ITを活用していない企業は皆無。事業継続のためにはITに特化したIT-BCPが必要。
DXが推進されている昨今、ITを使用していない企業は皆無でしょう。IT化が進めば進むほど、サイバーインシデントによる事業継続への影響は大きくなり、対策の必要性も増大します。
首都直下型地震や南海トラフ巨大地震においては、その揺れ、津波や電力インフラや通信インフラ障害などから社内システムや、お客様とやり取りをするサイト、アプリなどの社外システムにも大きなダメージが予想されます。これはとりもなおさず、事業継続そのものに大きなダメージを与えることを意味します。
ここでは、 首都直下型地震や南海トラフ巨大地震などの災害リスクを想定したIT-BCPについて説明します。
IT-BCPとは? IT-BCPの必要性
特に、サイバーインシデント(サイバー攻撃や自然災害などによるインシデント)を対象としたBCPです。具体的には、主にデータベース、ネットワーク、サーバーからなるITインフラ、及び業務系、情報系など基幹システムのサイバーインシデントを対象としたBCPです。
BCPを策定する際、事業影響度分析(BIA)を行いますが重要業務遂行を支える様々なリソースも明らかにします。そのリソースの中にはIT関連の主にデータベース、ネットワーク、サーバーからなるITインフラ、及び業務系、情報系など基幹システムが含まれる場合がほとんどではないでしょうか。
ITは、特に他のリソースに比較して専門性を要する場合が多いですが、専門的な地域や技能に基づいたIT-BCPを事前に策定しておくことは、いざという時の事業継続にとって大きな助けとなるでしょう。また、特に最近は首都直下型地震や南海トラフ巨大地震に限らず、災害の被害は甚大化の傾向にあります。その分ITインフラやシステムへのダメージも大きくなる傾向にあるといえます。
| 一般的なITインフラやシステムの状況 | 巨大地震等におけるリスク例 |
|---|
| PC、サーバー、回線など物理的な機器を使用 | 津波、揺れ等による設備、機材や機器の破損等 |
| 大きな組織では専門的な知識をもった社員が維持・運用 | 出勤の困難化、職場未復帰状態の長期化 |
| 電気、通信などのインフラに大きく依拠→ | 電気、通信などのインフラが機能しない場合、オペレーションに大きく影響 |
| クラウドや社外に設置されたサーバーなどを使用→ | 自社が安全であっても、関係地域が被災する場合は、自社にも影響 |
| 比較的高価な機器、システムである場合が多い→ | 復旧の際、資金繰りに影響する可能性 |
競争力を高めるためにも。IT-BCPで考えるべきこと
業務にITを導入している理由は多々あると思いますが、業務の効率化などが挙げられると思います。業務が効率化されている分、ITが機能しない場合の不利益が大きくなりますが、有事の際には、その不利益を極小にするためにもIT-BCPは非常に重要です。また、有事においても、社内、社外(お客様とのインターフェイスとなるようなITなど)においてITが平時と同じように使用できることは、自社の競争力を高めることにもなります。ITの専門的知識を必要とするIT-BCPですが、以下IT-BCPで考えるべきことを説明します。
BCPとの整合性を図ろう。ITの全体像を把握しよう。
- 言わずもがなかもしれませんが、IT部署などが独自にIT-BCPを策定する場合は、BCP(通常の全社的なBCP)との整合を図りましょう。ITはなくてはならない重要な機能ですが、全社的な重要業務をサポートするリソースである場合が多いです。BCPを考慮せずにIT-BCPを策定してしまうとピントのずれたものになりかねません。
- (全社的)BCP策定の中でIT-BCPを策定する場合も、特にリスクアセスメント(RA)、事業影響度分析(BIA)の段階で緊密に連携しましょう。
- また、社外のサーバーやクラウドの状況など、ITインフラ、システムの全体像を今一度確認して把握しましょう。
- IT-BCPのリスク分析の手法として、主に①シナリオベース、と②結果影響ベースがあります。サイバー攻撃に対するリスク分析の場合は、その多種多様な攻撃様相からシナリオに収めることが難しく、不効率なことも多いため②結果影響ベースが適しているかもしれませんが、災害リスクにおいては、蓋然性も高いといえる首都直下型地震や南海トラフ巨大地震を最悪のシナリオとして分析するのがよいと思います。
- 例えば南海トラフ巨大地震が発生した場合、どのような被害が想定されるのか、自社の事業所はどの程度の震度、津波な予想されるのかなどをITの観点からしっかり考察しましょう。
- 国や地方自治体の資料によって把握することができます。サプライに関する道路や港湾などの状況、関係先のリスク状況も把握しましょう。
ITの重要業務は? そのIT重要業務を遂行するためには?(重要業務分析 BIA)
- 先に述べた通り、(全社的)BCPとの整合を図りましょう。BCPの中で決定し、優先順をつけた重要業務を行うためのITの業務は何かを特定し明らかにしましょう。
- 重要業務を行うためのITの業務の明確化に当たっては、社内のITインフラ(データベース、社内のネットワーク、サーバー、PCなどの端末)、社外のITインフラ、社内システム、社外システムに分類するすれば分かりやすいでしょう。
目標復旧時間(RTO)を決めましょう。(重要業務分析 BIA)
- BCPの中で決定し、優先順をつけた重要業務を行うためのITの重要業務の目標復旧時間(RTO)を決めましょう。目標復旧時間はニーズと可能性の両面からの検討を踏まえて決めましょう。
- BCPの手順として通常BIAの次に、対策を検討します。ここでは、ニーズから目標復旧時間を仮決めして、次の対策の検討段階で、可能性を検討し、目標復旧時間決定しましょう。
- リスク評価や重要業務などを検討したら、対策を考えましょう。一般にIT-BCPでの対策は技術的対策と運用的対策の2つから検討します。
- 技術的対策:基本となる対策は、①ITインフラやシステムのバックアップ(代替システム)、及び②回線’(ネットワーク)の確保 です。①のバックアップは、具体的に、データベースのバックアップとしてデータのバックアップを常日頃から行っておく、サーバーのバックアップは、クラウドサーバーも含めて同時に被災しないな場所にサーバーを設けるなどです。システムは、おそらく複数のシステムを使用している場合が多いと思いますが、基幹システムなどだけでも代替のシステムを確保しておくことができればよいでしょう。
- ②の回線の対策も重要です。回線が確保できないと、せっかくバックアップをとっていたとしても活用できませんし、修復も困難になります。回線の確保とは回線のバックアップになるかもしれませんが、固定通信、移動通信、衛星通信など、複数の回線を確保しておきましょう。
- 衛星通信については、スターリンクについて以下で詳しく説明していますので、ご参考にしてください。
- 運用的対策:基本となる対策は、実際に対策にあたるチームの編成(”CSTRT( Computer Security Incident Response Team)”と呼称されることが多いです。),権限の明確化、対応手順を定めるなどです。
- チームは、対策本部内に編成するのが効率的だと思います。首都直下型地震や南海トラフ巨大地震では、チームを招集することも容易でない可能性があります。招集要領などについてはサイト内ページで別途詳しく説明していますので、ご参考にしてください。
- 対策本部員や経営陣全員が必ずしもITに詳しいとは限りません。IT-BCPは、皆が理解できるように図を使用したり、専門用語の説明をつけたりするなどして工夫しましょう。
- 社員全員で共有することがあれば、簡易マニュアルを作成するなどすると親切でしょう。
- チーム”CSTRT( Computer Security Incident Response Team)”を中心に対処に当たります。
- 対応の第一歩として、被害状況を確認しましょう。必要があれば速やかに手順を変更して実行しましょう。
- 発災後の対策の基本はバックアップへの移行になる場合が多いと思います。あらかじめ”南海トラフ巨大地震が宣言されたら、自動的にバックアップ発動”などと条件をあらかじめ計画などに明記しておくと、決心が容易になります。
- 対策本部長等との連携を密にして、適時に報告、情報共有等を行いましょう。
以上、IT-BCPを策定する場合の基本的事項などについて見てきました。お悩みの場合は、ぜひBCPコンサルタントをご活用ください。
