はじめに
日本では古来より地震や台風などの自然災害が多発し、いつ緊急事態に遭遇するかの予測がつきません。そのため企業はいかなる場合においても事業影響を最小限にとどめ、早期復旧を行えるように対策を練る必要があります。
本記事ではこうした緊急事態に備えるBCPと、近頃増加しているサイバー攻撃への対策として重要視されるITシステムのBCPについて、またそれを担う情シス担当者の役割を解説していきます。
BCP(事業継続計画)対策とは
BCPとはBusiness Continuity Planの頭文字を合わせた略称であり、事業継続計画と訳されます。地震や火災などの災害やテロ攻撃、紛争や感染症の流行などの緊急事態に遭遇した際、企業が自社への被害や影響を最小限に抑え、滞りなく事業運営ができるように、また迅速な復旧をするための方針や手段などをまとめた計画です。
緊急事態は不意に起こります。その際に指針となるBCPがあれば、混乱した状況の中でも冷静に対処することができ、被害や損失を最小限に食い止められます。
BCPと防災の違い
BCPとよく混同されるものに防災があります。BCPは先述したように、緊急事態における事業への影響をできる限り抑え、事業を継続させること。対して防災は、文字通り災いを防ぐとあるように、災害に遭遇した際に被害を防ぐ、または被害を抑えることを意味しています。つまり防災はあくまで災害に備えた対策を指し、BCPは災害を含めたあらゆるリスクに備えた対策であるということを理解しておきましょう。
BCPを策定するべき理由
企業がBCPを策定すべき理由は緊急時に事業を継続させるためだけではありません。それ以外の理由をみていきましょう。
優先すべきこと、どのように行動すべきかが分かる
緊急事態が起これば平常通りに業務を行うことなどほぼ不可能です。そのような中でもBCPを策定しておけば、どの事業を優先するか、どの事業から復旧させるかなどの判断がつけやすくなります。また社員もBCPのマニュアルに沿って行動することで、自身が対処すべきことが明確になります。こうした適切な判断や行いが被害を最小限に抑えることにつながります。
企業の信用につながる
BCPを策定するということは、事業を継続させる=会社を守ることを意味します。会社を守ることは、すなわち社員の安全や雇用も守ることになり、社員の自社への信頼度は高まるでしょう。また緊急事態でもBCP対策がしっかりなされ、事業の早期回復を行える企業であれば、取引先や顧客への影響も少なく、信用度が高まり企業評価の向上にもつながります。
業務やリスクの改善が図れる
BCPを策定する際、優先すべき業務を洗い出します。その過程で自社にはどのような業務があり、緊急事態にはどのようなリスクがあるかなど、改めて把握することができます。それによって業務の問題点に気付くことができ改善策が取れ、またリスク対策を図ることも可能になります。
ITシステムを守るBCP対策(IT-BCP)とは
BCP対策とともに近年注目を浴びているのがIT-BCP(情報システム運用継続計画)です。BCPが緊急事態における事業を継続させるためのものに対し、IT-BCPはITシステムの運用を維持する、いわばITシステムを守るための対策です。
BCPは事業部がそれぞれ業務内容に即したものを策定しますが、IT-BCPは社内全体に関わるITシステムを対象とするため、情報システム部門が担当となり、策定します。
地震などの災害リスクに比べ、サイバー攻撃によるITリスク発生の可能性は年々高まっています。ITシステムに異常をきたせば、それを利用する全ての業務が影響を受けることになります。このようなIT特有のリスク回避のためにも、BCPとは別に、IT-BCPも策定しておく必要があります。
緊急時におけるITシステムのリスク
緊急事態が発生した時、ITシステムには具体的にどのようなリスクがあるのか解説していきます。
社会インフラの混乱に関するリスク
災害が発生すれば、ガスや水道、電力などの社会インフラが途絶してしまう恐れがあります。特に停電が起こった場合にはパソコンが使えないのはもちろんのこと、ネットワークは停止し、システムが機能しなくなるということも考えられるでしょう。また交通機関がストップし、社員が出社できない状況となり、システム復旧さえ難しくなることも考えられます。そうなると通常通りの業務が行えなくなるばかりでなく、顧客や取引先など多方面へも影響をおよぼすことになります。
重要関連先に関するリスク
ITシステムに障害が起きれば業務の継続が困難になるだけではなく、データの破損や流出が起こることも考えられます。またこれらのリスクは自社のみならず、取引先や社内利用者への波及的な影響をおよぼします。顧客情報、機密情報の漏洩が起これば信用問題にも発展し、またそれがサイバー攻撃によるものであれば、システムへの侵入や改ざんなど、重大なインシデントに発展する可能性もあります。
ITシステムを守る情シスの役割
緊急事態に備えITシステムを守るために、情シス担当者はどのような対策を取る必要があるのでしょう。ここでは具体的な内容をご紹介します。
定期的なバックアップ
IT-BCPの基本であり重要なことは、データのバックアップを行うことです。企業にとって顧客情報や機密情報といったデータは大きな資産です。そのデータが消失すれば事業継続はおろか企業存続さえ危ぶまれることになりかねません。そのため定期的なバックアップはもちろんのこと、データの保存先にも注意が必要です。
バックアップデータをサーバと同じ場所に保存すれば、サーバに被害があった際、データも喪失してしまう可能性があります。そのためデータはクラウドや遠隔地にあるデータセンターで保存しておくことが必須です。そうすればサーバが壊れた、または出社できないとなった時にも被害のおよばない場所でのデータの復旧が可能になります。
BCP発動時の連絡体制の構築
災害が起きネットワークに被害があれば、電話やメールといった連絡手段が断たれることも考えられます。連絡手段が断たれれば従業員の安否確認ができず、また復旧へ向けての従業員同士の連携も難しくなります。こういった事態に備え、安否確認や一斉メールができる代替ツールを準備しておく必要があります。また緊急時には誰がどのように指揮を執り指示を出すのか、業務部門と連携し、指揮系統をしっかり決めておくことも重要です。こうした体制をあらかじめ構築しておけば有事の際にも混乱をきたさず早期復旧に向けて取り掛かることができます。
CSIRTの設置でセキュリティ強化
特にサイバー攻撃への備えを強化するために、社内にCSIRTを設置することも効果的です。
CSIRTとはComputer Security Incident Response Teamの頭文字を合わせた略称で、セキュリティインシデントが起こることを前提として幅広く対応する組織、またはチームです。情報流出、不正アクセス、ウイルス感染など、なんらかのセキュリティ上の問題を素早く察知し、被害を防ぐことに尽力します。
CSIRTをあらかじめ設置しておくことでいつ起こるか見当がつかないインシデントに対応でき、ITシステムの異常を素早く取り除くことが可能になります。これによって緊急時でもITシステムの復旧をスムーズに行え、早期事業再開につなげることができます。
CSIRTについての詳細は
CSIRTとは?サイバー攻撃に備えた組織作り!SOCとの違いも解説をご覧ください。
まとめ
本記事ではBCPの重要性と、情報システム部門が中心となり対策するIT-BCPについて解説しました。自然災害やサイバー攻撃など万一の緊急事態に備え、BCP、IT-BCPを策定することは、社員を守り自社を守り、ひいては社会的責任を果たすことにもつながります。
BCP策定するにあたりスキルやノウハウがない、IT-BCPを策定・運用できる情シス担当者がいない、またはIT-BCP対策に欠かせないCSIRTを構築したい、などの要望がありましたら、ぜひセラクへご相談ください。