところから始めてみてください。そこから一つずつ、できることを積み上げていけば、気がつけばBCP体制が整っているはずです。完璧を目指さず、できることから始める。それが中小企業のBCP対策の現実的なアプローチだと、私は経験から確信しています。
コメント