IT-BCPとは
IT-BCPとは、ITシステムにおけるBCP対策で、緊急時にもビジネスに必要なITシステムの運用を維持することを目的とします。
現代のビジネスでは、ITシステムが大きな役割を担っているため一つのシステムが停止するだけで、その損害の大きさは計りしれません。特に、大切なデータを保持したシステムに異常が生じた場合、企業の資産を損失することになります。
また、サイバー攻撃のような、ITシステム特有のリスクも存在します。これらの脅威から企業を守るため、IT-BCPの適切な策定が重要です。
BCP対策とは
ここで一般的なBCP対策全般も解説します。BCPは「Business continuity plan」の略で、日本語では「事業継続計画」と呼ばれます。災害による被害を最小限に抑えるとともに、事業をできる限り中断せずに済むことを目的として、方針や手順などを計画します。
具体的に定める内容は、以下のとおりです。
- ●復旧を優先すべき事業(中核事業)
- ●中核事業の目標復旧時間
- ●緊急時のサービスレベル
- ●設備・拠点の代替案
- ●社内でのBCP共有
BCPの策定は法律では義務付けられていません。しかし、災害対策を怠ることで、大きな損害を被る可能性があります。事業を中断している間はビジネスの機会を損失するうえ、取引相手から契約違反などで訴えられるおそれもあります。こうしたリスクを避けるために、BCPを策定しておきましょう。
以下の記事では、BCP対策の概要や策定方法について詳しく解説しています。おすすめのBCP対策システムも比較紹介しているので、あわせて参考にしてください。
ITシステムを守るためのIT-BCPの具体策
ここでは、ITシステムを守るために行うべきIT-BCPの具体策を紹介します。
データ保管・バックアップを行う
データ消失のリスクを防ぐためには、データ保管やバックアップの実施が不可欠です。ビジネスに必要なデータを失うことは、企業にとって大きな損失となります。例えば、製品の設計図や顧客情報を失えば、事業継続だけでなく企業の存続そのものが危うくなるかもしれません。
対策として、データはクラウドや遠隔地のデータセンターにバックアップを取っておきましょう。地震などの地域限定的な災害リスクを分散できます。また、データが失われても、クラウドやデータセンターにアクセスすることで迅速に復元可能です。これらのバックアップは、普段から行うことが大切です。定期的に自動バックアップできるシステムなどを活用するとよいでしょう。
近年ではITシステムをクラウドで導入することで、BCP対策を行う企業も増えてきました。以下の記事では、システムをクラウドで導入することによるBCP対策のメリット・デメリットを解説しています。気になる方はぜひご覧ください。
代替機の用意やリモートワークの活用
災害時は、普段の環境で作業ができません。そのため、代替機やリモートワークを活用しましょう。代替機は、普段利用しているOSやサーバとは異なる環境を選ぶのが理想的です。同じリソースを利用していると、同時に使えなくなるおそれがあるためです。さらに、サイバー攻撃においては、同じ被害に遭う可能性があります。
また、リモートワーク環境を整備することで、社員が自宅から社内ネットワークにアクセスできます。これにより、地震やその他の災害でオフィスに出勤できなくても業務を行えます。情報共有も容易になるため、その後の予定確認なども円滑になるでしょう。ただし、普段まったく利用していなければ、緊急時に対応するのは困難です。いざというときに慌てないためにも、リモートワーク体制を導入しておくことが大切です。
BCP発動時の連絡体制を整える
災害時には、電話やメールなど普段使用している連絡手段が利用できなくなる可能性があります。そのため、代替の連絡手段を事前に決めておくことが重要です。BCP対策システムには、一斉メール配信や安否確認アンケートを迅速に実施できる機能を備えた製品があります。これらを活用することで、災害時でもスムーズに連絡を取り合うことが可能です。
さらに、緊急時の指揮系統も明確にしておきましょう。一般的には、経営者がリーダーとして全体を指揮し、その指示を各チームリーダーが従業員に伝達する体制が取られます。こうした役割分担を事前に定めておくことで、混乱を最小限に抑えられます。
社内にCSIRTを設置する
CSIRT(Computer Security Incident Response Team:シーサート)とは、インシデントの原因究明や二次被害防止を目指して行動する組織です。
CSIRTにおけるインシデントには、情報流出やマルウェア感染、不正侵入などが含まれます。ITシステムに発生した障害の原因を特定することで、事業の復旧・継続を円滑にします。また、対応はインシデント発生後に限りません。その前から被害を防止するために活動するのもCSIRTの役割です。
失敗しないIT-BCP策定のコツ
IT-BCPを策定する際、どのようなことを意識すればよいのでしょうか。
ガイドラインを参照する
IT-BCPのガイドラインを参照しましょう。日本においては、以下のようなガイドラインが存在します。
- ■IT サービス継続ガイドライン|経済産業省
- ■サイバーセキュリティ経営ガイドライン|経済産業省
- ■重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針|サイバーセキュリティ戦略本部
- ■中央省庁における情報システム運用継続計画ガイドライン|内閣官房情報セキュリティセンター
- ■IT-BCP 策定モデル|内閣官房情報セキュリティセンター
- ■事業継続ガイドライン 第三版|内閣府
これらには、IT-BCPにおいて実施すべき項目や留意事項が書かれています。それを参考に、社内でIT-BCPを策定しましょう。
復旧計画を可視化する
マッピングを利用することで、復旧計画を可視化しましょう。BCPにおいて、従業員が現状を正しく把握することは不可欠です。達成すべき物事の優先順位を明らかにし、行動を促すためにも、現状や見通しを可視化しておきましょう。
特にIT-BCPにおいては、ITシステムの目標復旧時間や使えるリソースなどを明示しておくことが大切です。災害時の問題は日常では実感しづらいですが、明確化することで関係者の理解や協力を得やすくなるでしょう。具体的には、以下のような項目を明示しておきます。
- ■各ITシステムの責任者
- ■現状抱えている問題と、施されている対策
- ■ITシステムを構成する要員
- ■どのITシステムがどの業務に関わっているか
- ■災害時の復旧見込み
実際に災害が起きる前にこうした事項を明確化しておくことで、対策方法を検討しやすくなります。新たなシステムの導入などを検討し、災害時の被害を最小限に抑えましょう。
BCP対策全体との一貫性を確保する
IT-BCPを策定する際には、BCP全体との一貫性を確保することが重要です。IT部門だけで策定された独立計画では、実際に災害が発生した場合に十分な効果を発揮しない可能性があります。これは、ITシステムが復旧しても、他の業務プロセスが復旧しなければビジネス全体の再開ができないためです。
事業を継続するには、ITシステムの維持・復旧だけでなく、それを誰がどのように利用するか、さらに他部門との連携を考慮した計画が求められます。こうした状況を踏まえ、BCP全体と調和した形でIT-BCPを策定し、事業継続に向けた実効性の高い計画を構築することが重要です。
BCP対策システムの活用もおすすめ
IT-BCPを効果的に進めるためには、専用のBCP対策システムを活用するのも有効な方法です。さまざまな用途に特化したものがあり、企業のニーズに応じて活用できます。
例えば、データの保全・バックアップに特化した製品や、緊急連絡・安否確認に特化したシステムがあります。また、災害情報の収集やリスクマネジメントに特化した製品も存在します。これらのシステムを導入することで、ITシステムとBCP計画を一体化し、緊急時における対応力の向上が可能です。
なお、BCP対策システムついて詳しく知りたい方には、以下のページもおすすめです。人気のBCP対策システムの特徴や口コミレビュー評価を紹介しており、イメージを掴みやすいでしょう。
まとめ
近年、ITシステムの活用が進むなか、多くの企業でIT-BCP対策が求められています。災害やシステム障害が発生する頻度は低いものの、一度起これば事業に深刻な影響を与える可能性があるため、万が一の事態に備えておくことが重要です。
何から取りかかればよいのかわからないという方は、まずはBCP対策ガイドラインの確認や、BCP対策が行えるソリューションをチェックしてみてはいかがでしょうか。
