IT-BCPとは?ITサービス継続のためのリスク対策について解説!
大規模災害やサイバー攻撃など、ITサービスの事業を継続させていくためにはさまざまなリスクが付きものです。そこで昨今「IT-BCP」が注目を集めています。
IT-BCPを行うことでITサービス事業のあらゆるリスクに備えることができるでしょう。
本記事ではIT-BCPについて知りたい経営者や情報システム部・総務部などの決裁者の方向けにIT-BCPの概要から策定手順、具体的な対策、実現するためのポイントについて解説します。災害やリスクから自社のITサービスを守るためにぜひ参考にしてください。
目次
自社のセキュリティ環境構築にお悩みなら、KDDI まとめてオフィスにご相談ください
BCP(事業継続計画)とは?
そもそもBCPとはBusiness continuity planの略です。日本語では事業継続計画のことです。
具体的には災害発生時でも被害を最小限に抑え、ビジネスを継続していけるように前もって計画を立てることを意味します。事業を継続させていく上で起こるリスクとして、例えば台風や豪雨、地震や津波といった自然災害があげられます。また昨今ではコロナウイルスの感染拡大による緊急事態宣言も、事業の継続に影響を与えた例と言えるでしょう。このような災害に備えるために、あらかじめ事業継続計画を作っておく必要があります。
IT‐BCPとは?
IT‐BCPとは、BCPの考え方をITシステムに適用したものです。例えば地震や津波の影響などの災害でシステムに緊急事態が起きたとき、システムの運営維持や早期復旧を目的として事業継続計画を策定します。
自然災害以外にも、サイバー攻撃やパンデミックなどの災害にも対策計画を立て施策を行います。
このように、あらゆる外部からのあらゆる災害に備えるための施策がIT‐BCPです。
IT-BCPの重要性
現在のようにIT化が進み、必須となった社会においてはさまざまな業務がITに依存しています。私たちの社会にITはもはや必要不可欠と言って過言ではないでしょう。そんなときにサイバー攻撃などでITシステムが止まってしまうと多大な被害が発生してしまいます。
特にクラウドサービスを使っている会社がサイバー攻撃を受けてクラウドにアクセスできなくなったり、データがなくなったりすると事業自体の存続にも関わります。
そのため、サイバー攻撃からシステムを守ったり、災害時にITサービスを継続させたりするためにもBCP対策が必要なのです。
IT-BCPの策定手順
ここからはIT-BCPの策定手順を中央省庁における 情報システム運用継続計画 ガイドラインを元にご紹介していきます。政府機関が策定したIT-BCPのガイドラインですので、必要な手順が網羅されています。是非参考にしてください。
1.基本方針の決定
まずはIT-BCPの対象範囲を明確にしていきます。例えばサイバー攻撃を受けた際を想定して、優先するべきシステム、方針を定め経営者を含めた関係者と合意を取り、基本方針を決定します。
2.実施・運用体制の構築
次にIT-BCP策定に関わる部門を明確にして、各部門の情報連携や体制づくり、担当者を決定します。実施・運用体制の構築ができると、各部門や担当者とのコミュニケーション方法を作り上げます。
3.危機的事象の特定
これから起こりえるすべての災害やリスクを対象にするのは現実的ではありません。例えば、大地震や台風、大雨、大雪、パンデミックなどが1度にすべて起こる可能性は低いでしょう。そのため、業務への影響や発生の頻度を考えて想定する危機的事象を特定していきます。
4.被害状況の想定
続いて、被害にあった場合の状況や、どのような場所が被害を受けるリスクがあるのかを洗い出していきます。
例えばサイバー攻撃の場合なら、不正アクセス、ランサムウェア、ウイルス攻撃やDDos攻撃などが想定されます。その上でクラウドサーバーといった場所が被害に遭うことでどうなるかを想定します。
5.情報システムの復旧優先度の設定
こちらでは非常時に優先させるシステムを洗い出し、目標復旧時間を定めていきます。そのシステムを優先すべきかは事業内容によって異なります。そのため、自社の優先すべきシステムの目標復旧時間を定めましょう。
6.情報システムと構成要素の関連整理
続いて復旧優先度に応じた目標対策レベルを設定します。例えば災害やサイバー攻撃を受けた際の非常時に必要となるシステムの構築要素(システム、データ、サーバー、要因等)を整理していきます。
7.事前対策計画の検討
現状の対策レベルを評価し、情報システムの脆弱性を整理していきます。会社や事業の規模により対策にかけられる予算も異なりますので、そのあたりも加味しておきましょう。その上でシステムの脆弱性や目標対策レベルを考慮して、「事前対策計画」を作成します。
8.非常時の対応計画の検討
次は非常の対応計画の検討です。こちらでは被害を受けた場合の復旧に向けての運用体制を検討します。復旧の際の対応方法を手順書として整理したり、責任者や担当者の配置を決めたりしていきます。
9.訓練・維持改善計画の検討
最後は非常時の対応計画の実効性を高めるための「教育訓練計画」や運用継続計画を定期的に見直すための「維持改善計画」を検討します。緊急時が起こった際の対策や訓練を定期的に行い、そこから得られた内容を修正・改善に活かします。
事業継続に必要なIT-BCP対策
災害対策だけでなく、事業継続にもIT-BCP対策は必要です。ここからは事業継続に必要なIT-BCP対策を紹介します。
バックアップ
社内の基盤システム運用を継続する上で、重要なデータの消失は避けなければなりません。また、たとえ重要なデータでなかったとしても常にデータのバックアップは欠かせません。なぜならサイバー攻撃やウイルス被害が起きたとしても、バックアップがあればデータを元どおりに復旧できるからです。逆にバックアップがなければそのデータはもう戻ってこないのでまめにバックアップは取っておきましょう。
データの遠隔地保存
仮にバックアップを行っていても、システムと同じ場所で保管していては、万が一のときに消失するリスクがあります。例えばシステムにサイバー攻撃があったときや自然災害の影響を受けたときなどがあげられます。
そのため、バックアップは遠隔地で保存できる体制が望ましいです。クラウド上でバックアップデータを保存する方法もありますので、BCP対策として非常に有効です。
システムの二重化
同じシステム化を2系統構築しておく方法がシステムの二重化です。具体的には稼働系と待機系にわけて、リアルタイムに同期させておきます。そうすることで、どちらかがサイバー攻撃を受けたり、不具合が起きたりしたときでも、片方で業務かを継続できます。そのため、万が一のときでもデータ復旧という時間を待たなくてもシステムの継続が可能となるわけです。
IT-BCPを実現させるポイント
ここからはIT-BCPを実現させるポイントについて紹介していきます。
経営者がBCP策定に参加する
BCPの実現には経営者がIT-BCPの策定に参加することが要です。その理由はIT-BCPの策定には経営判断が必須のため。どの程度の予算と時間をIT-BCPにかけられるのか、事業継続のための判断は経営者にしかできません。
予算に応じた計画を策定する
事業継続のためには予算に応じた計画を策定しましょう。IT-BCPの実施は予算とのトレードオフの関係にあります。そのため、すべての業務を完璧に継続させることは難しい場合もあるでしょう。しかし限られた予算の中でも、事業の中核となる業務を継続できるように計画を行うことが重要です。
従業員への教育を徹底する
実際にサイバー攻撃などにより被害が出た場合、BCP対策を実行するのは従業員です。そのため、しっかりと社内でコミュニケーションを取り、策定された内容の周知徹底を行いましょう。事業継続が雇用にも影響することを従業員ひとりひとりに理解してもらうことで、実効性のあるBCP対策に繋がります。
IT-BCP対策にはクラウド活用が有効
事業を支えるITサービスの中で、基幹システムは顧客情報や売上などの重要データを保有しています。そのシステムが何らかの理由で停止してしまうと事業継続に多大な支障をきたします。
クラウドサービスを活用すればあらゆるデータをクラウド上に安全に保管でき、いつでもどこでもデータにアクセスできます。そのため、IT-BCP対策にはクラウド活用が有効です。
具体的にはデータをクラウド上で保管することで大事なデータの消失を防げたり、非常時でも場所を選ばずに仕事ができたりと、テレワーク主流の時代にはかかせないITサービスです。
非常時に備えてクラウドを有効活用しましょう。
まとめ
ITサービスの事業継続にはさまざまなリスクが付きもの。例えば大規模災害やサイバー攻撃などです。そのリスクに備えるためにIT-BCP対策を欠かすことはできません。
本記事で紹介した内容を参考にして事業継続のためのIT-BCPを策定してみてはいかがでしょうか。
KDDI まとめてオフィスでは、クラウドを有効活用したBCP対策のソリューションを提供しています。「通信×オフィス環境」のトータルソリューションにより、いい仕事場へと最短距離で導きます。
※ 記載された情報は、掲載日現在のものです。
