1. HOME
  2. 記事一覧
  3. IT-BCPとは?ガイドラインを踏まえた策定手順、対策を分かりやすく解説
プロバイダーとは?役割や選び方などを分かりやすく解説!

IT-BCPとは?ガイドラインを踏まえた策定手順、対策を分かりやすく解説

IT-BCPとは、ITに特化した事業継続計画のことです。BCPが、自然災害や火災などの緊急事態においても企業がビジネスを継続するための「事業継続計画」を指しています。

本記事では、ビジネスにてITの活用が当たり前となった現代社会における「IT-BCP」の重要性と策定方法、そして具体例を「政府機関等における情報システム運用継続計画ガイドライン」に基づいて紹介します。これからIT-BCPを策定する企業さまや、既存の事業継続計画を見直したいとお考えの方は、ぜひご一読ください。

  1. そもそもBCP対策とは
  2. IT-BCPとは
  3. IT-BCPが重要な理由
    1. ビジネスにおいてITの活用が不可欠な時代に
    2. サイバー攻撃が増えている
    3. 災害が頻繁に発生している
  4. IT-BCPの策定方法
    1. 基本方針と運用体制を整える
    2. 危機的状況の特定と被害想定を行う
    3. 復旧すべきシステムの優先順位を定め、明確化する
    4. システムの運用継続に必要な構成要素の整理と適切な対策目標の設定
    5. 事前対策を計画する
    6. 危機的事象が発生した際の対応計画を検討する
    7. IT-BCPの教育訓練を実施する
  5. IT-BCP対策の具体例
    1. データのバックアップ・保管
    2. システムの冗長化
    3. 連絡体制を整備する
    4. クラウド・リモートワークを活用
    5. CSIRT(シーサート)を設置する
  6. まとめ

そもそもBCP対策とは

BCPとは「Business Continuity Plan」の略で、緊急事態においても企業がビジネスを継続できるよう、計画を立てておくことです。日本語では「事業継続計画」と訳されます。

この中には、自然災害やサイバー攻撃などの予期せぬリスクに対する対応策が含まれ、復旧と事業の継続を同時に進行することを目的とします。

IT-BCPとは

IT-BCPは「ITシステムの事業継続計画」であり、ITに特化したBCPを指します。災害やサイバー攻撃などによるITシステムの障害が起こった場合でも、ビジネスに必要なITシステムの運用を維持することを目的としています。

なお、IT-BCPの対象には、自社の顧客や取引先が使用する「社外向けシステム」、通常業務で使用する「社内システム」の双方を含みます。

IT-BCPが重要な理由

急速な社会のIT化により、業務上のITシステムの活用も必須となり、IT-BCPの重要性はますます高まっています。

ここでは、企業にとってIT-BCPが重要といえる3つの理由を解説します。

ビジネスにおいてITの活用が不可欠な時代に

インターネットやモバイル端末が普及している現代、顧客サービスの多くは、ITシステムの活用が必須になってきています。そのため、ITシステムに障害が起こると、サービス提供やセキュリティに重大な影響が及ぶ恐れがあります。

例えば、オンラインショップに障害が発生すると、購入ページに遷移できなくなったり、決済が停止されたりすることが考えられます。そのほか、システム障害によるデータの漏洩や消失、セキュリティ事故による顧客情報の流出など深刻な被害も想定されます。

このような事態が実際に起こってしまうと、顧客や取引先からの信頼低下につながり、企業にとって大きな損害となるでしょう。

サイバー攻撃が増えている

サイバー攻撃の被害は、口座情報の盗難や顧客情報・機密情報の流出など、多岐にわたります。サイバー攻撃の手口は年々巧妙化しており、新しい手法が次々に登場しています。

また、情報漏洩のきっかけは外部からの攻撃だけではありません。IPA(独立行政法人情報処理推進機構)が公開している「情報セキュリティ10大脅威 2024(組織編)」のランキングでは、内部不正による情報流出が毎年ランクインしており、2022年は5位、2023年は4位、2024年は3位と年々その脅威が増大しています。

もし、こういった被害が発生した場合、システム回復や原因追及にかかる労力やコストが事業を圧迫する恐れがあります。被害を最小限に留め、できる限り平時通りの業務を継続するためには、IT-BCPの策定が有効です。

◎「サイバー攻撃の種類」の詳しい解説はこちら
◎「情報漏洩対策」の詳しい解説はこちら

災害が頻繁に発生している

ご存じのとおり、日本は地震や台風などの自然災害が発生しやすい地域です。大規模地震や台風によって、ネットワーク回線の障害で通信できなくなったり、建物・機器類への被害でITシステムが中断・停止したりするケースがあります。

あらかじめ適切なIT-BCPを策定していれば、このような状況でも臨機応変に対応でき、被害を最小限に食い止めることができるでしょう。

IT-BCPの策定方法

ここからは、IT-BCPをこれから策定する企業さまや、既存のIT-BCPの見直しをされる方向けに、策定方法について解説します。適切なIT-BCPの策定にお役立てください。

基本方針と運用体制を整える

まずは、「どのようなシステムをIT-BCPの対象範囲とするか」を定めた基本方針を決定します。このとき、基本方針を実現するための担当者の選定も行い、運用体制を整えていきましょう。

維持するシステムの優先上位にすべきものとして、Webやメールといった情報収集手段のほか、社内ネットワークにアクセスするための認証基盤、クラウドサービスといったデータ共有のためのシステムなどが挙げられます。

基本方針がある程度固まったら関係者で内容を詰め、さまざまな意見をもとに基本方針の解像度を高めていきましょう。

用語集

クラウド

危機的状況の特定と被害想定を行う

次に、どのような事象によってどのような被害が想定されるかをリストアップしていきます。

地震や台風などの災害によってもたらされる被害やサイバー攻撃による損害、ネットワークやハードウェア機器が故障した場合の影響などを、発生の確率も考慮しながら想定します。

複数の拠点を持つ場合は、地理的距離や建物の構造を考慮しつつ、拠点ごとに被害想定を行いましょう。さらに、有事に交通機関が停止し、システム復旧に必要な従業員が出社できないケースも想定しておきます。

なお、想定と異なる場所が被害に遭ったり、実害範囲が異なったりするケースも考慮し、予測する範囲には余裕を持たせておくのがおすすめです。

復旧すべきシステムの優先順位を定め、明確化する

事業内容によって、各システムにおける復旧の優先度は異なるのが一般的です。災害・攻撃によって、自社業務に支障をきたす恐れのあるシステムに優先順位をつけていき、復旧する順序を設定します。「組織全体の活動を支えるシステムを優先する」という考え方で優先順位を決めていきましょう。

この際、それぞれのシステムごとに目標復旧時間(RTO)、目標復旧レベル(RLO)を設定し、ランク付けします。例として、「最も優先度の高いシステムはSランクとし、2時間以内に◯%の復旧を目指す」「優先度が低く、30分で完全に復旧できるシステムはCランク」といったように優先度のランク分けをすることで、復旧に必要な人員やコストを明確化できるでしょう。

システムの運用継続に必要な構成要素の整理と適切な対策目標の設定

IT-BCPでは「システム継続に必要な構成要素」を明確化する必要があります。その中には、ハードウェアやソフトウェア、人員、建物といった要素が含まれます。

構成要素を網羅するには、システムの構成要素を明確にしなければなりません。システム全体や特定範囲の構成を図やイラストで表した「システム構成図」や「ネットワーク構成図」を作成し、誰が見てもわかる状態にしておくとよいでしょう。

構成図には、システムにアクセスするデバイスやサーバの情報、アクセス権限を持つメンバーの一覧、ハードウェアや周辺機器の情報、通信経路や外部サービスとの連携情報、建物(部屋)に対しどのように配置されているかなどを記載します。

システムの構成要素を洗い出すことができたら、特定のリスクや障害に対してどの程度の対策を講じるかを示す「対策レベル」を詳細に設定します。

また、メールやクラウドなど、情報収集や共有に用いるサービスにアクセスするための認証基盤についても整理しましょう。

用語集

デバイス
サーバ

事前対策を計画する

ここまで整理ができたら、構成要素ごとに対策レベルに到達できる具体策を検討します。このとき、現状の対策レベルを構成要素ごとに評価し、目標との差を明らかにしながら事前対策を計画するのが有効です。この差分が大きい場合は、現在の対策が不十分である可能性があります。

事前対策を計画する際に考慮すべき点として、次のようなものが挙げられます。

従業員への緊急連絡の方法
災害時、別拠点に業務機能を移転する手続き
従業員が出社できない場合に、リモートにて業務やシステム復旧を行う体制
電力が確保できなくなった際を想定した、自家発電装置の用意(装置の起動時間、装置が稼働する間の電力供給量など)
危機的事象発生時のセキュリティレベル低下をどこまで許容するか

このほか、緊急時に調達が困難になりそうなハードウェアやソフトウェアを把握する、同時被災しない場所に冗長化システムを構築するほか、重要なデータのバックアップやセキュリティ運用をアウトソーシングしておくといったことも検討できます。

用語集

バックアップ

危機的事象が発生した際の対応計画を検討する

システムの構築要素の整理や対策を計画できたら、実際に危機的事象が発生した際に計画を実行する責任者・担当者を決めていきます。なお、緊急時に責任者や担当者が不在である場合に備え、代行者を設定することも忘れないようにしましょう。

そして、必要な実施手順を示した計画書(手順書)を作成します。計画書の中には、以下の事項を含めるようにしてください。

IT-BCP発動の判断基準
危機的事象発生時の責任者と各担当者が行う業務
復旧のマニュアル
緊急時の連絡網

スムーズな復旧作業にはさまざまな事象が網羅されており、有事に焦りが募るなかでも理解できる明確なマニュアルや、他部署同士の円滑な連携を可能にする連絡網・担当者の明示が不可欠です。

IT-BCPの教育訓練を実施する

ぬかりないIT-BCPが策定できても、従業員に周知されていなければ、緊急時に運用することができません。また、緊急事態に従業員がマニュアルに沿って円滑に対応するためには、事前の訓練も必要となります。

特に災害時には予想外の事態が発生する恐れがあるため、一人ひとりが冷静に判断・行動するために、定期的な訓練を実施するのが有効です。

IT-BCP対策の具体例

ここからは、IT-BCPにおける事前対策の具体例について紹介します。

先述したように、事業内容によって使用するシステムや復旧の優先度は異なるのが一般的です。以下の具体例を自社に当てはめ、取り入れられるものがあるかご確認ください。

データのバックアップ・保管

災害やサイバー攻撃で最も危惧すべき被害の一つとして、データの損失があります。機密情報や顧客情報などのデータを定期的にバックアップ(データ保存)することで、災害時の損失リスクを回避できます。

バックアップ先は、クラウドのほか、遠隔地のデータセンターを活用するのが有効です。これにより、地震や水害といった地域が限定される災害リスクを分散できます。

手動で全てのデータを定期的にバックアップするのは手間や時間がかかるため、自動バックアップ設定をしておくと効率的です。

用語集

データセンター

システムの冗長化

冗長化とは、システムに問題が発生し、運用が困難になったときに備え、代替となるシステムを準備することを指します。パソコンやサーバといった機器類、オフラインで使用している端末も対象です。

システムの冗長化の一つとして、普段稼働させるシステムと、待機させる予備システムとに分け、双方をリアルタイムで同期しておく方法があります。この方法をとることで、稼働させているシステムがサイバー攻撃や災害によって利用不可となっても、同期させていた予備のシステムで通常通りの業務を遂行できるでしょう。
また、予備設備には、普段使用しているOSやサーバとは異なるものを用意するのもおすすめです。これは、サイバー攻撃を受けた場合、同じOSの端末やサーバが同時に使用できなくなる恐れがあるからです。異なるOSや代替サーバを用意することで、リスクを分散できます。

ただし、システムを冗長化していても、ネットワークに不具合が起こってしまった際には、システム自体が正常に稼働できなくなる恐れがあります。そのため、システムの冗長化と併せて、ネットワーク回線の冗長化も進めておくのが有効です。

ネットワークを冗長化することで、1つの回線に不具合が発生しても、別の回線を活用して通信の途絶を防ぐことが可能となります。

◎「冗長化」の詳しい解説はこちら

用語集

OS

連絡体制を整備する

本記事の「危機的事象が発生した際の対応計画を検討する」の章で解説したとおり、連絡網の準備は重要事項です。しかし、緊急時には通常の方法で連絡が取れない恐れもあります。

そのため、システム復旧の指揮系統や、複数の連絡手段の確保、連絡体制のルールなどを決めておくとよいでしょう。

なお、従業員の安否確認においては、緊急時一斉メールや安否確認システムも活用するのが有効です。安否確認システムには、通信事業者や警備会社が提供する安否確認サービスや、ビジネスチャットツールと連携したシームレスなシステムなどさまざまなものがあります。

大規模法人なら機能制限や人数制限のない有料の安否確認システムがおすすめですが、小規模であれば、無料のサービスから試してみるのもよいかもしれません。

クラウド・リモートワークを活用

災害などによりオフィスが使用できない場合、どこからでも利用できるクラウドサービスと、どこでも業務ができるリモートワークを組み合わせることで、業務や復旧への影響を最小限に抑えられます。そのために、社員が自宅などのパソコンから社内ネットワークにアクセスできる環境を整えておくことが重要です。

なお、リモートワークを導入する際は、情報漏えいやウイルス感染などに対するセキュリティ強化が不可欠となります。クラウドサービスを導入する際も、セキュリティ対策が整ったサービスを選択するようにしましょう。

また、緊急時に突然リモートワークに切り替えることは、従業員にとって不慣れな環境での作業となってしまうため、スムーズな対応ができない可能性があります。普段から慣れておくためにも、平時よりリモートワークを活用しておくことがおすすめです。

CSIRT(シーサート)を設置する

CSIRTとは「Computer Security Incident Response Team」の略で、コンピューターセキュリティに関する事故対応組織を指します。サイバー攻撃による不正アクセスやマルウェア感染などへの予防策や、インシデント(=セキュリティ上の問題として捉えられる事象)の検知などを担います。また、自社にとって「何がインシデントとなるのか」を定義しておくことも重要です。

社内でCSIRTを構築する場合、IT-BCPを統括するリーダーや業務を実際に担当するスタッフを選出し、シミュレーションを実施します。社内にセキュリティ関連の人材が不足している場合は、外部委託も可能です。社内で構築したい場合に、CSIRTの運用支援・アドバイスを行ってくれる企業もあるため、自社の必要性に応じて検討してみてください。

まとめ

ビジネスでのITの活用が不可欠になっている現代において、IT-BCPの策定は必須事項といえます。

サイバー攻撃や災害だけでなく、システムの不具合や人為的ミスなどによって業務に支障が出ることもあるため、システムの冗長化やクラウドの活用、リモートワークの推進については特に早急に進めたい項目です。

関西で法人さま向け光回線サービス「オフィスeo光」を提供するオプテージでは、バックアップ用の回線やリモートワークで必要となるセキュリティ対策なども、トータルでサポートが可能です。

また、さまざまなOSに対応し、高い検出率であらゆるサイバー攻撃をブロックする「クライアントセキュリティサービス(ESET)」もご提供しています。IT-BCP策定の際には、ぜひご検討ください。

オフィスeo光の公式サイトはこちら

◎製品名、会社名等は、各社の商標または登録商標です。

関連記事

記事一覧を見る