バックアップとDRが経営課題になる理由
止まる損失は「売上」だけではない
Webサイトや予約フォーム、採用エントリーなどが止まると、直接の売上機会だけでなく、問い合わせ機会、採用機会、信用の毀損が同時に発生します。個人情報を扱う企業では、復旧と同時に説明責任も求められ、社内外対応が増えます。
経営としては「復旧の時間」と「戻す範囲」を合意し、投資判断に落とすことが重要です。
属人化した運用は、復旧時間を伸ばす
従業員10〜500名規模では、日々の更新や保守が特定の担当者や外部ベンダーに寄りがちです。属人化が進むと、障害発生時に「状況把握」「切り分け」「復旧手順の実行」「関係者連絡」が同時多発し、判断が遅れます。切り分け=原因候補を整理し、問題箇所を段階的に特定する作業です。
また、復旧に必要なIDや権限が不明だと、復旧は止まります。設計だけでなく、運用体制と手順をセットで整えることが、結果として復旧コストを下げます。
経営が決めるべき「守る境界線」
現場は「できる/できない」を説明できますが、「どこまで守るか」は経営判断です。例えば、社外に約束している稼働水準、停止時の影響範囲、個人情報の取り扱い方針、外部委託の責任分界などは、先に線引きが必要です。責任分界=障害対応で誰がどこまで担うかを、契約と手順で明確にすることです。
この線引きが曖昧なまま対策を始めると、後から要件が膨らみ、TCO=導入後の運用費も含めた総コストが読めなくなります。まず「守る境界線」を言語化し、RTO/RPOに落とすのが最短ルートです。
DR・RTO・RPOの基礎と、決めない場合のリスク
用語を1枚の意思決定資料に揃える
DR=災害や大規模障害が起きた時に、サービスを復旧・再開するための仕組みと手順の総称です。
RTO=停止から復旧までに許容される最大時間です。
RPO=復旧時に失ってよいデータの最大許容時間(どこまで巻き戻ってよいか)です。
バックアップ=障害や誤操作に備えて、データやシステムのコピーを別の場所・世代で保持することです。
この4点を揃えると、「復旧のゴール」を経営と現場で同じ言葉で話せるようになります。
バックアップとDRは役割が違う
バックアップは「元に戻すための材料」です。一方でDRは、材料を使って「いつ・どこで・誰が・どう再開するか」まで含めた設計です。
例えば、サイトが止まった時に“同じ場所で戻す”のか、“別の場所へ切り替える”のかで、必要な準備と運用が変わります。切り替え判断の基準(どの状態なら切り替えるか、連絡は誰が出すか)を決めておかないと、復旧の意思決定そのものが遅れ、RTOが伸びます。
「バックアップがある=復旧できる」ではない
よくある落とし穴は、バックアップ取得だけで安心してしまい、復旧手順と復旧テストが未整備なことです。復旧テスト=実際にバックアップから戻して、サービスが再開できるかを確認する作業です。
例えば、バックアップがあっても次のような理由で復旧に失敗します。
- 取得対象が不足しており、設定ファイルや添付データが戻らない
- 復旧に必要な権限や鍵情報が担当者の手元にしかない
- 復旧先の環境が用意できず、戻す場所がない
- 取得先も同じ権限で操作でき、改ざんや削除の影響を受ける
経営判断としては、「どのリスクを、どこまで下げるか」をRTO/RPOに変換し、その達成に必要な体制と運用を定義することがポイントになります。
RTO/RPOの決め方:業務影響から逆算する手順
手順1:守るべき業務とデータを棚卸しする
最初にやるべきは、システムの種類ではなく、事業に直結する“入口”と“データ”の棚卸しです。典型は、問い合わせフォーム、採用エントリー、会員登録、決済、見積依頼、資料請求などです。
同時に、個人情報がどこに保存され、どのタイミングで更新されるか(例:毎分、毎時、毎日)を整理します。これがRPOの議論の土台になります。
加えて「誰が困るか」を明確にします。顧客、応募者、取引先、社内担当のどこに影響が出るかで、優先順位と説明の仕方が変わります。
手順2:影響を「時間」と「失われるデータ」で言語化する
RTOは「止まってよい時間」、RPOは「失ってよい更新量」を示します。ここで重要なのは、完璧な数字を最初から狙わないことです。まずは業務の優先順位を付け、A(最優先)/B(次点)/C(停止許容)の3段階で目標を置くと、合意が取りやすくなります。
そのうえで、社内の連絡体制やベンダー対応時間(夜間・休日の可否)も前提として書き出します。前提が揃っていないと、目標だけが先走り、実運用で達成できません。
| 対象業務 | 影響の種類 | 目標RTO | 目標RPO |
|---|---|---|---|
| 問い合わせフォーム | 機会損失・対応遅延 | 数時間以内 | 数時間以内 |
| 採用エントリー | 応募機会損失・信用 | 半日以内 | 半日以内 |
| 会員登録/申込 | 売上・契約に直結 | 1〜2時間以内 | 1時間以内 |
| コーポレート情報更新 | 情報鮮度・広報 | 翌営業日 | 1日以内 |
| 社内向け管理画面 | 業務停滞 | 半日以内 | 数時間以内 |
手順3:目標の実現性を「体制」と「費用」で見える化する
同じRTO/RPOでも、達成方法は一つではありません。例えばRTOを短くしたい場合、監視体制の強化(監視=異常を検知し通知する仕組み)や、復旧手順の標準化、復旧先環境の事前準備が効きます。
一方、RPOを短くしたい場合は、更新頻度に合わせた取得間隔、取得対象の見直し、取得先の保護(削除・改ざん耐性)など、バックアップ設計の比重が上がります。改ざん耐性=保存したデータが削除や書き換えをされにくい状態にする考え方です。
この段階で「何を内製し、何を外部に任せるか」まで整理すると、属人化を抑えつつ、意思決定に必要なコストの粒度まで落とし込めます。復旧の初動(誰が判断し、誰が作業し、誰が社外説明するか)も、ここで役割として固定しておくと、障害時の混乱を減らせます。
手順4:合意内容を「1枚」にして更新できる状態にする
決めたRTO/RPOは、口頭合意で終わらせないことが重要です。最低限、次の項目を1枚にまとめ、四半期など定期的に見直せる形にします。
- 対象業務と優先度(A/B/C)
- 目標RTO/目標RPOと、その前提(対応時間、ベンダー稼働、夜間休日の扱い)
- 復旧時の役割(判断、作業、連絡、対外説明)
- 復旧に必要な情報の保管場所(手順書、ID/権限、構成図、連絡先)
この「言語化」ができると、外部に相談する場合でも論点が揃い、過不足なくバックアップ設計と復旧支援の見積に進めます。Webサイトは施策で更新頻度が変わるため、更新管理とセットで見直すと実務的です。
バックアップ設計の要点:保存世代・保管先・権限・改ざん対策
まず「何を戻せば復旧と言えるか」を定義する
バックアップの設計は、取得ツールの選定より先に「復旧のゴール」を決めるところから始まります。Webサイトであれば、ページが表示できるだけでなく、フォーム送信、管理画面のログイン、メール通知、外部連携まで含めて動く状態がゴールになります。
このゴールを言語化すると、取るべき対象が自然に見えます。典型は①データベース ②アップロードされた画像・PDFなどのファイル ③アプリや表示テンプレートなどのプログラム ④各種設定(接続情報、メール、定期処理、DNSなど)です。DNS=ドメイン名と接続先の対応を管理する仕組みです。
保存世代と取得間隔は「RPO」と「原因」に合わせる
世代管理=過去の複数時点のバックアップを残し、戻す時点を選べるようにすることです。RPOを短くするほど取得間隔は短くなりますが、同時に「いつ壊れたか分からない」「気付くまでに日数がかかる」タイプの事故も考慮が必要です。
例えば誤操作や改ざんが数日後に発覚した場合、直近だけのバックアップだと同じ壊れた状態しか残りません。そこで、直近は細かく(例:数時間ごと)、中期は日次、長期は週次や月次で残す、といった多層の考え方が効きます。
保管先は「同時に失われない」ことを優先する
オフサイト=本番とは別の場所に保管することです。本番と同じサーバー内、同じアカウント内、同じ権限で触れる場所にバックアップを置くと、障害や侵害で一緒に失われやすくなります。
3-2-1ルール=データを3つ保持し、2種類の保管先に分け、1つは別の場所に置く考え方です。これを厳密に満たす必要はありませんが、「同時喪失の可能性」を下げる設計指針として有効です。
権限設計と改ざん対策で「残っている」を担保する
最小権限=業務に必要な範囲だけ権限を与える考え方です。バックアップの取得と削除、復旧の実行を同一権限にしないだけでも、誤操作や侵害時の被害を抑えられます。
イミュータブル=一定期間は削除や書き換えができない状態で保存する方式です。ランサムウェア対策の観点では「バックアップが残る」こと自体が価値になります。
ここで登場する方式の用語も揃えておきます。DBダンプ=データベースの内容を別ファイルとして書き出す方法です。ファイル同期=指定したファイル群を別の保管先へ同じ状態に揃える仕組みです。スナップショット=ある時点の状態を短時間で保存する機能です。イメージバックアップ=サーバー全体の状態を丸ごと保存する方式です。
| 方式 | メリット | 注意点 | 向くケース |
|---|---|---|---|
| DBダンプ | 構造が単純で扱いやすい | 復旧手順の整備が必要 | 更新頻度が高いWeb |
| ファイル同期 | 画像や添付を戻しやすい | 削除も同期される設定に注意 | アップロードが多いサイト |
| スナップショット | 短時間で取得できる | 取得先が同一基盤だと同時喪失 | RTOを短くしたい |
| イメージバックアップ | 環境ごと戻せる | 容量と世代数が増えやすい | 構成が複雑な環境 |
復旧できる運用:監視・更新管理・復旧テスト・手順書
監視は「気付く」だけでなく「初動を揃える」ためにある
監視=異常を検知し通知する仕組みですが、経営目線では「止まっている時間を短くする装置」です。検知が遅れればRTOは伸びますし、通知は来ても担当が動けなければ意味がありません。
そこで、通知先(誰に、何時に、どの手段で)と、一次対応=最初に行う切り分けと安全確保の作業を決めます。外形監視=外部からアクセスして応答を確認する監視方式です。例えば、表示障害は外形監視、次にログやリソース状況、直前の更新履歴の順で確認すると、判断が揃います。
更新管理で「事故の入口」を減らす
更新管理=更新作業の予定・差分・影響範囲・戻し方を管理することです。Webサイトの障害は、改修、拡張機能の更新、設定変更、外部ベンダー作業の直後に起きやすく、原因が追いにくいのが特徴です。
最低限、更新前のバックアップ取得、更新内容の記録、戻し手順を運用に組み込みます。ロールバック=変更前の状態に戻すことです。これにより復旧時間が短くなり、担当者が変わっても対応品質が保てます。
復旧テストと手順書で「できる」を証明する
復旧テスト=実際にバックアップから戻して、サービスが再開できるかを確認する作業です。テストをしないと、バックアップは「あるかもしれない資産」のままです。
手順書には、作業手順だけでなく、判断基準(どの状態なら復旧を進めるか、どの状態なら切り戻すか)、必要な権限、連絡順、想定時間を書きます。言葉で説明できない状態は、緊急時に再現できません。
連絡フローと対外説明の準備が、復旧を早める
障害時は復旧作業と同時に、社内報告や顧客対応が発生します。エスカレーション=上位の担当者や専門担当へ引き継ぐことです。エスカレーションの条件を決め、情報が集まる場所(チケット、共有メモなど)を一本化すると混乱が減ります。チケット=対応内容を記録し、担当と進捗を管理する仕組みです。
個人情報を扱う場合は、復旧だけでなく調査や再発防止の要求も出ます。初動で「何をしたか」を時系列で残す運用が、後の説明コストを抑えます。
リスク別の備え:ランサムウェア・人的ミス・クラウド障害
ランサムウェア:バックアップの防御が分岐点になる
ランサムウェア=データを暗号化して利用不能にし、対価を要求する攻撃です。本番の復旧だけでなく、バックアップが残るかが分岐点になります。
実務で効くのは、取得先の権限分離、イミュータブル保管、管理画面の多要素認証=パスワードに加えて別の要素も使う認証方式です(MFA)です。感染前提で考えると、復旧手順と連絡網が整っているかがRTOを左右します。
人的ミス:誤操作を前提に戻しやすくする
誤削除、上書き、設定変更のミスは起こり得ます。重要なのは、ミスが起きても「戻せる」運用にしておくことです。
具体的には、更新前バックアップの徹底、世代を残す、復旧の練習、そして本番とバックアップの操作権限を分けることです。外部ベンダー作業が多い企業ほど、作業範囲と責任分界を文書で揃える価値が上がります。
クラウド障害:依存点を洗い出して優先度を決める
可用性=使いたい時に使える状態を維持する性質です。クラウドは可用性が高い一方、広域障害や特定サービス障害は起こり得ます。リージョン=クラウド事業者が提供する地域単位の拠点です。単一リージョンに依存している場合、復旧策は「待つ」しかなくなることがあります。
全てを二重化するのは現実的でないため、まず依存点(DNS、メール送信、ストレージ、決済、認証など)を洗い出し、止まった時の影響が大きい順に手当てします。二重化=同じ機能を別系統でも用意し、片方が止まっても動ける状態にすることです。RTO/RPOの優先度と一致させるのが、過不足のない投資につながります。
体制づくり:属人化を防ぐ役割分担と外部ベンダー管理
役割が曖昧だと、RTO/RPOは達成しにくい
RTO/RPOは数字だけ先に決めても、対応できる体制がなければ目標が形骸化します。現実に必要なのは「誰が判断し、誰が作業し、誰が連絡するか」を決め、平時から回しておくことです。特に10〜500名規模では、経営・情報システム・Web担当・外部ベンダーが関わるため、責任分界=障害対応で誰がどこまで担うかを、契約と手順で明確にすることが要になります。
外部委託を活かすための「管理ポイント」
外部委託は有効ですが、責任をすべて外部に寄せる形になると運用は見えなくなります。一次受け=障害連絡を最初に受け取り、初動を開始する窓口です。ログ=作業やシステムの動作を時系列に記録した履歴情報です。差分=更新で変わった点の記録です。構成図=システムの部品とつながりを図で表したものです。
経営として押さえたいのは、①連絡経路(一次受けは誰か)②対応時間(夜間休日の扱い)③復旧の判断権限(切り替え・ロールバックの承認)④作業記録(ログとして残るか)です。ここが曖昧だと、障害時に「何をしたか」が追えず、説明責任のコストが増えます。
| 項目 | 実施内容 | 担当区分 | 頻度 |
|---|---|---|---|
| 監視アラート受信 | 通知先・当番・エスカレーション条件を設定 | 社内/外部 | 随時 |
| 一次対応 | 外形確認→更新履歴→ログ確認の順で切り分け | 社内/外部 | 発生時 |
| バックアップ監査 | 取得成功の確認、世代数・容量の点検 | 社内 | 月次 |
| 復旧テスト | テスト環境で復旧手順を実行し所要時間を記録 | 共同 | 半年〜年次 |
| 更新管理 | 更新前バックアップ、差分記録、戻し手順の確認 | 共同 | 更新時 |
| 権限棚卸し | 管理者ID、MFA、退職者の無効化、鍵情報の保管 | 社内 | 四半期 |
| 手順書更新 | 構成図・連絡先・判断基準を最新化 | 社内 | 四半期 |
投資判断:費用の内訳と優先順位の付け方
費用は「仕組み」より「運用」で効いてくる
バックアップ/DRの費用は、保存容量や環境二重化だけでなく、運用設計と手間で変わります。主な内訳は、監視運用(通知・一次対応)、バックアップ取得と保管(容量・転送・世代)、復旧先の準備、復旧テスト、手順書整備、権限管理です。TCO=導入後の運用費も含めた総コストの観点で、毎月・毎四半期に発生する作業量を見える化すると、投資の比較がしやすくなります。
優先順位は「入口」と「個人情報」から決める
優先順位付けの基本は、事業の入口(問い合わせ・申込・採用)と、個人情報を扱う部分を先に固めることです。ここは停止の影響が大きく、復旧後の説明責任も重くなりやすい領域です。
全部を同じ水準にしようとすると過剰投資になりやすいので、まずA優先の業務でRTO/RPOを満たす現実的な構成を作り、運用が回ることを確認してから範囲を広げます。
成果の可視化:KPI例と経営報告の型
「守れている」を数字と記録で示す
バックアップ/DRは売上のように増減が見えにくい分、経営報告の型を作っておくと優先度が落ちにくくなります。おすすめは、①検知までの時間 ②復旧までの時間 ③復旧テストの成功率 ④更新作業のトラブル件数 ⑤バックアップ取得の失敗件数を、月次で簡潔にまとめることです。
MTTR=障害発生から復旧までに要した平均時間、MTTD=障害発生から検知までに要した平均時間です。これらを置くと、監視や手順整備の効果が追いやすくなります。
みやあじよが重視する「目的から逆算する整理」
みやあじよは、サイトの成果を「売上」「問い合わせ」「採用」など目的に置き、手段に固執せず問題解決を重視します。
運用も同じで、担当者が感覚で抱えている「不安」や「やりたいが整理できていないこと」を言語化し、設計と体制に落とすことが、最終的にリスクとコストを抑えます。
相談前に整えるチェックリスト
外部へ保守運用・監視・バックアップ設計・復旧支援を相談する場合、次の情報があると議論が早く進みます。
- 対象範囲:サイト、フォーム、管理画面、関連する外部サービスの一覧
- 重要度:止まると困る順(A/B/C)と、望ましいRTO/RPOの目安
- 現状:バックアップの対象・取得間隔・保管先・世代数・最終テスト日時
- 更新状況:更新頻度、更新担当、外部ベンダー作業の有無と連絡経路
- 権限:管理者IDの所在、MFAの有無、鍵情報や復旧手順書の保管場所
- 連絡体制:障害時の社内窓口、承認者、対外説明の担当
まとめ
バックアップとDRは「万一の保険」ではなく、事業の入口と個人情報を守るための経営判断です。RTO/RPOを業務影響から決め、バックアップ設計(対象・世代・保管先・権限)と、運用(監視・更新管理・復旧テスト・手順書)をセットで整えることで、復旧の時間と混乱を減らせます。体制と費用を見える化し、KPIで継続的に点検できれば、属人化しやすい規模でも運用品質を安定させられます。相談時は現状の棚卸しから一緒に進めると、過不足のない投資判断につながります。
