データバックアップと災害復旧は「後回し」にできない経営課題
「うちの会社はまだ大丈夫だろう」。そう考えている中小企業の経営者・IT担当者は少なくない。しかし、地震・豪雨・ランサムウェア攻撃など、事業継続を脅かすリスクは年々増加している。実際、IPA(情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」でもランサムウェア被害は上位に位置し続けており、バックアップの有無が被害の深刻度を大きく左右している。
本記事では、中小企業の情報システム担当者(佐藤さんのような一人情シス)や、経営課題としてITリスクを把握したい管理職(鈴木さんのようなマネージャー層)に向けて、データバックアップと災害復旧(DR)計画の策定手順を体系的に解説する。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
RPOとRTOを正しく理解する
DR計画の設計において最初に定義すべきは、**RPO(Recovery Point Objective:目標復旧時点)とRTO(Recovery Time Objective:目標復旧時間)**の2つの指標である。
RPO:どこまでのデータ損失を許容するか
RPOは「障害発生時に、どの時点までのデータを復旧できれば事業を継続できるか」を示す。たとえばRPOが4時間であれば、最大4時間分のデータ損失を許容する設計となる。
| RPO目標 | バックアップ方式の目安 | コスト感 |
|---|---|---|
| 0(データ損失ゼロ) | リアルタイムレプリケーション | 高 |
| 1時間以内 | 差分バックアップ(高頻度) | 中〜高 |
| 4〜8時間 | 定期スナップショット | 中 |
| 24時間 | 日次フルバックアップ | 低 |
RTO:いつまでに復旧させるか
RTOは「障害発生からどのくらいの時間で業務を再開できるか」を定義する。ECサイトを運営する企業であれば数時間の停止でも数百万円の損失につながるが、社内業務システムであれば翌営業日までの復旧で済むケースもある。
RPOとRTOは業務ごとに異なる値を設定するのが現実的だ。全システムを一律に最短設定すると、コストが跳ね上がる。重要度に応じた優先順位付けが不可欠である。
バックアップ方式の比較:クラウド vs テープ vs ローカルディスク
クラウドバックアップ
近年の主流はクラウドバックアップである。AWS、Azure、Google Cloudの各社がバックアップ専用サービスを提供しており、中小企業向けのSaaS型サービスも充実している。
メリット:
- 初期投資が少なく、従量課金で始められる
- 遠隔地にデータが保管されるため、物理災害に強い
- スケールアウトが容易で、データ増加に柔軟に対応できる
- 自動化・スケジュール設定が容易
デメリット:
- 大量データの初回アップロードに時間がかかる
- リストア時のダウンロード帯域がボトルネックになる場合がある
- 長期間・大容量の保管ではコストが積み上がる
テープバックアップ
レガシーな印象があるが、大容量データの長期保管ではいまだに有力な選択肢である。LTO-9テープは1巻あたり18TB(圧縮時45TB)の容量を持ち、テープ1巻あたりのコストは数千円程度だ。
メリット:
- 大容量データの長期保管コストが最も安い
- エアギャップ(物理的なネットワーク隔離)によるランサムウェア対策
- 法令で長期保存が義務づけられたデータの保管に適する
デメリット:
- リストアに時間がかかる(RTOが長くなる)
- テープドライブの保守・管理が必要
- 人的オペレーションが発生しやすい
ローカルディスク(NAS/SAN)
社内ネットワーク上のNASやSANに保管する方式は、リストア速度に優れる。ただし、同一拠点に保管する場合は物理災害リスクを回避できない。
推奨:3-2-1ルール
バックアップの基本原則として「3-2-1ルール」がある。
- 3:データのコピーを3つ持つ(本番+バックアップ2つ)
- 2:2種類以上の異なるメディアに保管する
- 1:1つは遠隔地(オフサイト)に保管する
クラウドとローカルディスクを組み合わせれば、この原則を比較的低コストで満たせる。
DRサイト設計の考え方
DRサイトとは、本番環境に障害が発生した際にシステムを引き継ぐための予備環境である。構築方式によってコストとRTOが大きく異なる。
ホットスタンバイ
本番環境とほぼ同一のシステムを常時稼働させておく方式。障害発生時には数分〜数十分で切り替えられるため、RTOが極めて短い。その分、常時稼働のインフラコストが発生する。基幹システムや決済システムなど、ダウンタイムが許されないシステム向けだ。
ウォームスタンバイ
サーバーやネットワークは構築済みだが、平常時は最小構成で待機させる方式。障害発生時にスケールアップして本番に切り替える。RTOは数十分〜数時間程度。コストと復旧速度のバランスが取れており、中小企業に最も推奨しやすい方式である。
コールドスタンバイ
ハードウェアやクラウドリソースの確保だけ行い、障害発生時にゼロからセットアップする方式。RTOは数時間〜数日と長いが、コストは最も抑えられる。
中小企業における現実的な選択
従業員50〜300人規模の中小企業であれば、以下の組み合わせが現実的だ。
- 基幹業務システム:ウォームスタンバイ(クラウド上にDR環境を構築)
- メール・グループウェア:SaaS利用(Microsoft 365やGoogle Workspaceは標準でDR対応済み)
- ファイルサーバー:クラウドバックアップ+ローカルNAS(3-2-1ルール適用)
BCP(事業継続計画)との連携
DR計画は、BCP(Business Continuity Plan)の一部として位置づけるべきである。BCPはIT以外の要素(人員配置、代替拠点、取引先への連絡体制など)も含む包括的な計画だ。
DR計画をBCPに統合する際のポイント
- 業務影響分析(BIA)の実施:どの業務がどれくらい停止すると、どの程度の損害が生じるかを定量的に把握する
- 復旧優先順位の決定:BIAの結果をもとに、システムごとのRPO/RTOを設定する
- 緊急時の連絡体制:IT担当者だけでなく、経営層・各部門長を含む連絡フローを明文化する
- 定期訓練の実施:年1回以上のDR訓練を実施し、手順書の実効性を検証する
- 見直しサイクル:システム構成の変更やビジネス環境の変化に応じて計画を更新する
費用シミュレーション:従業員100人規模の場合
以下は、従業員100人規模の中小企業を想定した年間コストの概算である。
パターンA:最小構成(RPO 24時間/RTO 24時間)
| 項目 | 年間費用(税別) |
|---|---|
| クラウドバックアップ(1TB) | 約12万円 |
| バックアップソフトウェアライセンス | 約15万円 |
| 運用管理工数(月2時間程度) | 約24万円相当 |
| 合計 | 約51万円/年 |
パターンB:標準構成(RPO 4時間/RTO 8時間)
| 項目 | 年間費用(税別) |
|---|---|
| クラウドバックアップ(5TB) | 約48万円 |
| DRサイト(ウォームスタンバイ) | 約60万円 |
| バックアップソフトウェアライセンス | 約30万円 |
| 運用管理工数(月5時間程度) | 約60万円相当 |
| DR訓練(年2回) | 約20万円 |
| 合計 | 約218万円/年 |
パターンC:高可用性構成(RPO 1時間/RTO 1時間)
| 項目 | 年間費用(税別) |
|---|---|
| クラウドレプリケーション | 約120万円 |
| DRサイト(ホットスタンバイ) | 約180万円 |
| 監視・運用サービス | 約96万円 |
| DR訓練(年4回) | 約40万円 |
| 合計 | 約436万円/年 |
どのパターンが適切かは、業務停止による損害額との比較で判断する。1日の業務停止で100万円以上の損害が見込まれるなら、パターンBへの投資は十分にペイする。
DR計画策定の5ステップ
DR計画の策定は、以下の手順で進めるのが効率的だ。
ステップ1:現状棚卸し
保有するサーバー、ストレージ、ネットワーク機器、クラウドサービスの一覧を作成する。意外と把握できていないシステムが見つかることも多い。
ステップ2:業務影響分析(BIA)
各システムが停止した場合の影響度を「売上損失」「信用毀損」「法的リスク」の3軸で評価する。
ステップ3:RPO/RTOの設定
BIAの結果をもとに、システムごとのRPO/RTOを設定する。経営層の承認を得ることが重要だ。
ステップ4:バックアップ方式・DRサイトの選定
RPO/RTOの要件と予算を照らし合わせて、最適な方式を選定する。
ステップ5:手順書作成と訓練
障害発生時の具体的な復旧手順を文書化し、定期的に訓練を行う。訓練で発見された課題は必ず計画にフィードバックする。
ランサムウェア対策としてのバックアップ
近年のランサムウェア攻撃では、バックアップデータ自体が暗号化されるケースが増えている。以下の対策を講じることで、バックアップの有効性を担保できる。
- イミュータブル(不変)バックアップ:一定期間、誰も削除・変更できない設定でバックアップを保存する
- エアギャップバックアップ:ネットワークから物理的に切り離した媒体(テープなど)にバックアップを保管する
- バックアップのリストアテスト:定期的にリストアを実施し、バックアップの完全性を確認する
「バックアップを取っていたのにリストアできなかった」という事態は珍しくない。バックアップは「取ること」ではなく「復旧できること」がゴールである。
DR計画は「一人情シス」だけの仕事ではない
DR計画の策定・運用は、IT担当者だけで完結するものではない。経営層のコミットメント、各部門の協力が不可欠だ。特に中小企業では、IT担当者が1〜2名という環境も多い。そうした状況では、外部の専門パートナーの力を借りることも現実的な選択肢である。
重要なのは「完璧な計画」を目指すことではなく、まず「最低限の計画」を持つことだ。何もない状態と、基本的なバックアップ体制がある状態では、被害規模に天と地の差が出る。
IT基盤設計の無料相談
バックアップ体制の見直しやDR計画の策定について、貴社の現状に合わせた最適なプランをご提案します。RPO/RTOの設定から費用試算まで、まずはお気軽にご相談ください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
まとめ
データバックアップと災害復旧計画は、中小企業にとって「保険」ではなく「経営基盤」である。RPO/RTOの適切な設定、3-2-1ルールに基づくバックアップ体制、BIAに裏づけられたDRサイト設計、そしてBCPとの統合。これらを段階的に整備していくことで、自然災害やサイバー攻撃に対する事業の回復力を確実に高められる。
まずは自社のバックアップ状況を棚卸しし、「いま障害が起きたら何時間で復旧できるか」を把握することから始めてほしい。
<!-- GXO_QUALITY_REWRITE_20260507_START -->GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- 必須要件、将来要件、今回はやらない要件を分けたか
- 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->データバックアップ&災害復旧計画|中小企業のためのDR設計ガイドを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
