第2回：システム障害やサイバー攻撃に備える「IT-BCP」の基礎

企業のBCP（Business Continuity Plan：事業継続計画）やBCM（Business Continuity Management：事業継続マネジメント）、レジリエンスの動向と潮流、日本企業の課題、将来像などについて解説する本連載。

第2回では、システム障害やサイバー攻撃を原因としたシステムの停止、使用不能による事業への影響を念頭に、近年注目される「IT-BCP」について解説します。

なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本稿において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。

この記事のポイント

• 「IT-BCP」では、重要業務の遂行に必要なIT資源を洗い出し、その補強策（冗長化やバックアップ取得など）や代替機などの調達策、緊急事態の発生を想定した復旧計画・障害対応手順などを定める
• EUC（End User Computing）やシャドーITのように、情報システム部門が把握しきれていないIT資源やサービスが重要業務で活用されていると、緊急時の事業継続に影響する可能性がある
• IT資源の目標復旧時間について、自社と委託先などとの間で乖離や齟齬があると、緊急時に「重要業務」の目標復旧時間が達成できなくなる可能性があるため、平時から注意が必要

IT-BCPを策定するうえでの留意点

「重要業務」の遂行に必要なIT資源の識別・特定

具体的には、IT-BCPは、「重要業務」の遂行に必要なIT資源を洗い出したうえで、それらの補強策（冗長化やバックアップ取得など）や、代替機などの調達策、および緊急事態の発生を想定した復旧計画・障害対応手順などを定めた計画書となります。

「重要業務」の遂行に必要なIT資源の例

• 情報システム（ハードウェア、ソフトウェア、ファームウェア、データや情報）
• ネットワーク
• ITに関わる要員やスキル
• 設備（電源やマシンルーム）
  など

情報システム部門が把握しきれていないIT資源の確認

IT資源を洗い出すうえで最近課題となっているのが、いわゆるEUC（End User Computing）^*1 やシャドーITのように、情報システム部門が把握しきれていないIT資源やサービスが「重要業務」で活用されているケースです。万が一これらが原因でシステムが停止した場合、情報システム部門による原因の特定が遅れたり、業務への影響が把握できなかったり、経営層へのエスカレーションや全社的な連携が円滑に行われない可能性があり、結果として重要な事業・サービスの継続に影響を及ぼすおそれがあるため注意が必要です。

ベンダーやCSPとの確認

また昨今は、IT資源に関する各種委託先（ベンダー）やCSP（クラウドサービスプロバイダー）なども、重要な経営資源の1つとして位置付けられてきています。サイバー攻撃などのインシデント発生時に、「重要業務」に関する自社の目標復旧時間と、委託先などの側が想定しているIT資源の目標復旧時間との間に乖離や齟齬があると、緊急時に自社の「重要業務」の目標復旧時間が達成できなくなる可能性があります。そのため、委託先などとのSLA（Service Level Agreement）^*2 の内容や、委託先などのBCP/BCMの取組みを確認するとともに、日頃からコミュニケーションを図り緊急時の責任分界点やお互いの役割などを明確にしておくことが求められるようになってきています。

*1 End User Computing（エンドユーザーコンピューティング）の略称であり、情報システム担当者ではなく、現場部門の担当者などが自らシステムやソフトウェアの開発・構築、運用に携わることを指します。

*2 SLA(Service Level Agreement)は、提供されるサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの」をいいます。多くの場合、サービス利用契約を締結する際に、サービス提供者とサービスの利用者双方による合意の結果として、契約文書の一部もしくは独立した文書として締結されます。（経済産業省「SaaS向けSLAガイドライン」（平成20年1月21日）をもとに一部UNITIS編集部調整）