AI時代に激変するDRP（Disaster Recovery Plan）と、BCP（Business Continuity Plan）の重要性

1990年代の終わり、私が外資系金融機関（モルガンなど）へ籍を移した時に驚いたことの一つが、当時から米国企業がDRP（ディザスター・リカバリ・プラン）やBCP（事業継続計画）を極めて重要視していた点です。

例えば関東大震災クラスの災害を想定し、東京のメインセンターが機能停止しても、地盤が強固な群馬県などのバックアップセンターへ即座にシステムを切り替える措置が取られていました。

当時はこうした危機管理面において、米国企業が一歩進んでいると感じたものです。

ここで改めて両者を整理すると、定義と役割は明確に異なります。

◆DRP（ITを復旧させる）： 災害や攻撃で壊れた「ITシステムとデータ」を元通りに復旧させる技術的計画。

◆BCP（ビジネスを続ける）： システムが死んでも、代替手段で「事業（業務）」を止めないための組織的計画。

さて現代においては、これらの前提を根底から覆すゲームチェンジャーが登場しました。

Claude Mythos（クロード・ミュトス）に代表される、サイバー攻撃・防御能力が不連続な進化を遂げた最先端AIの出現です。

AIの台頭により、これからのDRP/BCPは以下の変革を迫られます。

1. DRPの前提崩壊：国家レベルの攻撃が「秒単位」で自動生成される

これまでは既知のウイルスを想定していれば機能したDRPですが、AIは人間が見逃してきたバグを数十分で見つけ出し、未知の攻撃コード（ゼロデイ）を自律的に量産します。

さらに複数の脆弱性を組み合わせる「連鎖攻撃（攻撃チェーン）」も自動化されています。

「壁は一瞬で突破される」前提で、バックアップからの超高速復旧（DRP）を再構築しなければなりません。

2. BCPの役割変化：「数週間、システムなしで戦う」覚悟

AIによる攻撃が複雑化すると、復旧までに数週間から数ヶ月を要するケースが増加します。

過去にアサヒビールがランサムウェア攻撃を受けた際、FAXによる手動受注で事業を守り抜いたように、システム全滅という「空白の期間」をアナログな代替手段でどう持ちこたえるか（BCP）が、企業の生死を分ける唯一の砦になります。

実際、AIの脅威に備え、たとえばAWS内の隔離環境（Air-Gapped Vault）の活用や、ネットワークから物理的に遮断されたオフラインサーバーへのデータ保存を進める企業が急増しています。

BCPやDRPは、一度策定すれば終わりではありません。

進化を続けるAIという「見えない脅威」に合わせ、我々の防衛策も常にアップデートし続ける必要があります。