防災・BCP・リスクマネジメントが分かるメディア

IT-BCPとは?ITシステムでのBCP対策の重要性や具体策を解説

IT-BCPとは?ITシステムでのBCP対策の重要性や具体策を解説

IT-BCPを事前に対策すると、災害や緊急時などに事業活動を中断せず、ITシステムを活用できます。すでに社会インフラとして身近なITシステムを運用し、今後起こりうる緊急事態に備えましょう。

IT-BCP対策には対策内容の把握が重要です。この記事ではIT-BCPの重要性を解説します。

プロフィール背景画像
プロフィール画像

編集者:坂田健太(さかた けんた)

トヨクモ株式会社 マーケティング本部 プロモーショングループに所属。防災士。
2021年、トヨクモ株式会社に入社し、災害時の安否確認を自動化する『安否確認サービス2』の導入提案やサポートに従事。現在は、BCP関連のセミナー講師やトヨクモが運営するメディア『みんなのBCP』運営を通して、BCPの重要性や災害対策、企業防災を啓蒙する。

IT-BCPとは

IT-BCPとは、緊急事態発生時に企業の事業継続を目的とし、ITシステムを維持する運用のことです。現代においてIT-BCPの策定は欠かせません。IT-BCPについて詳しく解説します。

BCPとは

そもそもBCPとは、Business Continuity Planの頭文字をとった言葉で、日本語では「事業継続計画」と言います。

自然災害やテロなどの緊急事態発生時、企業には中核ビジネスの継続を目標とした計画が必要です。緊急時の対策を疎かにすると、事業の長期停止や機会損失などにより、大きな損害につながるでしょう。

BCPの策定で企業方針を決定すれば、事業の早期復旧や継続を図りつつ、被害を最小限に抑えられます。

IT-BCPは「ITシステムの運用に関するBCP」

IT-BCPはInformation Technology Business Continuity Planの頭文字をとった言葉で、日本語では、「情報技術における事業継続計画」のことを指します。目的は、緊急事態発生時に、企業の事業継続に必要なITシステムを維持することです。

社内向けか社外向けかを問わず、対策をIT-BCPに含める必要があります。たとえば、業務で使用している基幹システムが使用不可になると、日常業務に支障をきたします。また、社外向けのITシステムが中断すると、顧客からの信用失墜につながりかねません。

IT-BCPが重要な理由

IT-BCPは現在、急速な社会のIT化により重要性が高まっているのです。IT-BCPが企業にとって重要である理由を解説します。

ITシステムの普及

急速な社会のIT化により、ほぼすべての企業でITシステムが活用されています。また、企業によるITシステムの活用はますます複雑化しており、ITシステムの停止はすなわち、企業活動の停止を意味するでしょう。

サイバー攻撃の増加

サイバー攻撃の手口は巧妙化していて、サイバー攻撃への対策が必須です。サイバー攻撃で被害にあった場合、企業は信用面や費用面で甚大な損害を被ります。

自然災害への対策

災害大国の日本では、自然災害への対策が欠かせません。2011年の東日本大震災では、さまざまな企業や個人が甚大な影響を受け、BCP策定の重要性が知られるようになりました。

たとえば自然災害でデータセンターが被害に遭うと、サーバーの稼働が停止してしまいます。これによりITシステムも停止すると、顧客や取引先へのサービス提供に悪影響を与えるでしょう。

IT-BCPの具体的な対応

ここからはIT-BCPの具体的な対応を解説します。IT-BCP策定の際はぜひ参考にしてください。

データのバックアップ

定期的なデータのバックアップはIT-BCPの対策として有効です。

自社データには独自技術や顧客情報など、企業の事業継続に欠かせない財産が記録されています。バックアップをとることで、データを失うリスクを回避できるでしょう。また、サイバー攻撃に対しても、こまめなバックアップを行っていれば迅速に対応できます。

自然災害が発生しても、バックアップからデータを復元できれば事業継続につながります。

管理拠点を分散したり、クラウドストレージを利用したりすると、データを失うリスクが軽減できるでしょう。

災害時の連絡体制の整備

災害発生時には、普段利用しているメールや電話が使用できないかもしれません。東日本大震災では、メールの送受信に遅滞が発生し、復旧までに約1ヶ月を要したのです。

自然災害発生時、BCPに特化した安否確認システムを利用することで、従業員の安否を一斉に確認できます。安否確認メールは自動で配信されるため、担当者は事業継続に専念でき、スムーズな事業再開につながるでしょう。

リモートワークの活用

作業場所が1箇所の場合、その場所が被害を受けると、事業再開までに時間がかかります。長期中断を避けるために、リモートワークの活用がIT-BCP対策として推奨されています。

リモートワークへ容易に移行できる体制を整えておけば、緊急事態発生時でも、従業員は柔軟に対応できるでしょう。リモートワーク導入にあたっては、自宅のPCから社内ネットワークへスムーズにアクセスできるようなシステムの導入が求められます。

二重化システムの構築

トラブルからITシステムを守るために、二重化システムを構築しましょう。

稼働系と待機系の2つを用意し、予備のシステムが使える状態にします。これにより、一方のシステムが稼働中に問題となっても、他方のシステムに切り替えられます。そうすることで、稼働を停止させることなく、運用を継続することが可能です。

システムを二重化し、緊急事態発生時に強い環境を構築することで、システムの可用性や信頼性を向上させられます。

CSIRTの設置

CSIRT(シーサート)とは、Computer Security Incident Response Teamの頭文字をとった言葉です。日本語では、「情報セキュリティ問題に関する対応組織」を指します。悪質なマルウェアや不正アクセスの対策を担うものです。

IT-BCPの対策として、社内のCSIRT設置は非常に有効です。ただし、高度な専門知識と専門技術を有した人材の確保が必要です。人材を確保できない場合は、新規の人材を確保または育成しなければなりません。難しければ、社外への委託を推奨します。

IT-BCPを策定する手順

IT-BCPを策定する際は、適切な手順が求められます。策定の流れを詳しく見ていきましょう。

①対象範囲の明確化

IT-BCPに対して、企業内で明確な基本方針を設定します。社内にて緊急事態が発生した際、復旧する対象や復旧の優先順位を定めます。

IT-BCP対策について社内で運用するチームを編成し、推進する体制を整備することも重要です。このチームは、特定の部署からの人材だけでなく、さまざまな部署から選定します。さまざまな部署で策定することで、策定内容に漏れがないようにするためです。

②具体的な危機的事象の想定

日頃から社内で緊急事態を想定することで、適切な備えや行動をとれるようになります。IT-BCPで想定される危機的事象は自然災害、サイバー攻撃、システム障害、情報漏洩などです。

危機的事象ごとに対策が異なるため、個別に対策を構築します。たとえば自然災害の場合、安否確認システムの利用方法を社内全体で共有しましょう。

③被害状況の想定・リスクの洗い出し

緊急時に被る可能性のあるリスクを洗い出します。被害を数字で表すと、より具体的な被害を想定できるでしょう。

たとえば大規模な地震が発生したときの被害として、オフィスの損壊、ITシステムの故障、電力の供給不足などが考えられます。

④復旧優先度の決定

システムがダウンしたとき、すべてのシステムを一度に復旧させることは困難です。事業の継続に必要なシステムを、優先度の順に復旧させましょう。

優先度の高いITシステムをリストアップし、優先順位を定めておきます。従業員にも優先順位や基本方針を周知しておくことが重要です。

⑤システム構成要素の整理

システムの優先順位が定まれば、システム復旧のために必要なものを整理します。

たとえば水害の被害に遭った場合、データの破損が想定されます。事業継続に必要なものはPC、クラウドサービス、サーバーなどです。優先順位を定め、必要なものを整理すると、緊急事態下で備えるものが具体化されます。

⑥事前対策計画の作成

事前対策計画の作成では、緊急事態発生時に実施する対策を分析し、行動計画を作成します。

これまでの分析結果をもとに、現状と目標の差を明確にし、目標レベルに向けた課題や問題点を見つけましょう。そして、対策レベルが向上するような事前対策計画を作成します。

⑦非常時対応計画の検討

緊急事態発生時の体制や役割分担などをIT-BCPにあらかじめ盛り込むと、スムーズな対応ができます。

緊急事態発生時には、指示が正確に伝わることこそ重要です。伝達係としての役割を果たせる人材がいれば、その人をリーダーとして選出しましょう。

⑧維持改善計画の検討

IT-BCPにおける計画は、一度策定して終わりでは決してありません。定期的かつ継続的な見直しが必要です。効果を最大限に発揮し、リスクを回避するためにも、維持改善計画を見直しましょう。

IT-BCPの策定ポイント

IT-BCPの策定を成功に導くには、4つのポイントを押さえることが大切です。それぞれ詳しく解説します。

まずはテンプレートなどをベースに作成を行う

政府の発行するガイドラインを確認し、雛形を作成しましょう。

経済産業省や内閣府防災担当が発表している、IT-BCPに関するガイドラインがおすすめです。一般企業を対象とし、緊急事態発生時における実施計画、訓練、教育の重要性が強調されています。

公的団体の用意したテンプレートを活用すれば、漏れや抜けの少ないIT-BCPを策定できるでしょう。

IT-BCP対策の重要性を経営陣が知る

IT-BCPを策定すると中核事業が判明し、予算の決定が円滑になるため、経営層にも影響を与えるでしょう。そのため、経営陣は積極的にBCPおよびIT-BCPを理解する必要があります。

経営層がIT-BCPの策定に初期段階から関わると、重要性が社内の各部署に伝わりやすくなります。

従業員への周知・訓練の実施

IT-BCPを有効に運用するためにも、策定後は、従業員への周知や教育をしましょう。策定内容を理解してもらうことが大切です。

加えて、訓練を実施し、緊急事態に対応できるよう努めます。訓練の機会がなければ、緊急自体が発生した際に適切な対応ができず、事業の存続に影響を与えるおそれもあります。

必要であれば専門家も交えて対策を行う

IT-BCPを策定すると、システムやサービスの選定にも影響が出るでしょう。

IT-BCPの対策に費用をかけると、緊急事態発生時に大きな効果が生まれます。しかし、予算には限りがあり、すべてのシステムやサービスに費用を投じられるわけではありません。

企業内で予算やシステムの決定が難しい際は、ITシステムの専門家やコンサルタントに相談しましょう。

IT-BCPでITシステムを守ろう

ITの急速な普及により、企業にとって、IT-BCPの策定がますます重要となっています。IT-BCPを策定すると、自然災害やサイバー攻撃などのリスクを最小限に抑えられるでしょう。企業の成長のためにも、ぜひIT-BCPを導入してください。

安否確認サービス2の製品サイトに遷移します。
プロフィール背景画像
プロフィール画像

編集者:坂田健太(さかた けんた)

トヨクモ株式会社 マーケティング本部 プロモーショングループに所属。防災士。
2021年、トヨクモ株式会社に入社し、災害時の安否確認を自動化する『安否確認サービス2』の導入提案やサポートに従事。現在は、BCP関連のセミナー講師やトヨクモが運営するメディア『みんなのBCP』運営を通して、BCPの重要性や災害対策、企業防災を啓蒙する。