ITは日常生活・企業活動でも、すでに欠かすことのできないものとなっています。
特に企業活動では、IT機器やシステムがトラブルで止まってしまうと事業を継続することができないほど浸透しています。
そして近年では大規模な地震などの自然災害やサイバー攻撃などが発生した場合であっても、ビジネスを継続することができるようにIT機器やシステムの対策をしておくことが求められるようになりました。
そこで注目されているのが「IT-BCP」です。
この記事では経営者や情シス向けにIT-BCPとは何か、なぜ注目されているのか、どのように進めればいいのかなど解説します。
□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。無料でのご相談はこちらから□■□■
Contents
IT-BCP(事業継続計画)とは?
BCPとは「事業継続計画」と言い、災害やウイルス拡大といった有事の際にも企業活動を止めずに続けられるようにするための対策です。そしてIT-BCPとは、ITシステム分野に焦点を置いたBCPを指しています。
IT BCPとBCPは違う?
厳密に説明すると、「BCPの対策の一部がIT BCP」です。
BCPにおいては
- 緊急時の連絡網
- 関係者ごとの対応方法
- 従業員の安全確保の方法
などを策定する必要があります。組織全般で対策すべきことをルール化しておき、緊急時にいつでも稼働できるようにしておきます。
そしてBCPにおいては、近年特に活用が進んでいるITの管理や対策も求められますがその範囲は広いです。
- データのバックアップ
- テレワーク用設備の導入
- 連絡用ITツールの整備
- セキュリティリスク対策部門の設置・運用
こういった内容を有事の際にも実行するためには、別途IT BCPとして対策を考えてBCPの中へ組み込んでおく必要があります。
またBCPは組織全体で行いますが、IT BCPは社内のITインフラを対象として情報システム部門が中心となり策定するのがポイントです。策定の際はBCP全体との整合性も検討する必要があります。
BCPについての詳細は「BCP対策について徹底解説!目的や策定手順、具体例を紹介」の記事で紹介しています。
IT BCPを策定する際の目的とは?
具体的には次のような目的で、IT BCPを策定します。
- ITの事業における関連度を明確にするため
- ITシステムの緊急時の優先度合いを把握するため
- ITシステムの復旧をスピーディーにさせるため
まず、ITの事業における関連度を視覚化するために策定していきます。
利用しているITシステムがどのくらい自社の業務へ影響を及ぼしているかは、業種やIT予算、事業スケール等で違ってくるでしょう。
ITベンダーとして活動している場合は関連度合いが著しく高いのに対して、飲食業といった業種の場合では導入はしているものの、まだ活用が本格化していないケースもあります。ITシステムが重要なのは変わりませんが、もしストップしたり接続できなくなったりした場合にどのくらい被害が発生するのかは計算しておきましょう。
またITシステムが緊急時使えなくなったりした際に、どの順番で復旧を行うのかを判断するのにIT BCPが必要です。
基幹システムと業務システムでは、業務根幹に関係する基幹システムの復旧のほうが当然優先されます。このようにシステムの種類や利用機能等で、早めに復旧させるべきものと後回しでも影響が出ないものを選択していきます。
さらにITシステムの復旧自体がルール化されるため、有事の際もスピーディーに元の体制を確保しやすいのもメリットです。ルール化していないと企業信頼度にも悪影響が出るため、ぜひBCPといっしょにIT BCPの策定を進めてみてください。
必要とされる背景
特に日本は災害が多いです。地震や台風といった各種災害がいつ来るかは分からないので、事象が発生する前の事前対策としてBCPは最早策定して当たり前のものです。
またITも災害時やその他有事で影響を受けます。
- 社内回線が壊れてしまいネットワークに接続できない
- オフィスへ出社するのが難しくなりツールが以前のように利用できなくなった
- サーバーが故障して動かなくなった
こういったトラブルへ対応するためにも、IT BCP策定が求められています。
またBCPとは違い、IT BCPではサイバー攻撃についても対策を検討する必要があるのがポイントです。標的型攻撃やマルウェア感染などは、知識・スキルがないとインシデントが発生しているのにも気付けません。こういった問題にすぐ対応するためにも、IT BCPを策定しておくと安心です。
IT BCPの策定手順
IT BCPは、次の手順で策定していきます。
1.基本的な方針を決定する
最初にIT BCPの基本的方針を決定していきます。対応を行う事案の概要を検討したり、関係者へ合意を取ったりします。
特に関係者に合意を取る際は、経営者や各部門などから了承を得たり、会議に通した上で予算を確保したりする作業も発生するので念入りに行う必要があるでしょう。
2.運用体制等の構築を行う
次にIT BCPを運用する部門や責任担当者などを決め、運用体制を構築していきます。この場合運用部門・責任担当者は情報システム関連の部門が行うでしょうが、それ以外の部門もIT BCPに参加する必要があるため部門の窓口担当者を決める、といった作業も必要です。
そして部門間のコミュニケーション方法も検討しておきましょう。
3.想定される事案・ダメージの策定
次に想定される事案やダメージの策定を行っていきます。
BCP全般では災害やウイルス感染等が優先事項に挙げられるかもしれませんが、IT BCPの場合は情報流出やシステムハッキングといったIT関連のインシデントにも注目しましょう。そして起こりうる確立などから最も対策すべき事案について優先的にIT BCP対策を検討していきます。
ダメージについては発生日時やレベルなどによって変わってくるので、想定を行った上でサーバーやインターネット回線など、どの箇所で問題が発生する可能性が高いのかチェックしていきましょう。
4.情報システムの構成や優先度の整理
次にダメージを受けると想定される個所に関して、その構成等を把握した上で対応の優先順位を付けていきます。実際にインシデントが発生した際は優先順位の高い順から処理を行っていきましょう。
ちなみに情報システムの構成や優先度等を整理する際は、
- 製品ごとの影響度
- 目標復旧時間・ポイント・レベル
- 対応するのに必要なITインフラ要素やボトルネック
といった項目を参考にして分析を行ってみてください。
5.事前対策・非常時対策計画を検討する
次にインシデントを防ぐための事前対策計画、そして発生した際の非常時対策計画を実際に策定していきます。
事前対策計画を策定する際は、現状のセキュリティ環境や脆弱性などを判断しながら適切な対応を取ることが重要です。そして非常時対策計画では、具体的な対応手順や対策方法などを策定するとともに、細かい非常時の人員配置や運用体制についても明言する必要があります。
6.訓練の実施・維持改善計画の策定
非常時を想定した訓練の実施も重要です。事前に訓練計画書を策定することで対応が可能です。
また策定した各計画については、定期的に見直して改善する必要があります。訓練時に得られた課題等も参考にしながら、定期的に維持改善計画書として改善案を文書化してみてください。
IT BCPの観点から、事業継続に必要な対策
IT BCPの観点からは、具体的に次のような対策が必要になってきます。
バックアップデータ
社内の基盤システム運用を継続するには、重要なデータ消失は避ける必要があります。企業にとって顧客情報や取引データ・分析済みデータなどは大きな資産です。
仮にバックアップデータをメインデータが保管されているサーバーと同じ場所に保存すると、サーバーが使えなくなった際にデータがすべて消失するので意味がありません。そのためバックアップデータはメインサーバー以外のハードウェアに保存することをおすすめします。
社内の保存媒体にバックアップデータを保存したりして管理するとよいでしょう。ただしいつでも取り出せるように計画を作っておかないといけません。
データが万が一消失した際にも素早く普及できるように、バックアップデータを保管しておきましょう。
バックアップデータについては
- 社内サーバー内
- USBなど別メディア
- 遠隔地保存
といった方法で保管できます。できれば各対策を1つずつ行ったほうが、復旧の確実度や速度が上がります。
遠隔地保存については、クラウドサーバーなどを借りて保存することで災害等のときでもすぐデータを参照して業務を継続可能です。
連絡体制の整備
災害が起き企業サーバーやネットワークに被害があれば、電話やメールなどの連絡手段が使えないことも想定されます。実際災害時に電話・メールサービスが停止して混乱を招いた事例もすでに発生しているのがポイントです。
そこで安否確認や一斉メール機能などが使えるツールを準備するだけでなく、そのツールが使えない際の代替ツールまで準備しておくと安心です。また緊急時の指揮責任者やシステム復旧担当者などをあらかじめ決めておき、指揮系統が連絡ツールも使いながら上手く機能する仕組みを策定しておくことも重要です。
IT BCPでも連絡体制の細かな整備が重要です。
- 指揮系統:誰から誰の順番で伝達するのか
- 連絡手段:電話やメールなど何を使うのか
- 連絡トラブルの際のルール:つながらなかったなどの際にどう対応するのか
などを決めておきましょう。必要な連絡自動化ツールなどがあれば、計画の前後で導入するのも重要です。
システムの二重化
構築に必要な人員配置等ができる場合は、システムを二重化させると冗長性が確保できます。
たとえばメインでAを稼働させて、ほぼ同じように利用できるBのサーバーを待機させておきます。非常時はBを使えば、Aの復旧を行いながら業務を継続可能です。
ただしシステムの二重化は簡単には実行できない作業なので、検討したい場合は外注も選択してみるのが重要です。
社内にCSIRTを設置
社内に「CSIRT」を設置しておくと、よりIT-BCPが実現しやすくなります。CSIRTとは「Computer Security Incident Response Team」の略称で、セキュリティインシデントへ対応するための組織・部門です。
セキュリティリスクへいち早く対応して被害を防ぐのが目的となる組織なので、セキュリティに関する知識・スキルのある人材を用意して設置する必要があります。このため設置が難しい企業もあるかもしれませんが、人材不足の場合は外部企業へCSIRT業務を依頼してセキュリティインシデントへ備える、というのも対策として考えられます。
IT BCPを実現するためのポイント
IT BCPを実現するために、次のポイントを押さえておきましょう。
クラウド・リモートワークを活用
IT BCPを実現するには、デジタル改革を含めたクラウド・リモートワーク導入が重要です。
場所を選ばずにデータや機能を呼び出せるクラウドツールと、どこでも業務ができるリモートワークを組み合わせることで、比較的簡単に遠隔地で緊急時に作業ができる環境を用意できます。オンプレミスで社内サーバーを使い同じような対策をするのは面倒です。
クラウドツールを選ぶ際は、セキュリティ確保を重点に置いているような企業を選択してみましょう。またリモートワークに必要な回線やPC・スマートフォンの確保等も行っておくことが大切です。
経営層が積極的に参画する
どこまで緊急事態の業務停止を許容できるのか、またどこまで予算を確保できるのかは経営層が検討すべき事案です。ということで組織全体でIT BCPを策定するためにも、経営層の積極的な参画が必要になってきます。
経営層が動くことで組織全体で取り組むべき事案だというのが明確になるので、スムーズな計画策定にもつながるでしょう。
予算範囲内で策定する
企業ではIT BCPに掛けられる予算が決まっています。そのため予算範囲内で上手く策定ができるように各対策を行う必要があります。
- 優先事項から少しずつステップを踏み、対策を行い年ごとに適用範囲を増やす
- デジタル改革の対策といっしょに行い作業を効率化する
- クラウドツール等のITツールを活用して費用を減らす
といった考えによって、予算も考えた確実な対策がしやすくなるでしょう。
IT BCPの策定や強化についてお困りならITボランチにご相談ください
ITインフラに何かあれば、事業そのものが継続できないほどの状況になる可能性があります。大規模企業ほどその影響範囲を理解しているからこそ、IT BCP対策に力を入れているのでしょう。
大地震などの自然災害や新型コロナウィルスのようなパンデミック、サイバー攻撃など、想定できないような状況でも事業を継続するためにもIT BCP対策は有効なので非常に重要なものとなります。
ただしIT BCP対策は策定しても業務効率化等の面でメリットが見えにくいときがあり、優先度が低くなりがちです。日本ではIT BCPだけではなく、セキュリティ対策など通常時にはメリットがない事案に予算を確保しない経営者の方も多いのです。
有事に備えたIT BCP対策は安定した企業活動を支えることになりますので、最小限からでも策定準備をしてみることがおすすめです。
もし、どこから手をつければいいのかわからない、コストを抑えて予算内で実現したいが方法がわからないなどと課題を感じている場合は、社内IT業務の専門家「ITボランチ」へご相談ください。初回のご相談は完全無料でご対応いたしますので、費用はご心配されずにお気軽にお問い合わせください。
