今年のゴールデンウイーク中に石川県能登地方で最大深度6強を観測する大きな地震がありました。
改めて地震という災害が他の災害と比べても突発的で予測がしづらいことを認識し、防災の備蓄などが十分かどうか考え直された人も多いのではないでしょうか。
被害に遭われた皆さまに心よりお見舞い申し上げますとともに、一日も早い復旧をお祈りいたします。
さて、今回はBCPの中でも情報システムを観点に事業継続を考える「IT-BCP」の重要性と考え方について書いてみます。
IT-BCPってそもそも何なんだ
「IT-BCP」とは勿論その言葉通り、ITのBCPです。
そんなこと説明されなくてもわかりますよね。
じゃあITのBCPって具体的にどんなものだと思いますか?
ご存じない人でも大体の人が、「ITシステムが停止しないような対策や、復旧方針や復旧手順などを計画として整備しておくもの」とう風に考えるのではないでしょうか。
これは半分正解ですし、そのように定義して説明している記事なども多いです。
ただ、単なるシステム復旧マニュアルとIT-BCPの明確な違いは事業継続の観点を持って、BCPとの整合性を持って整備されているかどうかだと考えます。
つまりIT-BCPはBCPの一部なわけです。
これがどういうことか、例を挙げて説明しましょう。
あなたの会社では業務に様々なシステムを使っているとします。
仮にシステムA、システムB、システムCとしましょう。
それぞれのシステムには障害発生時の復旧方針やマニュアルが整備されています。
さて、これだけをIT-BCPと言えるでしょうか。
答えはNOです。
IT-BCPでは、自社のBCPを踏まえてさらに下記のようなことを考えなくてはなりません。
・自社の重要業務を続けるのに必要な重要システムは何なのか
・システム復旧にかかる時間はBCPで考える目標復旧時間を満たすことができるのか
・重要システムが使用不能に陥らないためにはどのような事前対策が取れるのか
システムありきで考えるのではなく、止められない重要事業を継続させるためのリソースのひとつとしてシステムを考えることが必要です。
適切な情報資産管理が必要不可欠!
IT-BCPを整備する上において、重要なことは自社の情報資産を正確に把握できているかどうかです。
というよりも、情報資産を正確に管理できていない状況で、IT-BCPを適切に整備することは出来ないと言った方が正しいでしょう。
これも例を挙げて説明したほうがわかりやすいですね。
仮に情報資産を正確に把握できていないままで、システムAを自社にとっての重要システムと決め、復旧手順や事前対策などを整備したとしましょう。
しかし、実は管理から漏れていたネットワーク機器Dがあり、これが止まってしまったことによって会社のネットワークは全て利用不可に。
情報資産復旧方針や手順は何も整備されていません。それどころかメーカ保守の有無や保守ベンダーもわからないお手上げ状態。自社の重要業務が長時間停止することになってしまいました。
こんなことが起こりうるわけです。
IT-BCPを考える上での情報資産管理の重要性がご理解いただけたのではないでしょうか。
自社の情報資産を正確に把握しておくことは、IT-BCPを整備するときだけでなく、自社のITシステム運用やセキュリティ管理を適切に行う上でも必要不可欠なものです。
また、近年注目されるゼロトラストセキュリティにおいても、実現するためには自社の情報資産を把握しておくことが不可欠とされています。
経産省から公開されているガイドラインもあり
2008年に経産省から「ITサービス継続ガイドライン」が発表されており、現在もWEBサイトで公開されています。
※2012年に改訂版が出ているはずなのですがリンク切れで今現在ネット上で見つけることができません…
これはIT-BCPを具体的に考える上での1つのガイドラインとなっており、BCPに必要なITサービス継続を確実にするための枠組みと具体的な実施策を示したものとなっています。
また、近年では令和3年4月に、内閣官房 内閣サイバーセキュリティセンターより「政府機関等における情報システム運用継続計画ガイドライン(第3版)」が公開されています。
これはタイトル通り政府機関等向けのガイドラインとなりますが、IT-BCPを考える上での枠組み・対策の参考となるかと思います。
企業のBCP策定を支援する中で、特定のITシステムが重要な業務と密接に絡み合っているにも関わらず、その復旧方針や手順などを明確に整理せず「バックアップから復旧」など簡単な記載に留まっている企業も多いのが実情です。
本当にそのシステムが止まってしまったときのことを具体的に考え、誰がどうやって復旧するのかちゃんと決まっているのか、復旧にはどのぐらい時間がかかってそれは許容できる時間なのか、一度整理してみてはいかがでしょうか。