ITは日常生活・企業活動でも、すでに欠かすことのできないものとなっています。
特に企業活動では、IT機器やシステムがトラブルで止まってしまうと事業を継続することができないほど浸透しています。
そして近年では大規模な地震などの災害やサイバー攻撃などが発生した場合であっても、事業を継続することができるようにIT機器やシステムの対策をしておくことが求められるようになりました。
そこで注目されているのが「IT-BCP」です。
この記事では経営者や情シス向けにIT-BCPとは何か、なぜ注目されているのか、どのように進めればいいのかなど解説します。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから
Contents
IT-BCP(事業継続計画)とは?
BCPとは「事業継続計画」と言い、災害やウイルス拡大といった有事の際にも企業活動を止めずに続けられるようにするための対策です。そしてIT-BCPとは、ITシステム分野に焦点を置いたBCPを指しています。
IT BCPとBCPは違う?
厳密に説明すると、「BCPの対策の一部がIT BCP」です。
BCPにおいては
- 緊急時の連絡網
- 関係者ごとの対応方法
- 従業員の安全確保の方法
などを策定する必要があります。組織全般で対策すべきことをルール化しておき、緊急時にいつでも稼働できるようにしておきます。
そしてBCPにおいては、近年特に活用が進んでいるITの管理や対策も求められますがその範囲は広いです。
- データのバックアップ
- テレワーク用設備の導入
- 連絡用ITツールの整備
- セキュリティリスク対策部門の設置・運用
こういった内容を有事の際にも実行するためには、別途IT BCPとして対策を考えてBCPの中へ組み込んでおく必要があります。
またBCPは組織全体で行いますが、IT BCPは社内のITインフラを対象として情報システム部門が中心となり策定するのがポイントです。策定の際はBCP全体との整合性も検討する必要があります。
BCPについての詳細は「BCP対策について徹底解説!目的や策定手順、具体例を紹介」の記事で紹介しています。
IT BCPを策定する際の目的とは?
具体的には次のような目的で、IT BCPを策定します。
- ITの事業における関連度を明確にするため
- ITシステムの緊急時の優先度合いを把握するため
- ITシステムの復旧をスピーディーにさせるため
まず、ITの事業における関連度を視覚化するために策定していきます。
利用しているITシステムがどのくらい自社の業務へ影響を及ぼしているかは、業種やIT予算、事業スケール等で違ってくるでしょう。
ITベンダーとして活動している場合は関連度合いが著しく高いのに対して、飲食業といった業種の場合では導入はしているものの、まだ活用が本格化していないケースもあります。ITシステムが重要なのは変わりませんが、もしストップしたり接続できなくなったりした場合にどのくらい被害が発生するのかは計算しておきましょう。
またITシステムが緊急時使えなくなったりした際に、どの順番で復旧を行うのかを判断するのにIT BCPが必要です。
基幹システムと業務システムでは、業務根幹に関係する基幹システムの復旧のほうが当然優先されます。このようにシステムの種類や利用機能等で、早めに復旧させるべきものと後回しでも影響が出ないものを選択していきます。
さらにITシステムの復旧自体がルール化されるため、有事の際もスピーディーに元の体制を確保しやすいのもメリットです。ルール化していないと企業信頼度にも悪影響が出るため、ぜひBCPといっしょにIT BCPの策定を進めてみてください。
必要とされる背景
特に日本は災害が多いです。地震や台風といった各種災害がいつ来るかは分からないので、事前対策としてBCPは最早策定して当たり前のものです。
またITも災害やその他有事で影響を受けます。
- 社内回線が壊れた
- オフィスへ出社するのが難しくなりツールが以前のように利用できなくなった
- サーバーが故障して動かなくなった
こういったトラブルへ対応するためにも、IT BCP策定が求められています。
またBCPとは違い、IT BCPではサイバー攻撃についても対策を検討する必要があるのがポイントです。標的型攻撃やマルウェア感染などは、知識・スキルがないとインシデントが発生しているのにも気付けません。こういった問題にすぐ対応するためにも、IT BCPを策定しておくと安心です。
IT BCPの策定手順
IT BCPは、次の手順で策定していきます。
1.基本的な方針を決定する
最初にIT BCPの基本的方針を決定していきます。対応を行う事案の概要を検討したり、関係者へ合意を取ったりします。
特に関係者に合意を取る際は、経営者や各部門などから了承を得たり、会議に通した上で予算を確保したりする作業も発生するので念入りに行う必要があるでしょう。
2.運用体制等の構築を行う
次にIT BCPを運用する部門や責任担当者などを決め、運用体制を構築していきます。この場合運用部門・責任担当者は情報システム関連の部門が行うでしょうが、それ以外の部門もIT BCPに参加する必要があるため部門の窓口担当者を決める、といった作業も必要です。
そして部門間のコミュニケーション方法も検討しておきましょう。
3.想定される事案・ダメージの策定
次に想定される事案やダメージの策定を行っていきます。
BCP全般では災害やウイルス感染等が優先事項に挙げられるかもしれませんが、IT BCPの場合は情報流出やシステムハッキングといったIT関連のインシデントにも注目しましょう。そして起こりうる確立などから最も対策すべき事案について優先的にIT BCP対策を検討していきます。
ダメージについては発生日時やレベルなどによって変わってくるので、想定を行った上でサーバーやインターネット回線など、どの箇所で問題が発生する可能性が高いのかチェックしていきましょう。
4.情報システムの構成や優先度の整理
次にダメージを受けると想定される個所に関して、その構成等を把握した上で対応の優先順位を付けていきます。実際にインシデントが発生した際は優先順位の高い順から処理を行っていきましょう。
ちなみに情報システムの構成や優先度等を整理する際は、
- 製品ごとの影響度
- 目標復旧時間・ポイント・レベル
- 対応するのに必要なITインフラ要素やボトルネック
といった項目を参考にして分析を行ってみてください。
5.事前対策・非常時対策計画を検討する
次にインシデントを防ぐための事前対策計画、そして発生した際の非常時対策計画を実際に策定していきます。
事前対策計画を策定する際は、現状のセキュリティ環境や脆弱性などを判断しながら適切な対応を取ることが重要です。そして非常時対策計画では、具体的な対応手順や対策方法などを策定するとともに、細かい非常時の人員配置や運用体制についても明言する必要があります。
6.訓練の実施・維持改善計画の策定
非常時を想定した訓練の実施も重要です。事前に訓練計画書を策定することで対応が可能です。
また策定した各計画については、定期的に見直して改善する必要があります。訓練時に得られた課題等も参考にしながら、定期的に維持改善計画書として改善案を文書化してみてください。
IT BCPの観点から、事業継続に必要な対策
IT BCPの観点からは、具体的に次のような対策が必要になってきます。
バックアップデータ
データが万が一消失した際にも素早く普及できるように、バックアップデータを保管しておきましょう。
バックアップデータについては
- 社内サーバー内
- USBなど別メディア
- 遠隔地保存
といった方法で保管できます。できれば各対策を1つずつ行ったほうが、復旧の確実度や速度が上がります。
遠隔地保存については、クラウドサーバーなどを借りて保存することで災害等のときでもすぐデータを参照して業務を継続可能です。
連絡体制の整備
IT BCPでも連絡体制の細かな整備が重要です。
- 指揮系統:誰から誰の順番で伝達するのか
- 連絡手段:電話やメールなど何を使うのか
- 連絡トラブルの際のルール:つながらなかったなどの際にどう対応するのか
などを決めておきましょう。必要な連絡自動化ツールなどがあれば、計画の前後で導入するのも重要です。
システムの二重化
構築に必要な人員配置等ができる場合は、システムを二重化させると冗長性が確保できます。
たとえばメインでAを稼働させて、ほぼ同じように利用できるBのサーバーを待機させておきます。非常時はBを使えば、Aの復旧を行いながら業務を継続可能です。
ただしシステムの二重化は簡単には実行できない作業なので、検討したい場合は外注も選択してみるのが重要です。
IT BCPを実現するためのポイント
IT BCPを実現するために、次のポイントを押さえておきましょう。
クラウド・リモートワークを活用
IT BCPを実現するには、デジタル改革を含めたクラウド・リモートワーク導入が重要です。
場所を選ばずにデータや機能を呼び出せるクラウドツールと、どこでも業務ができるリモートワークを組み合わせることで、比較的簡単に遠隔地で緊急時に作業ができる環境を用意できます。オンプレミスで社内サーバーを使い同じような対策をするのは面倒です。
クラウドツールを選ぶ際は、セキュリティ確保を重点に置いているような企業を選択してみましょう。またリモートワークに必要な回線やPC・スマートフォンの確保等も行っておいてください。
経営層が積極的に参画する
どこまで緊急時の業務停止を許容できるのか、またどこまで予算を確保できるのかは経営層が検討すべき事案です。ということで組織全体でIT BCPを策定するためにも、経営層の積極的な参画が必要になってきます。
経営層が動くことで組織全体で取り組むべき事案だというのが明確になるので、スムーズな計画策定にもつながるでしょう。
予算範囲内で策定する
企業ではIT BCPに掛けられる予算が決まっています。そのため予算範囲内で上手く策定ができるように各対策を行う必要があります。
- 優先事項から少しずつ対策を行い年ごとに適用範囲を増やす
- デジタル改革の対策といっしょに行い作業を効率化する
- クラウドツール等を活用して費用を減らす
といった考えによって、予算も考えた確実な対策がしやすくなるでしょう。
まとめ
ITインフラに何かあれば、事業そのものが継続できないほどの状況になる可能性があります。大規模企業ほどその影響範囲を理解しているからこそ、IT BCP対策に力を入れているのでしょう。
大地震などの災害や新型コロナウィルスのようなパンデミック、サイバー攻撃など、想定できないような状況でも事業を継続するためにもIT BCP対策は重要なものとなります。
ただしIT BCP対策は策定しても業務効率化等の面でメリットが見えにくいときがあり、優先度が低くなりがちです。日本ではIT BCPだけではなく、セキュリティ対策など通常時にはメリットがない事案に予算を確保しない経営者の方も多いのです。
有事に備えたIT BCP対策は安定した企業活動を支えることになりますので、策定準備をしてみてはいかがでしょうか。
