ITシステムのBCP対策とは？IT-BCPについてイチから丁寧に解説！

BCP対策とは

BCPは「Business continuity plan」の略で、日本語では「事業継続計画」と呼ばれます。地震などの災害発生時にビジネスを継続できるよう、あらかじめ計画を立てておくことです。

BCPでは、災害発生時の方針や手順などを計画します。災害による被害を最小限に抑えるとともに、事業をできる限り中断せずに済むことを目的とします。具体的に定める内容は、以下のとおりです。

• ■復旧を優先すべき事業（中核事業）
• ■中核事業の目標復旧時間
• ■緊急時のサービスレベル
• ■設備・拠点の代替案
• ■社内でのBCP共有

BCPの策定は法律では義務付けられていません。しかし、災害対策を怠ることで、大きな損害を被る可能性があります。事業を中断している間はビジネスの機会を損失するうえ、取引相手から契約違反などで訴えられるおそれもあります。

こうしたリスクを避けるために、BCPを策定しておきましょう。

IT-BCPとは

IT-BCPはBCPの一部です。具体的に、どのようなものなのでしょうか。

ITシステムにおけるBCP対策

IT-BCPはITシステムにおけるBCP対策です。緊急時にも、ビジネスに必要なITシステムの運用を維持することを目的とします。

現在のビジネスでは、ITシステムが大きな役割を担っています。システム１つが停止するだけで、その損害の大きさは計り知れません。特に、大切なデータを保持したシステムに異常が生じた場合、企業の資産を損失することになります。

また、サイバー攻撃のような、ITシステム特有のリスクも存在します。これらの脅威から企業を守るため、IT-BCPを策定しましょう。

BCPとの整合性を保つことが必要

IT-BCPに求められるのは、BCPとの整合性を維持することです。IT部門の計画としてIT-BCPが独立していると、実際に災害が起きたときに役に立たない可能性があります。なぜなら、ITシステムだけが復旧しても、ビジネスを復旧したことにはならないためです。

事業を継続するには、ITシステムそのものの維持・復旧に加え、それをどのように利用するかという計画も必要になります。災害時は人手や資源が限られるため、システムだけが無事でも通常どおりの運用はできません。

これらを総合的に踏まえたうえで、IT-BCPを策定する必要があります。

IT-BCPの具体策

BCPを策定する際、どのようにITシステムを活用すれば被害を抑えられるのでしょうか。

データ保管・バックアップを行う

データ消失のリスクを防ぐために、データ保管やバックアップを行いましょう。ビジネスに必要なデータを失うことは、企業にとって大きな損失となります。製品の設計図や顧客情報を失えば、事業の継続どころか、存続さえも危うくなるかもしれません。

データは遠隔地のデータセンターにバックアップを取っておきましょう。こうすることで、地震など地域が限定される災害のリスクを分散させられます。たとえ社内でデータが失われても、データセンターにアクセスすることで取り戻せます。

これらのバックアップは、普段から行うことが大切です。定期的に自動バックアップできるシステムなどを活用するとよいでしょう。

代替機やリモートワークを活用する

災害時は、普段の環境で作業ができません。そのため、代替機やリモートワークを活用しましょう。

代替機は、通常利用しているものとは異なるOSやサーバを利用したほうがよいでしょう。同じリソースを利用していると、同時に使えなくなるおそれがあるためです。さらに、サイバー攻撃においては、同じ被害に遭う可能性があります。

リモートワークでは、社員が自宅のパソコンから社内ネットワークにアクセスできるような状態にしておきましょう。こうすることで、地震などの災害時にオフィスまで出勤できなくても、仕事に取り掛かれます。

情報共有も容易になるため、その後の予定確認なども円滑になるでしょう。ただし、普段まったく利用していなければ、緊急時に対応するのは困難です。いざというときに慌てないためにも、日ごろからリモートワークを活用しておくことが大切です。

BCP発動時の連絡体制を整える

緊急時の連絡体制を整えましょう。災害時には電話やメールといった普段使っている連絡ツールが利用できなくなるおそれがあります。その場合、どのような手段で連絡を取り合うのか決めておきましょう。

BCP対策システムとして、災害時に一斉メールや安否確認アンケートを配信する製品があります。これらを活用することで、災害時にもスムーズに連絡できるでしょう。

また、緊急時にどのような指揮系統となるのか整えておきましょう。一般的には、経営者がリーダーとなり、その下のチームリーダーが従業員に直接連絡・指示することになります。

社内にCSIRTを設置する

社内にCSIRTを設置しましょう。CSIRTは「Computer Security Incident Response Team」の略で「シーサート」と読みます。インシデントの原因究明や二次被害防止を目指して行動する組織です。

CSIRTにおけるインシデントには、情報流出やマルウェア感染、不正侵入などが含まれます。ITシステムに発生した障害の原因を特定することで、事業の復旧・継続を円滑にします。

また、対応はインシデント発生後に限りません。その前から被害を防止するために活動するのもCSIRTの役割です。

IT-BCP策定のコツ

IT-BCPを策定する際、どのようなことを意識すればよいのでしょうか。

ガイドラインを参照する

IT-BCPのガイドラインを参照しましょう。日本においては、以下のようなガイドラインが存在します。

• ■IT サービス継続ガイドライン｜経済産業省
• ■サイバーセキュリティ経営ガイドライン｜経済産業省
• ■重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針｜サイバーセキュリティ戦略本部
• ■中央省庁における情報システム運用継続計画ガイドライン｜内閣官房情報セキュリティセンター
• ■IT-BCP 策定モデル｜内閣官房情報セキュリティセンター
• ■事業継続ガイドライン 第三版｜内閣府

これらには、IT-BCPにおいて実施すべき項目や留意事項が書かれています。それを参考に、社内でIT-BCPを策定しましょう。

復旧計画を可視化する

マッピングを利用することで、復旧計画を可視化しましょう。

BCPにおいて、従業員が現状を正しく把握することは不可欠です。達成すべき物事の優先順位を明らかにし、行動を促すためにも、現状や見通しを可視化しておきましょう。

特にIT-BCPにおいては、ITシステムの目標復旧時間や使えるリソースなどを明示しておくことが大切です。災害時の問題は日常では実感しづらいですが、明確化することで関係者の理解や協力を得やすくなるでしょう。具体的には、以下のような項目を明示しておきます。

• ■各ITシステムの責任者
• ■現状抱えている問題と、施されている対策
• ■ITシステムを構成する要員
• ■どのITシステムがどの業務に関わっているか
• ■災害時の復旧見込み

実際に災害が起きる前にこうした事項を明確化しておくことで、対策方法を検討しやすくなります。新たなシステムの導入などを検討し、災害時の被害を最小限に抑えましょう。

IT-BCPを策定、システムを利用して自社事業を守ろう

IT-BCPは、ITシステムにおけるBCPで、事業を継続させるために策定するものです。BCPとの整合性を保ちながら策定しましょう。IT-BCPでは以下のような対策をとります。

• ■データバックアップ
• ■代替機・リモートワーク活用
• ■連絡体制の整備
• ■CSIRT設置

策定するコツは以下のとおりです。

• ■ガイドラインの参照
• ■計画の可視化

ぜひ参考にして、自社の事業を守ってください。