IT-BCPとは？策定手順から今からできるリスク対策を解説

BCPとは

BCP（Business Continuity Plan）とは、災害や事故などが発生したときでも企業が事業活動を継続できるようにするための計画のことで、「事業継続計画」とも呼ばれます。BCPでは、事業を復旧させる際の優先順位や、復旧に掛かる時間の目安・目標、拠点や設備などの代替案を具体的に策定します。これらを規定することで、緊急事態の発生による事業への影響を最小限に抑え、できるだけ速やかな復旧が可能です。

BCPは、介護事業所などでは策定が義務付けられていますが、多くの企業では義務付けられてはいません。しかしBCP対策を怠れば、緊急時に事業の継続・復旧の目途を立てられず、普段取引をしている顧客に迷惑を掛けたり、事業を中断している間に新たなビジネスチャンスを逃したりする恐れがあります。

特に日本は台風や豪雨、地震や津波といった自然災害が多く見られます。近年では令和6年の能登半島地震や新型コロナウイルスによるパンデミックもありました。このような被害に遭ったときでも事業を継続して行うためには、BCPの策定が重要です。

IT-BCPとは

IT-BCPとはBCPの一つであり、ITシステムに関するBCP対策のことを指します。IT-BCPの主な目的は、サイバー攻撃や自然災害などの被害に遭った際でも、ビジネスに必要なITシステムの運用を維持することです。

ITシステムは、今やどの企業においても事業に欠かせない存在です。そのようなITシステムが停止すると、利用しているクラウドサービスにアクセスできないために業務が停滞したり、顧客情報や企業の機密情報などが消失したりするなど、様々なリスクに繋がります。また、顧客からの信用も低下し、企業の存続自体が危ぶまれる恐れもあります。

サイバー攻撃・自然災害の被害を最小限に抑え、災害下であっても最低限の事業を継続させるために、IT-BCPは重要視されています。

IT-BCPを策定するメリット

IT-BCPを策定して緊急事態に備えることには、次のような利点があります。

早期復旧に繋がる・被害を最小限に抑えられる

サイバー攻撃や自然災害などの被害に遭った場合、いち早く原因を突き止めて、早期復旧に向けた対応を進める必要があります。IT-BCPを策定しておけば、緊急時の対処方法や、優先して対応すべき事項などを社内の誰もが把握できるようになります。対処方法が明確化されることで、ITシステムを早期に復旧でき、被害を最小限に抑えられるのです。

緊急時において最低限の業務継続ができる

緊急事態の発生によってITシステムが停止することで、普段行っている事業が継続できなくなり、取引先にサービスを提供できなくなるケースが考えられます。その結果、顧客・取引先からの信用が失墜し、取引を打ち切られてしまう可能性もあるでしょう。

平成23年3月に発生した東日本大震災において、被災地及び全国の地方自治体や企業を対象とした「東日本大震災と事業継続（*1）」調査によると、震災時において ICT 環境にかかる被害や影響があったとする回答が、全体の50.9％と過半数を占めています。

また「通信環境が5月まで戻らなかった」「回線が切れたため、必要な情報をサーバから取得できなかった」といったコメントから、ネットワークに関するバックアップ対策が不十分で業務に支障を来した企業もあったと推察できます。

日本では、台風や大雪などの自然災害が度々発生します。IT-BCPでシステム停止時の代替手段を策定しておくことで、東日本大震災のような大規模災害が発生した際でも、必要最低限の業務を継続できるようになるでしょう。

従業員の安心・安全の確保に繋がる

自然災害が発生した際、従業員がどこからでも働ける環境や体制を整えることも重要です。自然災害が発生すると、外に出ることで身に危険が及ぶ可能性があり、出社したくても出社できないといった状況に陥る可能性があります。事前にIT-BCPを策定しておけば、緊急時であっても安全な場所で働くことができ、従業員の安心に繋がるでしょう。

さらに、IT-BCPを策定し、リモートワークがスムーズに実施できる環境を作ることは、緊急時以外の従業員の働きやすさにも直結します。通勤時間が不要になることによって、子育てがしやすくなったり、趣味や副業とのバランスがとれるようになったりといった副次的効果を得られます。IT-BCPの策定は、緊急時はもちろん、従業員が常に安心して働けるようになるといった点でも非常に大切です。

顧客と取引先からの信頼が向上する

緊急事態の発生時において、事前に策定したIT-BCPをもとにして迅速に事業を復旧できれば、外部への影響も最小限に抑えられます。緊急時の対応が整っていて、事業中断のリスクが少ない企業と認識されることで、企業自体の信頼が向上し、顧客・取引先も安心して取引ができるでしょう。

政府のガイドラインから学ぶ、IT-BCPの策定手順

IT-BCPは、政府機関が公開しているガイドライン等を参考にし、各企業で策定する必要があります。ここでは「政府機関等における情報システム運用継続計画ガイドライン（*2）」を元に、策定の手順を紹介します。ポイントを押さえ、企業に適した形にカスタマイズして策定しましょう。

①基本方針の決定

まずは、ITシステムの運用を継続する最高責任者が中心となり、IT-BCPの適用範囲や優先して対策するシステムなど、基本方針を決めていきます。

②策定・運用体制の構築

IT-BCP策定に関わる部門を明確にし、運用体制を構築しましょう。各部門や担当者が情報連携し、IT-BCPの実施・運用ができる体制を作り上げていきます。

③危機的事象の特定

次に、自社のITシステムを継続運用する上で、リスクになる可能性がある危機的事象を特定しましょう。対象とする危機的事象は、発生時の影響の大きさや発生確率などを考慮し、必要な検討に漏れが生じないようにすることが重要です。

④被害の想定

特定した危機的事象が発生した場合のシステムへの被害を想定し、ITシステムが抱えるリスクを明確にしましょう。被害に遭った場合の状況や、どのような場所が被害を受ける可能性が高いのかなどを、具体的に洗い出していきます。

⑤情報システムの復旧優先度の設定

非常時における優先度が高い業務を洗い出しましょう。優先すべき業務を明確にすることで、関連するITシステムも明らかになります。企業の事業内容によって、どのITシステムを優先すべきかは異なります。

自社で復旧優先度が高いITシステムが明確になったら、それぞれについて、復旧までの時間の目標となる「RTO（Recovery Time Objective, 目標復旧時間）」や、復旧水準の目標となる「RLO（Recovery Level Objective, 目標復旧レベル）」を設定しましょう。各システムごとにRTO、RLOを定めたら、復旧優先度も定めていきます。

⑥情報システム運用継続に必要な構成要素の整理

続いて、上記で定めた「目標対策レベル」を実現するために、ITシステム運用業務に従事する要員や対応手順書、緊急連絡先リスト、運用継続のために必要なソフトウェアやデータなど、必要な構成要素を明確にします。

ITシステムを支える構成要素の洗い出しは、対象となるITシステムの数が多いほど、作業量が増えてしまいます。ITシステムの中でも、非常時に優先する業務を支えるものや部署間で連携していて重要度が高いものなど、復旧優先度が高いグループに限定して洗い出しを進めるといった対応も必要です。

⑦事前対策の計画とその実施

次に、現状の対策レベルを評価し、事前対策の計画を作成します。現状のレベルを、⑤で定めた目標対策レベルまで引き上げるために、何が必要か、どのようにして達成するのかの設定が必要です。

会社や事業の規模により対策にかけられる予算は異なるため、すぐに対策を実施することが難しいケースもあります。その場合は、業務に与える影響度などを考慮し、優先順位を定めて対策を実施しましょう。

⑧危機的事象発生時の対応計画の検討

続いて、実際に危機的事象が発生した時の対応計画・復旧に向けての運用体制を検討します。最高責任者をはじめ、責任者・担当者に連絡がとれなくなる可能性も考慮し、代行者まで詳細に定める必要があります。

被災拠点のシステム復旧・動作確認や、復旧対応を手順書としてまとめるなど、詳細な計画が必須です。

⑨教育訓練・維持改善の計画とその実施

非常時には、対応計画を適切かつ迅速に実行できなければなりません。そのため、担当者の理解力・対応力向上を目的とした教育訓練を、定期的に実施するようにしましょう。

教育訓練を定期的に実施すれば、対策内容の確認・検証ができ、そこで得られたフィードバックを元に、計画の改善が可能です。

IT-BCPの具体例。今からできるリスク対策

これまで紹介したIT-BCPの策定や実施には、費用・時間がかかります。イチから策定するのが難しい場合には、影響度を考慮しつつできる範囲からリスク対策を行っていきましょう。

ここでは、リスク対策の具体例を紹介します。

データのバックアップ・遠隔保存

企業が保有する電子データには、機密情報や顧客情報など、漏洩・消失すると企業の存続に関わる重要なものが多く含まれます。これらの重要なデータを紛失しないようにするためには、定期的なデータのバックアップが必須です。

さらに、クラウドストレージや遠隔のデータセンターなど複数の場所にデータを保存することで、何らかのトラブルがあった際でも重要なデータを保護できる仕組みを整えておくことも重要です。

社内にCSIRTを設置する

CSIRT（Computer Security Incident Response Team）とは、コンピューターセキュリティに関する事故に対応するための組織のことです。インシデントの原因究明や事業の復旧・継続、二次被害の防止など幅広い対応を実施します。

CSIRTを社内に設置し、平時から非常事態の発生を想定しておくことによって、災害やセキュリティ事故が発生した際でもスムーズな対応ができるでしょう。

リモートワークの活用

オフィスなどの拠点が被災したとしても、オフィス外で業務ができるように整えておくことも重要です。たとえば、普段からリモートワークできる環境を整えておけば、災害などによってオフィスへの出勤が難しくなったとしても、自宅や他拠点で仕事を続けられるケースがあるでしょう。

しかし、そのような仕組みが整っていない場合、いざリモートワークを行う際に作業がしにくかったり、スムーズにネットワークにアクセスできなかったり、不便さを感じる可能性があります。 そのため、緊急時でも円滑にリモートワークが行えるかテストする意味でも、日頃からリモートワークを活用することがおすすめです。

システムの冗長化

システムにおける冗長化とは、ハードウェアの故障などのトラブルに備えてサーバーやネットワーク機器などの予備を用意しておくことです。災害などで機器が使えなくなった際に、予備の機器に即座に切り替えることができれば、自社の業務や提供サービスを停止させる必要がなくなり、業務の遅延や顧客満足度の低下を防げるでしょう。

クラウドシステムはIT-BCPにも有効

これまでに紹介してきたIT-BCP対策は、クラウドシステムの活用で実現しやすくなります。クラウドシステムは、データを社外に保管する仕組みです。社内でトラブルがあった際でも、企業の機密情報や顧客の個人情報といった重要データが消失するリスクを低減できます。また、社外からもアクセスできるため、仮に災害による建物の崩壊・停電で会社で仕事ができない事態になったとしても、自宅などから仕事が可能です。

人手不足などで自社でのIT-BCPの策定が難しい場合も、クラウドシステムの活用が有効です。たとえば、本ブログを運営している株式会社オロが提供するERP「ZAC」なら、バージョンアップからバックアップまでベンダーが行い、社内のシステム担当者の負担を最小限にできます。さらに、全国各地にサーバーが設置されている分散型サーバーのため、データ復旧も安全に行えます。

まとめ

大規模災害やサイバー攻撃によってITシステムが停止すると、企業は大きな損失を被り、存続自体も危うくなります。

IT-BCPを策定しておけば、緊急事態が発生した際にもITシステムの早期復旧に繋がり、被害を最小限に抑えられます。また、緊急時において最低限の業務継続ができることで、顧客や取引先からの信頼向上にも繋がるでしょう。

IT-BCPを策定するには、政府機関等が公開しているガイドラインを参考にし、自社で策定する必要があります。しかし、リソース不足によって自社でのIT-BCPの策定や対応が難しい企業の場合、日々の運用から有事に備えたバックアップまでを任せられるクラウドシステムを導入するのがおすすめです。

参考

*1：平成24年版 情報通信白書 第2節 東日本大震災と事業継続｜総務省

*2：政府機関等における 情報システム運用継続計画 ガイドライン ～（第 3 版）～｜内閣官房 内閣サイバーセキュリティセンター