3-2-1ルールでデータを守る

BCPでパンデミック対応が必須に

1997年の高病原性鳥インフルエンザ、2002年のSARSなど、日本では大きな感染症の流行がなかったこともあり、新型コロナウイルス対策では後手にまわってしまいました。

そんななか日本でもビル・ゲイツと同様にいろいろな可能性を考えてBCP（事業継続計画）に取り組んでいる会社がありました。

コロナ禍以前に東京のITベンダー（従業員60名）では、パンデミックが発生し社員が出社できなくなったことを想定し、全社員が在宅勤務になっても事業継続できるか演習を実施しました。

取引先にも演習していることを連絡せず、電話はすべて自宅転送で対応。演習を通じ、骨折などで自宅療養中の社員や育児中など多彩なワークスタイルにも対応できることを確認し、また公私の切り替えでは強い自己管理能力が必要という課題も把握できました。クラウドサービスやテレビ会議ツールなど、かかった費用は当時で99万円でした。コロナ禍となりましたが既に予行演習をしていましたので何の問題もなく業務を続けられています。

3-2-1ルールでデータを守ろう

これからのBCPでは火事、地震など天災以外に感染症対応が必須となりますが、まずは守るべき対象をしっかり考えましょう。社員や取引先など企業で守るべきものはいろいろありますが、データがなくなると事業が立ち行かなくなります。

バックアップが基本ですが、バックアップしている場所が問題となります。毎日バックアップしているサーバーのデータがサーバー近くにあれば、火事や雷で両方ともなくなってしまいます。

アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）がバックアップする際に守るべきルールとして提示したのが3-2-1ルール。ファイルのコピーは3つ（プライマリー1つとバックアップ2）とり、記録メディアは異なる2種類を採用、コピーの1つはオフサイトに保管するというルールです。

2012年に発表されましたが、行うには手間がかかりすぎ現実的ではないと取り組んでいるところが少なかったですが、昨今のランサムウェア攻撃からルールが再評価されています。ランサムウェアにやられると頼りになるのは異なるメディアのバックアップとオフサイトのバックアップだけだからです。

日本の場合、これから起きる東海・東南海・南海地震を考えるとオフサイトへのバックアップが重要になります。大手企業では停電の影響まで考え、電力会社が異なる2ケ所にバックアップしているところもあります。アマゾンなど多彩なクラウドストレージサービスが登場し、手軽にオフサイト保管ができるようになったためオフサイトへのバックアップが取組やすくなっています。

ウチは小さな企業だから、そんな必要はないと思っていてもコロナ禍のように何が起きるか分からない世の中です。まずはデータを守ることからはじめましょう。