「世の中のDR計画はでたらめ」　専門家が明かすDRの“3つのうそ”：思い込みが緊急時の問題を招く

自然災害やシステム障害に備えたDR計画について、専門家は「全てのDR計画はでたらめだ」と断言する。計画が機能しない理由と、企業の回復力を高めるインシデント対処の仕組みづくりを解説する。

≫ 2026年06月17日 05時00分公開

[TechTargetジャパン]

歴史的な原油流出事故が示す「計画と現実」のギャップ

併せて読みたいお薦め記事

真に機能するDR計画

　以下では、システム運用に携わるエンジニア向け国際カンファレンス「SREcon26 Americas」でアレクサンダー氏が登壇したセッション「3 Lies We Tell Ourselves About Disaster Recovery」の内容を基に、真のDR体制構築の要点を深掘りする。

　アレクサンダー氏は、DR計画が機能しない実例として、1989年に発生した石油タンカーのエクソンバルディーズ号の原油流出事故を挙げる。当時、20万バレルの流出を想定した対処計画が存在していたものの、現実は大きく異なっていた。

初期対応の遅れ
- 計画では5時間以内に初期対処を実施するはずだったが、現実には12時間を要した。
機材到着の大幅な遅延
- 回収機材の到着は9～17時間と想定されていたが、実際には1～2週間かかった。
作業の長期化
- 2カ月と見込まれていた清掃期間は、結果的に3年もの歳月を要した。

　ITシステムのDR計画も、監査機関や顧客を納得させるためだけに作られた文書に成り下がっているケースが少なくない。

企業が自らにつく「3つのうそ」

　アレクサンダー氏は、IT担当者がDR計画に関して自らを納得させている「3つのうそ」があると語る。

テストすれば、本番でも機能する
- テスト環境で一部のプロセスが成功したとしても、本番の緊急事態では重要な部分が機能しない公算が高い。
実際に災害が発生した際の復旧シナリオは明白だ
- 実際のシステム障害において、オペレーターは原因不明のアラートや曖昧な状況に直面する。ごくわずかな異常が連鎖し、予測不可能な大惨事へと発展する。
DRの価値は、必要なときに計画通りに完璧に機能することだ
- これは「計画通りに動かすこと自体に価値がある」という誤解だ。

　これらのうそを信じ込んだまま運用を続けると、インシデント発生時に現場のエンジニアやカスタマーサポート担当者は、実情にそぐわないマニュアルの実行を強いられる。経営陣が「計画通りに復旧できるはずだ」と思い込んでいると、指揮系統が混乱し、復旧作業に致命的な遅れが生じる。

真の回復力を手に入れるためのアプローチ

　アレクサンダー氏は、これらのうその弊害を軽減し、企業全体の回復力を高めるための手段を提示する。

現場への裁量付与と期待値の管理

　DR計画が緊急時にそのまま機能するとは限らないという現実を、経営陣を含めた組織全体で共有することが不可欠だ。計画通りにシステムを切り替えることよりも、現場で実際にインシデントを管理する担当者（カスタマーサポートやエンジニアなど）に最大限の裁量と自由度を持たせることが復旧の鍵となる。

過去のインシデントを活用した訓練

　実際にシステム復旧の操作を行う担当者の心理的負担を取り除くための訓練を実施する。架空のシナリオではなく、過去に自社で発生した実際のインシデントを基に、状況が徐々に悪化していくような現実的なシナリオを用いて訓練を行う。これにより、担当者は曖昧な状況下での判断に慣れることができる。

「専門家」の暗黙知を組織の財産に

　最大の目的は、DR訓練を「インシデント対応の練習」と位置付け、組織の学習機会とすることだ。トラブルシューティングの過程で、システムの特定領域に関して誰が深い知識を持っているかが迅速に明確になる。訓練後は、その「専門家」が持つ知識を組織全体に共有し、システム全体の理解度を底上げすることが重要だ。

　DR計画の存在意義は、計画そのものを完璧に実行することではなく、インシデントに立ち向かう企業の適応力を養うことにある。クラウドインフラの複雑化が進む中で、あらゆる障害を事前に予測して計画に落とし込むことは極めて困難になる。形骸化したマニュアルに依存するのではなく、障害対処の経験を、全社的な知見として蓄積、共有する仕組みをつくることが、真の事業継続を実現する手段となる。

本稿は、USENIXが2026年4月24日に公開した動画「SREcon26 Americas - Three Lies We Tell Ourselves about Disaster Recovery and What to Do about Them」を基に作成しました。