ICT運用継続のためのICT-BCPについて
大規模な自然災害や新型感染症拡大などによる影響(被害)を最小限に抑え、非常時でも事業を可能な限り継続または早期復旧するための計画「BCP(事業継続計画)」。
様々なリスクへの対策として、BCPを策定する企業は増えていますが、BCPの中に、事業の中核を担うICTシステムについての対策=「ICT-BCP」も忘れずに計画しましょう。
●ICT-BCPの重要性
事業継続のためには、大規模な自然災害が発生した場合や、サイバー攻撃(マルウエア感染)を受けた場合などの緊急時においても、業務に必要なICT資源(通信機器や端末、アプリなど)が利用できるように備えておき、応急対応や重要業務の継続(または早期復旧)ができるよう準備しておくことが重要になります。
例えば、業務データをすべてクラウド上で管理・運用している場合、災害発生などによって通信障害(インターネットが使えなくなる)が起きてしまったら、業務データが全て使えなくなってしまい、通信網が復旧するまでの期間は業務を復旧させることができなくなってしまったり、緊急時の初動対応や情報収収集ができず、その後の復旧対応に影響がでてしまったりするおそれもあります。
そのため、業務に必要なデータや端末などの保護、代替手段の準備などを「ICT-BCP」として計画しておくことが必要である、ということです。
●ICT-BCPはどのように策定するのか?
ICT-BCPは企業のBCPの一部として策定していきます。一般的にBCPとして計画する次のような事項の中で、その他の資源(人、社屋や設備などのモノ、お金、情報など)と併せて、保護するべきICTシステムや、そのために必要な資源などを特定し、対策を決定(計画)していきます。
- 基本方針
- BCP運用体制、担当者などの特定
- BCPの対象とする(想定する)緊急事態と、緊急事態発生の事業への影響の特定
- 優先的に復旧または継続対応する事業や機器、システムの特定
- 目標復旧レベルの設定(いつまでに、どこまで復旧できれば事業継続可能か)
- 平時に実施しておくべき対策の特定
- 緊急事態発生時の対応計画(緊急時に備えた訓練含む)
- これらについての見直しや改善の機会の設定(いつ・誰が・どの頻度で見直しをするか)
重要なICT資産の損失リスクを低下するため、以下のような対策を平時から実施しておくことをBCPに計画しておくとよいでしょう(以下はあくまでも一例です。業種や企業規模に適した対策を実施してください)。
| 業務データのバックアップ |
| 業務データ(製品の設計図、取引先情報など)、特に個人情報・機密情報などの重要データの喪失は、取引停止や損害賠償など企業の存続に関わる致命傷になりかねません。重要データ喪失防止(不正利用)対策として、重要データへの適切なアクセス制限は不可欠ですが、併せて、データをバックアップしておくことも必須です。 ただし、クラウドにしかデータがない、またはバックアップデータも社内にしか保管していない、というような場合、インターネットが使えない、オフィスが倒壊した、などによりバックアップデータも使えなくなることがあるため、「3-2-1バックアップ=3つ以上のコピーを、2つ以上の異なる場所(クラウドと外付けHDDなど)に保管し、1つはオフサイト(遠隔地、またはオフライン)で保管する」方法が推奨されています。 |
| セキュリティ対策の実施 |
| 自然災害以外でも、サイバー攻撃によって、業務端末やデータなどを喪失するリスクも考えられます。セキュリティソフト(エンドポイント、UTMなど)の導入、端末の機能制限設定、端末や機器の定期的なアップデート(メーカーサポート切れのOSやソフトを使い続けないこと)等といった一般的なセキュリティ対策も計画・実施しておきましょう。 |
| システムの代替、リモート環境の整備 |
| サイバー攻撃(マルウエア感染)や災害による停電などで、オフィス内のネットワークやシステムが利用できなくなる場合もあります。そのような事態に備えて、代替手段の準備なども計画しておきましょう。 ただし、代替手段に用いるシステムや端末などが通常使用するシステムなどと同一ネットワーク内、または同一オフィス内にある場合、代替手段も同時に使用できなくなってしまう可能性があるため、リモートワーク体制の構築など、従業員の自宅や遠隔地でもオフィスと同等の作業ができるようにする、同業他社と提携して代替生産が可能な状態にする、それらについて定期的に訓練(練習)をする、などを計画しておきましょう。 |
| 緊急時の連絡体制の構築 |
| 大規模災害発生時は通常の電話やメールなどが繋がらなくなる可能性があります。また、業務用端末や社用メール以外の連絡手段がわからない場合、いざという時に連絡が取れなくなるリスクもあります。 非常時にどのように連絡を取り合うのかを決めておき、全従業員に周知しておきましょう。 安否確認システムや伝言ダイヤルなどの利用以外でも、LINEのように日常的に使用しているツールの活用でもよいでしょう。併せて、非常時の指揮系統(体制)も明確にしておき、誰が誰に連絡するのか、誰が指示するのか、なども決めておくとよいでしょう。 |
●ICT-BCPを適切に運用するには?
ICT-BCPを適切に運用するためには、次のようなことも大切です。
- 経営層が策定に関与する(ICTに限らず、BCPには経営層の関与が必須です)
- 予算、事業規模などに応じた計画の策定(無理な計格は継続しません)
- 従業員への定期的な教育と訓練の実施(意志や方向性の共通理解も不可欠です)
- 計画の定期的な見直しの実施(最初に策定したままにしない)
BCP(ICT-BCP)やセキュリティ対策は経営効果がわかりにくいため、または、人材不足などの理由から、後回しにされてしまいがちですが、非常事態が起こってからでは手遅れになることもあります。BCP(ICT-BCP)を策定し、自社のシステムやデータを守りましょう。
