ITシステムのBCP対策とは？IT-BCPについてイチから丁寧に解説！

BCP対策とは

BCPは「Business continuity plan」の略で、日本語では「事業継続計画」と呼ばれ、地震などの災害発生時にビジネスを継続できるよう、あらかじめ計画を立てておくことです。災害による被害を最小限に抑えるとともに、事業をできる限り中断せずに済むことを目的として、方針や手順などを計画します。

具体的に定める内容は、以下のとおりです。

• ■復旧を優先すべき事業（中核事業）
• ■中核事業の目標復旧時間
• ■緊急時のサービスレベル
• ■設備・拠点の代替案
• ■社内でのBCP共有

BCPの策定は法律では義務付けられていません。しかし、災害対策を怠ることで、大きな損害を被る可能性があります。事業を中断している間はビジネスの機会を損失するうえ、取引相手から契約違反などで訴えられるおそれもあります。こうしたリスクを避けるために、BCPを策定しておきましょう。

関連記事

watch_later 2019.09.30

防災対策とは何が違う？BCP対策の概要を解説！

続きを読む ≫

IT-BCPとは

IT-BCPはBCPの一部です。具体的に、どのようなものなのでしょうか。

ITシステムにおけるBCP対策

IT-BCPはITシステムにおけるBCP対策で、緊急時にもビジネスに必要なITシステムの運用を維持することを目的とします。

現在のビジネスでは、ITシステムが大きな役割を担っているためシステム１つが停止するだけで、その損害の大きさは計り知れません。特に、大切なデータを保持したシステムに異常が生じた場合、企業の資産を損失することになります。

また、サイバー攻撃のような、ITシステム特有のリスクも存在します。これらの脅威から企業を守るため、IT-BCPを策定しましょう。

BCPとの整合性を保つことが必要

IT-BCPに求められるのは、BCPとの整合性を維持することです。IT部門の計画としてIT-BCPが独立していると、実際に災害が起きたときに役に立たない可能性があります。なぜなら、ITシステムだけが復旧しても、営業開始ができるわけではないのでビジネスを復旧したことにはならないためです。

事業を継続するには、ITシステムそのものの維持・復旧に加え、それを誰がどのように利用するかという計画も必要になります。災害時は人手や資源が限られるため、システムだけが無事でも通常どおりの運用はできません。

これらを総合的に踏まえたうえで、IT-BCPを策定する必要があります。

ITシステムを守るためのIT-BCPの具体策

BCPを策定する際、どのようにITシステムを活用すれば被害を抑えられるのでしょうか。以下で具体的にご紹介していきます。

データ保管・バックアップを行う

データ消失のリスクを防ぐために、データ保管やバックアップを行いましょう。ビジネスに必要なデータを失うことは、企業にとって大きな損失となります。製品の設計図や顧客情報を失えば、事業の継続どころか、存続さえも危うくなるかもしれません。

データはクラウドや遠隔地のデータセンターにバックアップを取っておきましょう。こうすることで、地震など地域が限定される災害のリスクを分散させられます。たとえ社内でデータが失われても、クラウドやデータセンターにアクセスすることで取り戻せます。

これらのバックアップは、普段から行うことが大切です。定期的に自動バックアップできるシステムなどを活用するとよいでしょう。

近年ではITシステムをクラウドで導入することで、BCP対策を行う企業も増えてきました。以下の記事では、システムをクラウドで導入することによるBCP対策のメリット・デメリットを解説しています。気になる方はぜひご覧ください。

関連記事

watch_later 2019.10.08

BCP対策はクラウドで行った方が良い？メリットとデメリットを解説

続きを読む ≫

代替機やリモートワークを活用する

災害時は、普段の環境で作業ができません。そのため、代替機やリモートワークを活用しましょう。

代替機は、通常利用しているものとは異なるOSやサーバを利用したほうがよいでしょう。同じリソースを利用していると、同時に使えなくなるおそれがあるためです。さらに、サイバー攻撃においては、同じ被害に遭う可能性があります。

リモートワークでは、社員が自宅のパソコンから社内ネットワークにアクセスできるような状態にしておきましょう。こうすることで、地震などの災害時にオフィスまで出勤できなくても、仕事に取り掛かれます。

情報共有も容易になるため、その後の予定確認なども円滑になるでしょう。ただし、普段まったく利用していなければ、緊急時に対応するのは困難です。いざというときに慌てないためにも、日ごろからリモートワークを活用しておくことが大切です。

BCP発動時の連絡体制を整える

災害時には電話やメールといった普段使っている連絡ツールが利用できなくなるおそれがあるため、どのような手段で連絡を取り合うのか決めておきましょう。BCP対策システムとして、災害時に一斉メールや安否確認アンケートを配信する製品があり、これらを活用することで、災害時にもスムーズに連絡できるでしょう。

また、緊急時にどのような指揮系統となるのか整えておきましょう。一般的には、経営者がリーダーとなり、その下のチームリーダーが従業員に直接連絡・指示する場合が多いです。

従業員の安否を確認したいのであれば、安否確認システムの導入をおすすめします。安否確認システムについて気になる方は、以下の記事をご覧になってみてください。

関連記事

watch_later 2019.01.10

災害時に役立つ緊急連絡網とは？安否確認システムの必要性

続きを読む ≫

社内にCSIRTを設置する

CSIRT（Computer Security Incident Response Team：シーサート）とは、インシデントの原因究明や二次被害防止を目指して行動する組織です。

CSIRTにおけるインシデントには、情報流出やマルウェア感染、不正侵入などが含まれます。ITシステムに発生した障害の原因を特定することで、事業の復旧・継続を円滑にします。

また、対応はインシデント発生後に限りません。その前から被害を防止するために活動するのもCSIRTの役割です。

失敗しないIT-BCP策定のコツ

IT-BCPを策定する際、どのようなことを意識すればよいのでしょうか。

ガイドラインを参照する

IT-BCPのガイドラインを参照しましょう。日本においては、以下のようなガイドラインが存在します。

• ■IT サービス継続ガイドライン｜経済産業省
• ■サイバーセキュリティ経営ガイドライン｜経済産業省
• ■重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針｜サイバーセキュリティ戦略本部
• ■中央省庁における情報システム運用継続計画ガイドライン｜内閣官房情報セキュリティセンター
• ■IT-BCP 策定モデル｜内閣官房情報セキュリティセンター
• ■事業継続ガイドライン 第三版｜内閣府

これらには、IT-BCPにおいて実施すべき項目や留意事項が書かれています。それを参考に、社内でIT-BCPを策定しましょう。

復旧計画を可視化する

マッピングを利用することで、復旧計画を可視化しましょう。BCPにおいて、従業員が現状を正しく把握することは不可欠です。達成すべき物事の優先順位を明らかにし、行動を促すためにも、現状や見通しを可視化しておきましょう。

特にIT-BCPにおいては、ITシステムの目標復旧時間や使えるリソースなどを明示しておくことが大切です。災害時の問題は日常では実感しづらいですが、明確化することで関係者の理解や協力を得やすくなるでしょう。具体的には、以下のような項目を明示しておきます。

• ■各ITシステムの責任者
• ■現状抱えている問題と、施されている対策
• ■ITシステムを構成する要員
• ■どのITシステムがどの業務に関わっているか
• ■災害時の復旧見込み

実際に災害が起きる前にこうした事項を明確化しておくことで、対策方法を検討しやすくなります。新たなシステムの導入などを検討し、災害時の被害を最小限に抑えましょう。

IT-BCPを策定、システムを利用して自社事業を守ろう

近年、ITシステムの活用が進む中、多くの企業でIT-BCP対策が求められています。災害やシステムの故障は滅多に起きないことですが、起きてしまえば大変なことになるのは容易に想像がつくかと思います。

IT-BCP対策を講じることで得られるメリットはなかなかわかりにくく、対策が後回しになってしまっている方も多いかと思いますが、何かが起こってしまったあとでは取り返しのつかないことになってしまいます。

何から取りかかれば良いのかわからないという方は、まずはBCP対策のガイドラインを見てみたり、BCP対策が行えるソリューションを見てみてはいかがでしょうか。