Stepio

BCPとは?事業継続計画とRTO/RPOをやさしく解説

BCPとは?事業継続計画とRTO/RPOをやさしく解説

ITパスポート BCPとは?事業継続計画とRTO/RPOをやさしく解説

BCPの仕組みを考えるビジネスパーソン
「BCPって、防災計画と何が違うの?」
「RTOとRPOって、どこが違うの?」
「DRサイトって、本当に必要なの?」

そんな疑問を抱える、ITパスポートを学び始めたあなたへ。

結論から言えば、
BCPとは、災害や障害が起きても事業を止めない・早く戻すための計画です
と説明されるのが一般的です。

 

「BCP(Business Continuity Plan・事業継続計画)」とは、地震・火災・サイバー攻撃などの緊急事態でも、重要業務を継続あるいは早期復旧するための計画のこととされています。

 

この記事では、BCMとの違い、RTOとRPOの読み方、事業影響度分析(BIA)の進め方、DRサイトの3区分までを、初心者のあなた向けにやさしくまとめました。ITパスポートのストラテジ系(経営戦略マネジメント)対策にも役立ちます。

 

目次

1. BCPとBCMの違い

BCPとBCMの違いを整理するイメージ

あなたがBCPという言葉に触れたとき、まず押さえたいのは計画そのものがBCP、運用する仕組み全体がBCMという整理です。

 

BCPは「計画書(Plan)」を指し、BCM(Business Continuity Management・事業継続マネジメント)は計画の策定・運用・見直しまでを含む活動全体を指すとされています。BCPがレシピなら、BCMは料理を作り続ける運営、と整理すると分かりやすいです。

 

ここでイメージしてほしいのが、災害時の家族集合場所です。普段は使わなくても、事前に「どこに集まるか」を家族で決めておくから、いざという時に迷わず動けますよね。BCPは会社版のその事前の取り決め、と捉えると親しみやすくなります。

 

BCPの要点は、「平時に決めて、有事に動ける状態を保つ」発想にあるとされています。防災計画が「人命を守ること」に重きを置くのに対し、BCPは「事業を止めないこと」に重きを置く点で性格が異なると言われています。

 

→ BCP は、災害や障害という大きな「リスク」への備えそのものです。リスクの洗い出しから対応の選び方までの土台は、リスクマネジメントとは で押さえられます。

 

2. RTO(目標復旧時間)とRPO(目標復旧時点)

RTOとRPOの時間軸を示すイメージ

あなたがBCPの教材で最初につまずきやすいのが、RTORPOと呼ばれる2つの指標の違いです。

 

RTO(Recovery Time Objective・目標復旧時間)は、業務再開までに許される時間の指標です。一方でRPO(Recovery Point Objective・目標復旧時点)は、どの時点までのデータを戻せれば許容できるかを示す指標と言われています。

 

指標 意味 例(目安として)
RTO 業務再開までの許容時間 4時間以内に基幹システムを復旧
RPO 戻せるデータの時点 直近1時間前までのデータは戻せる

 

RTOが短いほど早く戻せる、RPOが短いほどデータ損失が小さい、と覚えると整理しやすいです。ただし、両方を短くするほどコストが大きくなりやすい傾向があります。

 

別の観点として、RTOとRPOは業務ごとに別の値を決めるのが一般的です。決済システムは秒単位、社内ポータルは1日単位、と業務の重要度に応じて設定する形が広がっています。

 

3. 事業影響度分析(BIA)

事業影響度分析を進めるイメージ

あなたがBCPを実際に作るとき、最初に行うのがBIA(Business Impact Analysis・事業影響度分析)と呼ばれるステップです。

 

BIAとは、業務が止まったときに会社にどれだけの影響が出るかを評価する分析のこととされています。売上損失・顧客信頼・法的責任・復旧コストなどを観点に、業務ごとの重要度を見積もる形が一般的です。

 

ここでイメージしてほしいのが、自動車の予備タイヤです。普段は使わなくても、パンクしたときに走り続けるために積んでおきますよね。BIAは「どの業務に予備タイヤを積むべきか」を優先順位を付けて決める作業、と整理すると掴みやすくなります。

 

BIAの結果から、優先的に守るべき重要業務が絞り込まれ、その業務に対してRTO・RPOを決めるのが一般的な流れと言われています。影響度に応じてメリハリをつける発想です。

 

BIAの要点は、影響の見える化 → 優先順位付け → 復旧目標設定の流れにあります。この順序で進めることで、限られた予算と人員を、守るべき業務に集中投下できる形が整います。

 

→ クラウドを活用したバックアップやDR運用について押さえたい時は、クラウドコンピューティングとは で続きを掴めます。

 

4. DRサイト(ホット/ウォーム/コールド)

DRサイトを協働で運用するイメージ

あなたが「データセンターが被災したら、どう復旧する?」と考えたとき、答えの一つがDRサイト(Disaster Recovery Site・災害対策拠点)と呼ばれる予備拠点です。

 

DRサイトは、本番拠点が使えなくなったときに業務を引き継ぐための遠隔地の予備拠点です。準備の度合いに応じてホット・ウォーム・コールドの3区分で整理されます。

 

区分 準備状態 切替時間 コスト
ホットサイト 常時稼働・データ同期済み 最短(数分〜数時間) 高い
ウォームサイト 機器は用意・データは定期同期 中程度(半日〜1日) 中程度
コールドサイト 場所と電源のみ確保 長い(数日〜) 低い

 

あなたが選ぶときの観点は、RTO・RPOとコストのバランスにあると言われています。秒単位の停止も許されない業務はホット、数日の停止が許容される業務はコールド、と業務特性に応じて使い分ける形が一般的です。

 

別の観点として、近年はクラウドDRと呼ばれる選択肢が広がっています。クラウド事業者の遠隔リージョンをDRサイトとして使うことで、コストを抑えながら短いRTOを狙える方式が増えてきました。

 

→ DR運用とセキュリティリスクの接続について押さえたい時は、情報セキュリティマネジメントとは で続きを掴めます。

 

5. まとめ: 今日からできる、最初の一歩

今日からの一歩を示すイメージ

ここまで読んだあなたは、BCPの輪郭を押さえられたはずです。要点を3つに整理します。

 

  1. BCP = 事業を止めない・早く戻すための計画 / BCM = それを運用する仕組み全体
  2. RTOは復旧までの時間、RPOは戻せるデータの時点、と時間軸の違いで整理できる
  3. BIAで重要業務を絞り、DRサイトの3区分(ホット/ウォーム/コールド)をコストとRTOで選ぶ

 

BCPは、ITパスポート ストラテジ系・経営戦略マネジメント(リスク管理)の中核テーマの一つです。情報セキュリティや内部統制と並んで頻出するため、ここを押さえると周辺の経営用語も一気に整理しやすくなります。

 

あなたが今日からできる、最初の一歩を3つ用意しました。

 

  1. 用語整理: 「BCP」「BCM」「RTO」「RPO」「BIA」を1行メモにまとめる(5分)
  2. 関連記事: 情報セキュリティマネジメントに進み、リスク対応の発想を押さえる(5分)
  3. 練習問題: ITパスポート ストラテジ系の問題集で出題感を確認(5分)

 

たった15分で、BCPは輪郭のある概念に変わります。完璧に覚えてから動くより、まず1本読んでみる。それが、あなたにとっていちばん速い学び方です。

 

次のステップ