企業のレジリエンスを強化する鍵―IT-BCP（事業継続計画）整備の必要性

ITやセキュリティに関連する事業継続計画（IT-BCP）の重要性が日増しに高まっています。しかし、万が一の災害やインシデントが起きた際に備えたリスク管理のポリシーとルールを策定している組織はまだ少ないのが現状です。この記事では、IT-BCPの必要性に加えて、その基盤となる事業継続管理（BCM）の概念や、策定過程で欠かせないビジネス影響分析（BIA）などの重要なステップについて、理解しやすく説明します。また、これらの取り組みを支援し、強化するためにGSXがどのようなサポートを提供しているのかも紹介します。

1. IT-BCPとは

IT-BCPは、災害やシステム障害など、予期せぬ事態が発生した際に、企業や組織が情報技術システムの運用を迅速に回復し、事業活動を継続できるようにするための計画です。具体的には、重要なビジネスプロセスを支えるITシステムやデータを保護し、事故や災害後にこれらを迅速に復旧させる手順や方策を定めます。

含まれる要素は、重要なビジネスプロセスの識別、影響を受けるITリソースの特定、リスク評価と管理、復旧戦略の策定、復旧プロセスの計画と実施、緊急対応と通信計画の整備、訓練と演習、計画の定期的な見直しと更新などです。

これらのステップに従って計画を策定し、定期的にテストと見直しを行うことで、組織は災害時にも柔軟かつ迅速に対応できる体制を整えることができます。IT-BCPの実施は、ビジネスの継続性を確保し、災害やシステム障害からの回復力を高めるために、不可欠な取り組みです。

1-1. IT-BCPに関する課題

近年、世界中で自然災害や紛争、テロといった様々な有事への備え意識が高まっており、これらはITシステムにも大きなリスクをもたらしています。自然災害では、停電やネットワークの切断といった形で、ITシステムの使用不能というリスクをもたらします。また、紛争やテロに伴う物理的な攻撃だけでなく、サイバー空間での脅威も増加しており、国内外のグループ会社やサプライチェーンを巻き込むサイバー攻撃の被害が深刻化しています。

多くの企業は事業継続への備えを進めていますが、ITインシデントに対応する、IT-BCPの詳細に関する整備が不十分な状況が見られます。専門知識が内部に不足していることや、投資判断が難しいことが主な要因です。

BCP関連の中でも、ITやセキュリティへの備えが不十分

1-2. IT-BCPの必要性と国内企業の対応状況

ITインシデントへの備えとして、検知システムやログ分析環境の整備、システムのバックアップや冗長化といった対策が求められています。これらの対策は、事業の優先度を考慮した投資が必要です。また、BCPを策定しても、定期的な教育や訓練、メンテナンスを怠ると、緊急時に機能しない恐れがあります。そのため、IT-BCPの実効性を高めるためには、事業継続管理（BCM: Business Continuity Management）を含む包括的な対策が必要であり、どのように進めるべきかを計画し、その計画を明文化することが重要です。

内閣府の「令和3年度 企業の事業継続及び防災の取組に関する実態調査」によれば、大企業の約71%がBCPを策定していますが、ITリスクを考慮しているのはその半数程度にとどまっています。このことは、国内企業におけるIT-BCPの対応状況に大きなギャップがあることを示しており、ITリスクへの対策強化が一層求められています。

2. IT-BCP策定のポイント

IT-BCPの基盤となるのが、BCMで、災害やシステム障害など、予期せぬ事態が発生した際に、事業の重要な機能を維持するための方針や手順を文書として策定します。BCMで定めた方針や手順により、ビジネス影響分析（BIA: Business Impact Analysis）を実施することで、IT-BCPを策定すべき重要なビジネスプロセス（事業）や対象システムを決定します。このようなBCMからIT-BCP策定までの全体像や注意点を紹介します。

2-1. IT-BCPとBCM

BCMは、企業や組織が様々なリスクや危機、災害に直面した際に事業を守り、影響を最小限に抑えるための総合的なアプローチです。特に、事業継続に大きな影響を及ぼす可能性のある突発的な事件や事故、災害への対応が主な対象となっています。この管理手法の目的は、事業の中断を防ぎ、万が一中断が発生しても事業活動を迅速に回復し継続する能力を確保することです。これを達成するためには、事前のリスク評価、重要なビジネスプロセスの特定、事業継続計画（BCP）の策定と実行、従業員への訓練、計画の定期的な見直しと更新が必要です。これらの取り組みを通じて、企業は様々な不測の事態に対して強固な対応力を持つことができます。

BCMの全体像とBCPの位置付け

IT-BCPは、BCMの重要な一部であり、特に情報技術システムに焦点を当てます。現代の企業活動においてITシステムは中核的な役割を担っているため、これらのシステムが災害やその他の中断事象によって損害を受けた場合、企業運営に甚大な影響を及ぼす可能性があります。したがって、BCMの方針や規定に従ってIT-BCPを策定し、ITリソースと関連するビジネスプロセスの保護、回復、継続性を確保することが不可欠です。インシデントに備えた検知やログ分析環境の整備、システムのバックアップや多重化など、事業の優先度を踏まえた投資判断が求められます。また、BCPを整備した後も、教育や訓練、継続的なメンテナンスを怠らず、常に実行可能な状態に保つことも重要となります。

2-2. IT-BCP策定過程における重要なステップ「BIA」

BIAは、企業が災害、事故、システム障害などの緊急事態に直面した際にビジネスプロセスに与える潜在的な影響を評価するビジネス影響分析のプロセスです。この分析の主な目的は、事業の継続性と回復力を確保するために、最も重要なビジネスプロセスとそれらのリソース要件を特定し、影響の程度と復旧の優先順位を決定することです。

まず、組織の目的や使命、利害関係者に対する義務、法令上の義務を洗い出します。次に、主要な事業を洗い出し、これらの結果を踏まえて優先度を付けます。そして、BCM方針に従い、一定の優先度以上の事業を対象として選択します。

具体的には、BIAとリスク評価を合わせて実施する方法があります。企業が提供するサービスや製品を生み出す全ビジネスプロセスの識別、それらが停止した場合の財務的影響や法的・規制上の影響、評判への影響の評価、各プロセスの回復時間目標と回復ポイント目標の設定、必要なITシステムや人的リソース、物理的施設の特定、そして分析結果の報告と優先順位付けまでを含みます。

評価手順のイメージ

企業はIT-BCPに取り組むべきかという問いに対して、事業のIT依存度が高く、取り組むための余力がある場合は、一定のコストをかけて事業継続の取り組みに着手すべきだと言えます。「取り組まない、コストをかけない」という選択も経営判断の一つとしてあり得ますが、その際には、経営環境や事業環境によって大きく異なるリスクを理解し、受け入れる必要があります。たとえば、ITを活用するコンサルティング事業の場合、独自のITツールに依存していないなら、デジタルデータの遠隔バックアップのみをしっかり行う程度でも十分かもしれません。ただし、人材への依存度が高いため、震災などの自然災害に関する準備はしておくべきです。

しかし、自然災害以外のインシデントが原因でIT-BCPが求められる場合、利害関係者からの要求が厳しいことが予想されるため、BIAにより影響を確認しておくことが望ましいです。「世の中で何も問題がないのに、なぜ貴社の製品やサービスだけが停止しているのか」という状況になりかねないからです。

3. サイバーセキュリティカンパニーのGSXが提供する「IT-BCP文書雛形パッケージ」

企業戦略に適したセキュリティ人財の育成には、現在いろいろな手法があります。自社の戦略を考慮して、適した手法を選びましょう。他にも育成には、経営陣のリーダーシップや周囲の理解も大切ですし、コツがある点も忘れないようにしましょう。

IT-BCPに関連したBCMの文書雛形もパッケージに含まれる

3-1. 「IT-BCP文書雛形パッケージ」のメリット

「IT-BCP文書雛形パッケージ」を利用することで得られる主なメリットは「文書作成の手間削減」「コンサルタントによる専門的支援」「非常時の事業継続性確保」の3つです。

GSXがこれまでに数多くの企業で文書の策定や導入を行ってきた実績を活かし、考慮漏れがなく効率的に文書を作成できる雛形を提供します。これにより、お客様は文書作成にかかる時間と労力を大幅に削減できます。

また、経験豊富なコンサルタントが、文書雛形をお客様の特定の環境に合わせてカスタマイズする際に発生する疑問や問題に対して、専門的なアドバイスとサポートを提供します。この個別対応により、お客様は自社に最適な事業継続計画を効率的に策定できます。

さらに、インシデント発生時の対応計画を含め、事業継続に関する基本的な考え方を明確にし、事業継続性を確保するための計画を整備します。この準備により、非常時に迅速かつ効果的に対応し、事業活動の継続を保証できます。

3-2. BCM規定の構成

文書雛形はISO 22301「事業継続マネジメントシステム（BCMS）」を参照して作成されています。BCM規定は、「共通編」「IT-BCPの策定編」「BCM・IT-BCPの見直し・維持編」という構成になっており、事業継続計画の策定から維持に至るまでのプロセスを網羅しています。

「共通編」では、文書の位置付け、用語や定義の説明、基本仕様、整備計画の検討、危機管理体制、文書の取扱いに関するガイドラインが提供されます。「IT-BCPの管理編」では、BCPの策定、各事業におけるBCP見直し、グループ全体のBCP見直し、教育・訓練が含まれます。

BCM規定の項目

3-3. IT-BCP文書の構成

IT-BCP文書の雛形は、「共通編」「自然災害編」「サイバー攻撃編」「通信・クラウド障害編」という構成になっています。

「共通編」では、文書の位置付けと用語および定義に関する説明が含まれています。「自然災害編」では、災害対応体制の概要、災害対応のための活動、各事業所・各社の実施事項について詳述します。「サイバー攻撃編」では、サイバー攻撃対応体制の概要と、対応のための活動を記します。最後に「通信・クラウド障害編」では、通信やクラウド障害に対応する体制の概要と、それに伴う活動について整理します。

IT-BCPの項目

3-4. パッケージに含まれるもの

「IT-BCP文書雛形パッケージ」には、文書の雛形提供だけでなく、電話やメールを通じたQ&Aサポート（3ヶ月間）も含まれており、さらにオプションとしてコンサルタントによるアドバイザリーが利用可能です。このオプションでは、初回の打ち合わせでお客様の現状を把握した後、文書のカスタマイズに関するレビューや助言を行います。また、制定した文書の運用やそれを取り巻く環境に関する様々な助言を提供し、他社の事例も紹介します。アドバイザリーは、1回あたり約2時間のリモート打ち合わせを通じて提供します。3ヶ月間で導入を目指すイメージです。

4. まとめ

現代のビジネス環境では、ITへの依存度が高まっており、それに伴い自然災害やサイバー攻撃のリスクも増加しています。この状況の中、IT-BCPへの取り組みはまだ多くの企業にとって新しい課題ですが、その重要性に気づく企業は徐々に増えています。もし他社が問題なく運営を続ける中で、自社だけが大きな問題に直面すれば、それは事業のみならず企業の信頼性や評判にも大きな損害を与えかねません。

このようなリスクを回避するため、GSXでは「IT-BCP文書雛形パッケージ」を提供しています。専門的な知識がなくても、経験豊富なGSXのサポートにより、安心してIT-BCPの策定に取り組めます。事業の継続性と回復力を高めることで、将来にわたるリスクへの備えを強化することをお勧めします。

「IT-BCP文書雛形パッケージ」の詳細やご相談はこちらを参照ください
https://www.gsx.co.jp/services/cybersecurityorganization/it-bcp.html

また、サイバーセキュリティに関する机上でのインシデントシミュレーション演習を通じて、組織的な事故対応能力と不測の事態への応用力向上を支援する「インシデント対応訓練サービス」も提供しています。策定したインシデントシナリオを軸に各部署におけるアクションやフローを確認し、実施後はGSXが第三者的な観点で評価・分析の上、改善案をご提案します。下記リンクにて詳細をご参照ください。

https://www.gsx.co.jp/services/cybersecurityorganization/incident.html