IT-BCPとは？ITシステムにおけるBCP対策の重要性や具体策について

BCP対策とは？

BCPとは、「Business continuity plan」の略で「事業継続計画」といった意味があります。自然災害が発生した場合でも被害を最小限にして、事業を継続できるように計画を立てるのがBCP対策です。

BCP対策は、法律で義務付けられているわけではありません。しかし、BCP対策をすることで事業の中断リスクを最小限に抑えられるため、BCPの策定に意欲的な企業が増えている状況です。

IT-BCPとは？

IT-BCPとは、ITにおけるBCP対策のことです。自然災害やサイバー攻撃の被害に遭った際でも、ITシステムを運用し続けられるように試みるのがIT-BCPの目的といえます。

近年、多くの企業がITシステムを利用して事業を運営しています。ITシステムは事業を営むうえで大きな役割を担っており、システムダウンしてしまうと事業継続が困難となる企業も多いでしょう。

また、データの損失は企業の重要な資産を失うことにも繋がります。このように、緊急時でのITシステムの運用・維持に、IT-BCP対策は欠かせないポイントのひとつといえるでしょう。

ITシステムにおけるBCP対策の重要性

近年、多くの事業がITシステムの運用を必須としています。大量のデータを管理できるクラウドサービスや、業務を自動化するツールなどを導入する企業も珍しくありません。

しかし、これらのITシステムは、サイバー攻撃や自然災害によって運用停止する可能性があります。ITシステムが停止した場合、事業が継続できなくなったり、取引先にサービスを提供できなくなったりするのです。

事業中断や中断にともなう取引先からの信用失墜を防ぐためにも、IT-BCP対策は欠かせません。

IT-BCPの具体策について

ITシステムにおける緊急時の対策とは、具体的にどのようなものがあるのでしょうか。ここでは、IT-BCPの具体策を4つ紹介します。

データのバックアップ

事業継続のためには、事業データの損失はなんとしても避ける必要があります。企業は自社データや顧客データをもとに事業を進めているからです。データの損失を避ける方法のひとつに「バックアップ」があります。災害被害によりデータを失っても、常時データをバックアップしておくことで即座に復旧可能です。

バックアップ方法としては、最近ではクラウド上にバックアップしておく企業も増えています。セキュリティ対策の強固なクラウドサービスを利用すれば、データの紛失や顧客情報の流出といったリスクも軽減できるでしょう。

リモートワークの活用

オフィスが被災した場合、オフィスでの業務はできなくなります。つまり、作業場所がオフィスしか用意されていない状況では、緊急事態による事業への影響が大きくなってしまうのです。

災害時の事業中断を避けるためにも、リモートワーク体制を整備しておくとよいでしょう。自宅やコワーキングスペースで仕事ができる状態にしておくことで、オフィスが使用不可能になっても各自業務に取り組めます。

リモートワークを導入する際は、オフィス以外の場所からでも社内データにアクセスできるよう体制を整えておきましょう。また、リモートワークによる業務パフォーマンスの低下が発生しないかどうかを、試しに導入して確認しておくと、災害時の影響を最小化できます。

二重化システムの構築

二重化システムの構築とは、「稼働系」と「待機系」の2つのシステムを用意することです。それぞれを常に同期し、同様のデータを保存していきます。

二重化システムを構築しておくと、仮に緊急事態により稼働中のシステムが停止してしまっても、待機中の予備システムへと切り替えられます。データの復旧を待つことなく事業が継続できることから、導入しておきたい対策のひとつです。

災害時の連絡体制の整備

災害が発生した場合、普段利用しているメールや電話が使えなくなる可能性もあるでしょう。そのため、災害時にどのように連絡を取り合うか、あらかじめ手段を決めておくことが重要です。

一例として、災害時に一斉メールや安否確認のアンケートを配信するサービスの利用が挙げられます。また、BCP対策に特化したサービスを利用するのもおすすめです。

ほかにも、災害発生時の指揮系統を明確にしておくことも欠かせません。基本的には経営者から各部署のマネージャーへ指示を出し、マネージャーがチームメンバーへ連絡を取るのが一般的です。

IT-BCPの策定手順

IT-BCPを適切に定めていくためには、順を追った策定プロセスが求められます。ここからは、策定の流れを詳しくチェックしていきましょう。

対象範囲の明確化

最初に、IT-BCPに対する基本方針を設定します。具体的には、災害が発生した際に復旧すべき対象先の選定や、各システムの復旧優先度の設定です。

BCP対策チームの編成

次に、IT-BCP対策を策定し、運用するチームを編成します。チーム編成時には、一部の部署に偏らないような人材配置が重要です。複数の部署で対策を練っていくことで、内容の抜け漏れを最小限に抑えていきます。

具体的な危機的事象の想定

緊急事態と一口に言っても、リスクの内容はさまざまです。具体的な緊急事態の内容をイメージしておくことで、適切な準備やアクションを取れるよう試みましょう。

IT-BCPにおける緊急事態の一例は、次のとおりです。

• 自然災害
• サイバー攻撃
• システム障害
• 情報漏えい

被害状況の想定・リスクの洗い出し

実際に緊急事態が発生した際、自社がどのような被害を受ける可能性があるのかを想定しておきましょう。大規模な地震が発生した場合で考えてみると、ITシステム・パソコンの故障、オフィスの機能不全、電力供給不足といったリスクが考えられます。

それぞれの危機的な出来事に対する被害想定を具体的にしておくことで、取るべきアクションが明らかとなっていきます。

復旧優先度の決定

緊急事態発生時、すべてのシステムを一度に復旧させることは困難です。事業継続に最低限必要なシステムを優先して復旧させ、被害を最小限に抑えていきましょう。優先すべきシステムは、企業の事業内容によって異なります。自社にとって優先度の高いシステムをリストアップし、その中での優先順位を定めていきましょう。

システム構成要素の整理

優先すべきシステムが定まったあとは、該当システムを復旧するために必要な構成要素を整理していきます。一例として、地震の被害に遭った場合を想定してみましょう。事業継続を可能にする要素としては、パソコン機器やサーバー、クラウドサービスなどが考えられます。

このように、あらかじめ優先システムの構成要素を整理しておくことで、非常時に用意すべきものが具体化されていきます。

事前対策計画の作成

事前対策計画とは、緊急事態の発生前に実施すべき対策を整理し、行動計画を立てることです。事前対策計画を作成する際は、現状の対策レベルと目指すレベルの差を明らかにするよう心がけます。現状の問題点や課題が浮き彫りとなることで、対策レベル向上に向けた効率的な計画案が策定可能です。

非常時対応計画の検討

非常事態が発生した際、どのような体制・方法で対応するのかを計画します。復旧の方法や主体となるチームの編成、責任者などを決定します。

非常事態に必要なチーム編成は、主に次のとおりです。

• 復旧チーム
• 財務・会計管理チーム
• 外部担当チーム
• 後方支援チーム

なお、各チームのリーダーは、経営層からの指示をチームメンバーに伝達する役割を担います。そのため、リーダーを選定する際は、経営層との意思疎通が円滑に図れる人材を選ぶよう心がけましょう。

維持改善計画の検討

緊急事態の内容や効果的な対策は、日々変化します。そのため、IT-BCPの計画は一度策定すれば終わりではなく、継続的な内容の見直しや改善が必要です。

維持改善計画の内容としては、事前対策計画、教育訓練計画、非常時対応計画といったものが存在します。IT-BCPへ向けた効果的なアクションが起こせるよう、維持改善計画も欠かさず作成しておきましょう。

IT-BCPを策定する際のポイント

IT-BCPを策定するにあたり、企業側が押さえておきたいポイントがいくつか存在します。ここでは、主なポイント4点をチェックしていきましょう。

ガイドラインの確認

経済産業省や内閣官房情報セキュリティセンター、内閣府などがIT-BCPに関するガイドラインを公表しています。たとえば、以下のようなガイドラインがあります。

• サイバーセキュリティ経営ガイドライン(経済産業省)
• ITサービス継続ガイドライン(経済産業省)
• 事業継続ガイドライン(内閣府)

IT-BCPを策定することが決定したら、まずは基礎情報として上記のガイドラインを確認するとよいでしょう。

経営陣も参加してBCPを策定

IT-BCPを策定する際は、経営陣の積極的な参加が欠かせません。IT-BCPの策定は経営に関わるものであるため、経営陣の判断・合意が必要になるからです。

また、IT-BCP策定後の取り組みを従業員に浸透させるには、経営陣自らが行動で示すことが重要です。経営陣と社員が一丸となってIT-BCP策定に取り組むことが、企業全体の対策意識向上に繋がります。

従業員への周知を徹底

IT-BCPの策定に携わるのが一部従業員だけであっても、実際の緊急時に行動を起こすのは従業員一同です。そのため、IT-BCPに対する従業員への周知は欠かせないポイントのひとつといえます。

IT-BCP対策を従業員へ説明する際には、なぜ対策が必要なのかを理解してもらうことが大切です。事業継続性を担保することの重要性を認識してもらうことで、従業員の当事者意識向上が期待できます。

BCP対策に使える予算の把握

IT-BCPを考えるうえで、意外に見落としがちなのが予算の把握です。利用できる予算額によって対策方法や割ける人員数が変わっていくため、あらかじめ確認しておきましょう。

予算額によって、計画していたすべての対策を講じられない可能性もあります。その場合は、優先度の高い対策をリストアップし、限られた予算で最大限対策レベルを高められるよう心がけましょう。

IT-BCPを策定して自社の事業を守っていこう

ITシステムを導入する企業が増加している現代において、自然災害やサイバー攻撃に遭った場合への備えは重要度の高いものです。IT-BCPは、緊急時でもITシステムを維持できるよう計画することで、データのバックアップ、二重化システムの構築といった対策を練っていきます。

IT-BCPを策定する際は、政府が発行しているガイドラインの確認や、自社の従業員への周知がポイントです。全社一丸となって対策していくことで、緊急時における自社の事業継続性を確保していきましょう。