IT-BCPを事前に対策すると、災害や緊急時などに事業活動を中断せず、ITシステムを活用できます。すでに社会インフラとして身近なITシステムを運用し、今後起こりうる緊急事態に備えましょう。
IT-BCP対策には対策内容の把握が重要です。この記事ではIT-BCPの重要性を解説します。
IT-BCPとは
IT-BCPとは、緊急事態発生時に企業の事業継続を目的とし、ITシステムを維持する運用のことです。現代においてIT-BCPの策定は欠かせません。IT-BCPについて詳しく解説します。
BCPとは
そもそもBCPとは、Business Continuity Planの頭文字をとった言葉で、日本語では「事業継続計画」と言います。
自然災害やテロなどの緊急事態発生時、企業には中核ビジネスの継続を目標とした計画が必要です。緊急時の対策を疎かにすると、事業の長期停止や機会損失などにより、大きな損害につながるでしょう。
BCPの策定で企業方針を決定すれば、事業の早期復旧や継続を図りつつ、被害を最小限に抑えられます。
IT-BCPは「ITシステムの運用に関するBCP」
IT-BCPはInformation Technology Business Continuity Planの頭文字をとった言葉で、日本語では、「情報技術における事業継続計画」のことを指します。目的は、緊急事態発生時に、企業の事業継続に必要なITシステムを維持することです。
社内向けか社外向けかを問わず、対策をIT-BCPに含める必要があります。たとえば、業務で使用している基幹システムが使用不可になると、日常業務に支障をきたします。また、社外向けのITシステムが中断すると、顧客からの信用失墜につながりかねません。
IT-BCPが重要な理由
IT-BCPは現在、急速な社会のIT化により重要性が高まっているのです。IT-BCPが企業にとって重要である理由を解説します。
ITシステムの普及
急速な社会のIT化により、ほぼすべての企業でITシステムが活用されています。また、企業によるITシステムの活用はますます複雑化しており、ITシステムの停止はすなわち、企業活動の停止を意味するでしょう。
サイバー攻撃の増加
サイバー攻撃の手口は巧妙化していて、サイバー攻撃への対策が必須です。サイバー攻撃で被害にあった場合、企業は信用面や費用面で甚大な損害を被ります。
自然災害への対策
災害大国の日本では、自然災害への対策が欠かせません。2011年の東日本大震災では、さまざまな企業や個人が甚大な影響を受け、BCP策定の重要性が知られるようになりました。
たとえば自然災害でデータセンターが被害に遭うと、サーバーの稼働が停止してしまいます。これによりITシステムも停止すると、顧客や取引先へのサービス提供に悪影響を与えるでしょう。
IT-BCPの具体的な対応
ここからはIT-BCPの具体的な対応を解説します。IT-BCP策定の際はぜひ参考にしてください。
データのバックアップ
定期的なデータのバックアップはIT-BCPの対策として有効です。
自社データには独自技術や顧客情報など、企業の事業継続に欠かせない財産が記録されています。バックアップをとることで、データを失うリスクを回避できるでしょう。また、サイバー攻撃に対しても、こまめなバックアップを行っていれば迅速に対応できます。
自然災害が発生しても、バックアップからデータを復元できれば事業継続につながります。
管理拠点を分散したり、クラウドストレージを利用したりすると、データを失うリスクが軽減できるでしょう。
災害時の連絡体制の整備
災害発生時には、普段利用しているメールや電話が使用できないかもしれません。東日本大震災では、メールの送受信に遅滞が発生し、復旧までに約1ヶ月を要したのです。
自然災害発生時、BCPに特化した安否確認システムを利用することで、従業員の安否を一斉に確認できます。安否確認メールは自動で配信されるため、担当者は事業継続に専念でき、スムーズな事業再開につながるでしょう。
リモートワークの活用
作業場所が1箇所の場合、その場所が被害を受けると、事業再開までに時間がかかります。長期中断を避けるために、リモートワークの活用がIT-BCP対策として推奨されています。
リモートワークへ容易に移行できる体制を整えておけば、緊急事態発生時でも、従業員は柔軟に対応できるでしょう。リモートワーク導入にあたっては、自宅のPCから社内ネットワークへスムーズにアクセスできるようなシステムの導入が求められます。
二重化システムの構築
トラブルからITシステムを守るために、二重化システムを構築しましょう。
稼働系と待機系の2つを用意し、予備のシステムが使える状態にします。これにより、一方のシステムが稼働中に問題となっても、他方のシステムに切り替えられます。そうすることで、稼働を停止させることなく、運用を継続することが可能です。
システムを二重化し、緊急事態発生時に強い環境を構築することで、システムの可用性や信頼性を向上させられます。
CSIRTの設置
CSIRT(シーサート)とは、Computer Security Incident Response Teamの頭文字をとった言葉です。日本語では、「情報セキュリティ問題に関する対応組織」を指します。悪質なマルウェアや不正アクセスの対策を担うものです。
IT-BCPの対策として、社内のCSIRT設置は非常に有効です。ただし、高度な専門知識と専門技術を有した人材の確保が必要です。人材を確保できない場合は、新規の人材を確保または育成しなければなりません。難しければ、社外への委託を推奨します。
IT-BCPを策定する手順
IT-BCPを策定する際は、適切な手順が求められます。策定の流れを詳しく見ていきましょう。
①対象範囲の明確化
IT-BCPに対して、企業内で明確な基本方針を設定します。社内にて緊急事態が発生した際、復旧する対象や復旧の優先順位を定めます。
IT-BCP対策について社内で運用するチームを編成し、推進する体制を整備することも重要です。このチームは、特定の部署からの人材だけでなく、さまざまな部署から選定します。さまざまな部署で策定することで、策定内容に漏れがないようにするためです。
②具体的な危機的事象の想定
日頃から社内で緊急事態を想定することで、適切な備えや行動をとれるようになります。IT-BCPで想定される危機的事象は自然災害、サイバー攻撃、システム障害、情報漏洩などです。
危機的事象ごとに対策が異なるため、個別に対策を構築します。たとえば自然災害の場合、安否確認システムの利用方法を社内全体で共有しましょう。
③被害状況の想定・リスクの洗い出し
緊急時に被る可能性のあるリスクを洗い出します。被害を数字で表すと、より具体的な被害を想定できるでしょう。
たとえば大規模な地震が発生したときの被害として、オフィスの損壊、ITシステムの故障、電力の供給不足などが考えられます。
④復旧優先度の決定
システムがダウンしたとき、すべてのシステムを一度に復旧させることは困難です。事業の継続に必要なシステムを、優先度の順に復旧させましょう。
優先度の高いITシステムをリストアップし、優先順位を定めておきます。従業員にも優先順位や基本方針を周知しておくことが重要です。
⑤システム構成要素の整理
システムの優先順位が定まれば、システム復旧のために必要なものを整理します。
たとえば水害の被害に遭った場合、データの破損が想定されます。事業継続に必要なものはPC、クラウドサービス、サーバーなどです。優先順位を定め、必要なものを整理すると、緊急事態下で備えるものが具体化されます。
⑥事前対策計画の作成
事前対策計画の作成では、緊急事態発生時に実施する対策を分析し、行動計画を作成します。
これまでの分析結果をもとに、現状と目標の差を明確にし、目標レベルに向けた課題や問題点を見つけましょう。そして、対策レベルが向上するような事前対策計画を作成します。
⑦非常時対応計画の検討
緊急事態発生時の体制や役割分担などをIT-BCPにあらかじめ盛り込むと、スムーズな対応ができます。
緊急事態発生時には、指示が正確に伝わることこそ重要です。伝達係としての役割を果たせる人材がいれば、その人をリーダーとして選出しましょう。
⑧維持改善計画の検討
IT-BCPにおける計画は、一度策定して終わりでは決してありません。定期的かつ継続的な見直しが必要です。効果を最大限に発揮し、リスクを回避するためにも、維持改善計画を見直しましょう。
IT-BCPの策定ポイント
IT-BCPの策定を成功に導くには、4つのポイントを押さえることが大切です。それぞれ詳しく解説します。
まずはテンプレートなどをベースに作成を行う
政府の発行するガイドラインを確認し、雛形を作成しましょう。
経済産業省や内閣府防災担当が発表している、IT-BCPに関するガイドラインがおすすめです。一般企業を対象とし、緊急事態発生時における実施計画、訓練、教育の重要性が強調されています。
公的団体の用意したテンプレートを活用すれば、漏れや抜けの少ないIT-BCPを策定できるでしょう。
IT-BCP対策の重要性を経営陣が知る
IT-BCPを策定すると中核事業が判明し、予算の決定が円滑になるため、経営層にも影響を与えるでしょう。そのため、経営陣は積極的にBCPおよびIT-BCPを理解する必要があります。
経営層がIT-BCPの策定に初期段階から関わると、重要性が社内の各部署に伝わりやすくなります。
従業員への周知・訓練の実施
IT-BCPを有効に運用するためにも、策定後は、従業員への周知や教育をしましょう。策定内容を理解してもらうことが大切です。
加えて、訓練を実施し、緊急事態に対応できるよう努めます。訓練の機会がなければ、緊急自体が発生した際に適切な対応ができず、事業の存続に影響を与えるおそれもあります。
必要であれば専門家も交えて対策を行う
IT-BCPを策定すると、システムやサービスの選定にも影響が出るでしょう。
IT-BCPの対策に費用をかけると、緊急事態発生時に大きな効果が生まれます。しかし、予算には限りがあり、すべてのシステムやサービスに費用を投じられるわけではありません。
企業内で予算やシステムの決定が難しい際は、ITシステムの専門家やコンサルタントに相談しましょう。
IT-BCPでITシステムを守ろう
ITの急速な普及により、企業にとって、IT-BCPの策定がますます重要となっています。IT-BCPを策定すると、自然災害やサイバー攻撃などのリスクを最小限に抑えられるでしょう。企業の成長のためにも、ぜひIT-BCPを導入してください。