IT-BCPの重要性と策定手順の解説

近年業務にITシステムが関わっていることは、ほとんど当たり前にのようになってきています。また、それに伴って、自然災害などによる停電やネットワークの切断によってITシステムの運用が滞る事例も、近年では多く見聞きするようになってきています。
本コラムでは、自然災害時などでもITシステムの運用を維持をために制定される「IT-BCP」と、それに関連するガイドラインについて紹介します。
目次
1 IT-BCPとは
IT-BCPは、「ITの事業継続計画(Business ContinuITy Plan)」のことで、甚大な地震などの緊急事態が発生した場合でも、業務に必要な ITシステムの運用を維持することを目的としたものです。緊急時の対応を事前に定めておくことで、ITシステムの早期復旧や、ITシステムを使ったサービスへの被害を最小化することができます。
BCPとの違い
そもそもBCP(Business ContinuITy Plan)とは、自然災害やサイバー攻撃、事故、テロ攻撃などの緊急事態に直面した際に、企業が受ける被害を最小限に抑えることで、事業自体の継続を図るための対策を指すものです。BCPは、IT-BCPとは違って、企業を取り巻くすべての事象がその範囲に含まれており、IT-BCPは、ITシステムに特化したBCPのことを指します。
3 IT-BCPが必要な理由
IT-BCPが必要な理由としては、以下があげられます。
被害の最小化
IT-BCPを策定することで、緊急事態が発生した際に事業を迅速に復旧し、被害を最小限に抑えることが可能です。
信頼性の向上
IT-BCPがあることで、取引先や株主からの信頼を得やすくなります。緊急時に迅速に事業を復旧できることで、取引先への影響が最小化され、企業価値を維持できるため、株主からの信頼も獲得できるのです。
企業全体の中核業務の可視化
IT-BCPを定めることによって、企業の中核となる事業が明確になり、緊急時に優先すべき業務を把握することができます。これにより、企業の強みや弱みが明らかになり、経営戦略の策定や見直しに役立てることができます。
IT-BCPに必要な対策
IT-BCP制定することで、ITを用いたシステムを緊急事態であっても運用することが可能となります。以下に、主なIT-BCPの具体策を示します。
定期的なデータのバックアップ
重要な顧客データや機密データを定期的にバックアップし、データ消失リスクを最小限に抑えるために、バックアップデータを複数の場所に分散して保存します。具体的には、自社内に加え、クラウドストレージやデータセンターを活用して、安全なデータ保存と管理を行う必要があります。
システムの冗長化
ITツールやシステムに問題が発生した際に業務を継続するためには、予備の設備やサブシステムなどを平常時から準備・運用(冗長化)しておくことが重要です。特に、サーバーやネットワーク機器を多重構成にすることで、一方が故障しても、もう一方で業務を継続することができます。
テレワークの導入
自然災害時に交通機関が利用できなくなる場合を考慮し、テレワークを導入して社員がオフィスに出社せずに業務を継続できる環境を整えることが重要です。
緊急時の連絡体制の整備
IT資産を守るために、メールや電話、SNS、チャットサービスを利用した連絡体制を整備します。災害時には一斉メール送信や安否確認のサービスも導入し、緊急時の連絡を円滑に行うことで、IT資産の消失や漏洩を最小限に抑える方針です。
CSIRTの設置
CSIRT(Computer SecurITy Incident Response Team)は、セキュリティインシデントに対応するチームであり、トラブルや攻撃の原因究明と二次被害防止を目的として活動します。CSIRTの設置により、迅速な復旧や事前対策が可能になり、リスクを軽減することができます。
IT-BCPの策定の手順
IT-BCPを策定する際の手順としては、以下のものがあります。
危機的事象の特定
社内で緊急事態を想定し、適切な備えや行動をとることが重要です。IT-BCPでは自然災害、サイバー攻撃、システム障害、情報漏洩などの危機的事象に対して、個別の対策を構築します。例えば、自然災害の際には安否確認システムの使用法を全社員で共有することが推奨されます。
被害状況の想定
緊急時のリスクとして、具体的な被害を数字で示すことでより明確に想定できます。例として、大地震によるオフィスの損壊やITシステムの故障、電力供給不足が挙げられます。
ITシステム復旧の優先度の設定
システムダウン時には、事業継続に必要なシステムを優先順位に従って復旧させることが難しいため、あらかじめ優先度の高いITシステムをリスト化し、従業員に周知しておくことが重要です。
ITシステム運用継続に必要な構成要素の整理
システム復旧のためには、優先順位を定めて必要なものを整理することが重要です。例えば津波などの被害によるデータ破損を想定し、事業継続に必要なPCやクラウドサービス、サーバーなどを整理することで、緊急時に備える具体的な方策が明確になります。
事前対策計画の作成
事前対策計画の作成では、緊急事態時の対策を分析し行動計画を立てます。過去の分析から現状と目標の差を明確にし、目標達成に向けた課題を特定して、対策レベルの向上を目指す計画を作成します。
非常時対応計画の検討
緊急事態に備え、IT-BCPに体制や役割分担を盛り込むことで、迅速な対応が可能となります。このとき、指示の正確な伝達が重要であるため、指示の伝達係として適任の人材をリーダーとして選ぶ必要があります。
維持改善計画の検討
IT-BCPの計画は、一度策定すれば完了ではなく、教育訓練の実施とフィードバックを行うことで、定期的に見直し、維持改善を行うことが重要です。維持改善を行うことでIT-BCPの効果を最大化することが可能となります。
重要インフラにおけるIT-BCP
国民生活や社会経済活動は、重要インフラサービスに大きく依存しており、情報通信、金融、交通、電力・ガス、医療、物流などの重要インフラでは、安全で持続的なサービスを提供する必要があるため、IT-BCPを策定することが特に大切となります。
IT-BCPに関連するガイドライン
IT-BCPに関わるガイドラインを以下に示します。
重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針:NISC
上記の「重要インフラに関わるIT-BCP」に関するガイドラインで「経営層に求められる行動」や「定期的な情報セキュリティアセスメントの実施」等のIT-BCPについてより具体的な指針が示されいます。
https://www.nisc.go.jp/pdf/policy/infra/shishin5.pdf
政府機関等における情報システム運用継続計画 ガイドライン:NISC
政府機関等の情報システム担当者が、IT-BCPを策定し、計画の実施と継続的維持改善をするため具体的事項が記載された手引書です。政府機関等以外でもIT-BCPを策定する際に手引きとして利用することができます。
https://www.nisc.go.jp/pdf/policy/general/itbcp1-1_3.pdf
ITサービス継続ガイドライン:経済産業省
民間企業や組織のBCPに関するITに関わる部分について、実施策等を具体化した経済産業省のガイドラインです。セキュリィに関する事故が発生することを前提として情報システム利用者の事後対策の具体例が重点的に記載されています。
https://www.bousai.go.jp/kyoiku/kigyou/keizoku/pdf/ITsc_gl.pdf
まとめ
本コラムでは、自然災害時などでもITシステムの運用を維持をために制定される「IT-BCP」と、それに関連するガイドラインについて紹介しました。
昨今のビジネスにおいては ITシステムの活用が不可欠になっているため、IT-BCPの策定は必須であるといえます。また、「IT-BCP」という単語を見聞きする機会が増えてきておりますので、覚えておくと良いことがあるかもしれません。