IT-BCP
IT-BCPとはInformation Technology Business Continuity Planの略で、特に情報システムに関する事業継続計画のことを意味します。
企業や組織が予期せぬ突発的な自然災害やサイバー攻撃、システム障害などの様々なリスクに直面しても、ITインフラや情報システムの機能の維持や迅速な復旧により事業継続を確保するための具体的な手順や対策を定めた計画です。
類似の用語としてICT-BCPがありますが、こちらはより広範囲の通信技術を含み、公共組織ではこちらの表現を利用されることが多いです。
IT-BCPを策定するにあたり、重要な観点は次の通りです。
- 現状分析(リスク評価):最初に現状把握を行います。
〇現在どのような情報システムを使っているのかの洗い出し。
〇企業や組織にとって業務維持に必要な情報システムやIT資産を把握。
〇どのような潜在的な脅威やリスクがあるのか、その発生確率や影響度を考察。
- 対策検討:事業継続性の確保のために重要なITサービスの中断を最小限に抑制し、顧客や利害関係者への影響を軽減させるために、リスクに対する具体的な対策を考えます。
〇重要システムのバックアップ対策。
〇代替システムや代替手段の準備。
- 計画策定:対策をもとに具体的な計画書を作成します。
〇緊急時の連絡体制や役割分担の明確化。
〇復旧手順の明確化。
- 定期的な訓練と見直し:計画の有効性を確認します。
〇実際にシステムが停止したことを想定した行動を促す定期的な訓練や従業員教育の実施。
〇訓練やシミュレーションを通じて、必要に応じて計画更新の実施。
IT-BCPを適切に策定・運用することで、企業は不測の事態にも強靭に対応できます。特に自然災害やサイバー攻撃の高度化に伴い、IT―BCPの策定と実施が企業の持続可能性に直結する重要な要素になっています。
目次
よくある質問
IT-BCP策定を怠ると、発注者としてどのようなリスクが具体的に起こるでしょうか?
IT-BCP(情報システムに関する事業継続計画)は、災害や障害が発生した際に重要システムを継続利用または迅速復旧させるための計画です。
これを策定していない場合、発注者は以下のような重大なリスクに直面する可能性があります。
1. 業務停止による事業損失
基幹システムや重要アプリが利用できなくなると、受発注や決済などの主要業務が止まり、売上機会の損失や信用低下につながります。
2. 復旧の長期化とコスト増加
あらかじめ代替策や復旧手順を定めていない場合、障害発生時に即応できず、復旧までの時間が長期化し、緊急対応により追加コストも発生します。
3. 組織の信頼失墜
顧客や取引先に対して「危機対応力がない」と評価され、企業ブランドや信用力が低下します。長期的には競争力の低下に直結する可能性があります。
IT-BCPを策定していないと、業務停止やコスト増大、信用失墜といった深刻なリスクを招きます。発注者は事前に復旧体制を整備することが不可欠です。
IT-BCPの現状分析(リスク評価)で見落としやすいポイントは何でしょうか?
IT-BCP策定において現状分析やリスク評価を行う際、システムやデータに関する基本的なリスクは検討されやすい一方で、以下のような点は見落とされやすく注意が必要です。
1. サプライチェーン依存のリスク
クラウドや外部ベンダーに依存している場合、その停止や障害が自社に直結することを過小評価しがちです。契約範囲やSLA(サービス水準)の確認が重要です。
2. 人的リソースの制約
災害時にシステム担当者が出社できない、あるいは専門知識を持つ人材が限られているなど、人員面の制約を想定しない計画は実効性に欠けます。
3. 通信・電源インフラの脆弱性
データセンターやクラウド環境の冗長化に注力しても、オフィスや拠点のネットワーク、電源設備の障害が業務継続を妨げるケースは多くあります。
IT-BCPのリスク評価では、外部依存、人員不足、インフラ脆弱性といった要素が見落とされやすいです。
これらを含めた多面的な分析が実効性を高めます。
IT-BCPを策定するにあたり、関係部署・業務部門とどう関与・調整するべきでしょうか?
IT-BCPは情報システム部門だけで完結する計画ではなく、事業継続に関わる全社的な体制づくりが求められます。
そのため、関係部署や業務部門との連携・調整を前提に進めることが不可欠です。
1. 業務部門からの要求把握
各部門にとって重要な業務やシステムを把握し、どの業務をどの程度の時間で復旧させる必要があるかを共有します。
これにより、優先度(RTO・RPO)の設定に現場の実情を反映できます。
2. 役割と責任の明確化
災害や障害発生時に、どの部署がどの範囲を担うのかを事前に定義することが必要です。責任の曖昧さは初動対応の遅れや二重対応につながります。
3. 共同での訓練と検証
策定したIT-BCPは机上の計画で終わらせず、関係部署が参加する訓練を通じて実効性を確認することが重要です。
訓練を通じて課題を洗い出し、改善を重ねることで有効性が高まります。
4. 経営層を含めた合意形成
部門間の調整を進めるうえでは、経営層の意思決定や承認を得ることが不可欠です。
全社的な優先順位やリソース配分を定めることで、BCPが組織全体の共通認識として定着します。
IT-BCP策定では、関係部署と業務要件を共有し、責任分担を明確化し、訓練を通じて検証することが重要です。
経営層の合意を得て全社的に取り組むことで実効性が確保されます。
クラウドや外部委託を利用している環境でのIT-BCP設計における注意点は何でしょうか?
クラウドや外部委託の活用は柔軟性と効率性を高めますが、同時に事業継続の観点では外部依存によるリスクも伴います。
そのため、IT-BCP設計では以下の点に留意する必要があります。
1. 責任分界点の明確化
IaaS・PaaS・SaaSなど利用形態によって、利用者と事業者の管理範囲は異なります。契約上どこまでが自社の責任かを明確に把握し、想定外の責任転嫁を防ぐことが重要です。
2. SLAと復旧目標の確認
サービス提供者が提示するSLA(サービス水準合意)やRTO/RPO(復旧時間目標・復旧時点目標)が、自社のBCP要件に合致しているかを事前に検証する必要があります。
3. 代替手段の確保
万一サービスが長期停止した場合に備え、他のクラウド事業者やオンプレ環境への切り替え手段を検討しておくことが望まれます。
4. 監査・可視化の仕組み
外部委託先の運用状況を自社で把握できないと、障害発生時に対応が遅れます。
定期的な報告や監査を通じて可視性を確保することが必要です。
クラウドや外部委託を利用する際は、責任範囲・SLA・代替策・監査体制を明確にすることが重要です。
外部依存を前提にしたBCP設計が求められます。
GPTechは、民間や行政機関出身の経験豊富なコンサルタント人材を要しています。もしIT-BCPの策定に際して、どうすればよいかわからないなどのお悩みがあれば、ご相談ください。
みなさまと一体となり、組織のIT-BCPの策定の立案・実行をサポートいたします。
この記事の編集者
永松 博志
博士(情報学)・博士(経営学) 日本放送協会でIP伝送やネットワークに関わる情報セキュリティ対策ならびにグループ全体のIT統制等のリスク管理に従事。その後、東京都庁にてDX推進及びCSIRT技術統括としてサイバーセキュリティ対策に従事。 (株)GRCSにてシニアコンサルタントとしてNIST CSF2.0関連案件をはじめNIST SP800-171準拠セキュリティ支援ソリューション立ち上げを含む各種情報セキュリティ対策支援を担当。 2024年11月に(株)グローバル・パートナーズ・テクノロジーに参画しセキュリティエバンジェリストとして、行政機関や民間のCIO補佐官業務や最高情報セキュリティアドバイザー業務を含む日本のセキュリティレベルの向上を目指し活動中。GovTech領域でのDX推進やセキュリティ支援にも精通。
