IT-BCPとは?BCP対策が必要なシステムと具体策、策定時のポイントを解説

そもそもBCP対策とは?

• ①優先的に復旧する中核事業を決める
• ②緊急時における①の目標復旧時間を定める
• ③緊急時に提供可能なサービスレベルの策定
• ④設備や事業拠点の代替案を決める
• ⑤BCPが正しく機能するよう社内で適切に共有する

BCPがなくても事業は営めます。しかし、BCPを策定していないと、障害発生時に顧客や取引先に多大な迷惑をかけるばかりか、利益を得る機会も損失しかねません。リスクを軽減するため、あらゆる企業にBCPを策定しておくことが求められています。

中小企業庁｜中小企業BCP策定運用指針

IT-BCPとは? 対策が必要な2つのシステム

IT-BCPとは、Information Technology - Business Continuity Planの略で、ITシステムに特化したBCPを指します。災害や事故などが発生した場合でもITシステムを維持できるよう、計画することです。また、社外向けシステムと社内システムの両方をIT-BCPに含める必要があります。

1.社外向けシステム

社外向けシステムとは、主に自社の顧客や取引先が使用するITシステムです。たとえば、ECサイトや顧客とオンラインでやり取りを行うコミュニケーションアプリ、Webゲームなどが挙げられます。

災害や事故で社外向けシステムが稼働停止すると、正常なサービスが提供できません。その結果、顧客やステークホルダーに不信感を与えるおそれがあります。

さらに、サービスが中断しているあいだは利益も得られません。社外からの信頼を失うほか、莫大な機会損失が発生し、事業の継続が困難となる恐れもあります。

2.日常業務で利用する社内システム

日常業務で利用する基幹システム（ERP）やグループウェア、メールなどが使えなくなると、通常業務に大きな支障をきたします。災害や事故などの非常事態が発生しても、社内システムの運用を維持し、業務が続けられるように事前対策が必要です。

IT-BCP対策が注目されている背景

1.ITシステムの利用者が増加している

インターネットやモバイル端末が普及した現代では、日常的に大勢の人がITシステムやサービスを利用しています。総務省が公表した「令和4年版 情報通信白書 総論」によると、2021年における個人のインターネット利用率は82.9％にのぼりました。また、「令和3年版 情報通信白書」では、インターネットショッピングの利用率が73.4％との結果が出ています。

（参照元：令和4年版 情報通信白書 総論
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd238110.html）

（参照元：令和3年版 情報通信白書
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd111110.html）

このようにITシステムの利用者が増えている中、障害によるサービス停止に陥った場合に企業が被る被害は計り知れません。さらに、サービスを利用している大勢のユーザーからの信頼を裏切ることになり、社会的な信用も失います。最悪の場合、事業を継続できなくなるリスクもあるため、企業にはIT-BCPの策定が求められます。

2.災害が激甚化している

以前に比べ、日本国内における自然災害は激しさを増しています。2011年3月、東北エリアを襲ったマグニチュード9の大地震に端を発した東日本大震災を記憶している人も少なくないはずです。この地震は日本国内における観測史上最大規模と言われ、個人だけでなく企業にも甚大な被害を及ぼしました。

また、過去前例のない水害も多発しています。たとえば、2014年には台風やそれに伴う豪雨によって、各地で大きな被害が発生しました。広島市においては、179棟の家屋が全壊し、77名の尊い命が奪われています。さらに、2015年9月には関東や東北地方を豪雨が遅い、茨城県常総市で約2万棟の家屋が被害を受けたほか、2016年にも東北や北海道で500棟以上の家屋が全壊する台風被害が発生しました。

（参照元：水害・地震から我が家を守る　保険・共済加入のすすめ
https://www.bousai.go.jp/kyoiku/hokenkyousai/suigai.html）

仮に、データセンターが水害に遭うと、重要なデータが消失しかねません。さらに、サーバーの稼働停止により、ITサービスを提供できなくなるリスクもあります。このため、自然災害への対策の重要性が高まっています。

3.サイバー攻撃が激化している

サイバー攻撃の手口は年々巧妙化しており、現在も次々と新しい手法が誕生しています。企業側も、サイバー攻撃から資産を守るための知識や技術を学び続けないと、甚大な損害を受けかねません。

2023年6月には、大阪に拠点を構えるシステム開発会社を狙ったサイバー攻撃が発生しました。この企業が提供していたサービスで使用していたサーバーが不正アクセスを受け、ランサムウェアによるものと見られる攻撃をしかけられたという事件です。ランサムウェアはマルウェアの一種であり、感染先のデバイスやサーバーのデータをロックし、解除と引き換えに金銭を要求します。
このシステム開発会社を狙った攻撃では、サーバー内のデータが暗号化されたため、復旧まで約25日を要しました。

サイバー攻撃の被害に遭うのは大企業ばかりとは限りません。中小企業もターゲットとなる可能性が十分あります。サイバー攻撃を受けた際も被害を最小限に留め、通常通り事業を継続するにはIT-BCPの策定が有効です。

システムを守るためのIT-BCP具体策

IT-BCPに盛り込める対策の例を紹介します。

1.データを定期的にバックアップする

自社で保有しているデータの定期的なバックアップは、事業継続のための対策として有効です。顧客情報や独自の技術、ノウハウなどのデータは、企業にとって失ってはならない財産です。定期的にデータを保存すれば、このような損失リスクを回避できます。

データの定期的なバックアップは、近年増えているランサムウェアへの対策としても有効です。万が一、ランサムウェアがデータを暗号化・破壊した場合でも、バックアップを使ってデータを復旧できます。復旧時に最新の状態まで戻すためにも、こまめにバックアップをとりましょう。

さらに、バックアップデータを一カ所で管理しないことも大切です。たとえば、一拠点の端末にすべてのバックアップデータを集約させてしまうと、地震や津波などで拠点が壊滅した場合はデータまで失います。クラウドストレージを利用する、遠方のデータセンターへも分散保管するといった手法も取り入れるべきです。

2.システムを冗長化させる

システムの冗長化とは、システムに何らかの問題が発生し、運用が困難になったときに備えスペアを準備しておくことです。日ごろから、予備のシステムを運用していれば、非常事態が発生しても切れ目なくサービスを稼働し続けられます。

冗長化の例として、システムを稼働系と待機系に分ける手法が挙げられます。双方をリアルタイムで同期しつつ、1つは通常通り稼働させ、もう1つを常時待機させます。この手法であれば、仮に稼働系システムがサイバー攻撃を受けるなどの緊急事態が発生しても、もう一方の待機系システムで通常通りのサービスを維持できます。

3.BCP発動時の連絡体制を構築する

緊急時には関係者全員で連携する必要がある一方、災害などによりメールや電話などの連絡手段が使えなくなる可能性があります。
緊急時の連絡体制を構築し、IT-BCPに盛り込んでおくことで、非常事態が発生してもスムーズに連携することが可能です。どのような手段で連絡をとるのか、誰が誰に連絡をするのかなど、ルールも策定しておきましょう。大規模災害では複数の通信手段が途絶えてしまうケースも珍しくありません。それも踏まえたうえで、連絡体制やルールづくりを進める必要があります。

具体的には、以下の4つを決めておきましょう。

• ①指揮系統
  災害発生時には指揮系統が乱れがちです。緊急時に従うべき指揮系統を明確化します。
• ②連絡手段
  電話やメールなど、連絡手段を決めます。通信障害などで連絡がつかないときのルールも決めておきましょう。
• ③安否確認システムの活用方法
  安否確認システムを導入している場合は、活用方法やルールを定めます。
• ④その他の社内ルール

4.CSIRT（シーサート）を設置する

CSIRT（シーサート）とは、Computer Security Incident Response Teamの略であり、情報セキュリティ問題に対応する専門組織を指します。不正アクセスやマルウェア感染などへの予防策立案、実行をはじめ、インシデントの検知、被害発生時における対応などを担います。

社内への CSIRT設置は、IT-BCPの施策として有効です。情報セキュリティ問題を専門に扱う組織であるため、緊急時にも迅速かつ適切な対応が期待できます。

ただ、CSIRTを設置するには、高度な専門知識と技術を有する人材が必要です。自社に適切な人材がいない場合、新規採用する、もしくは社内で育成するなどの手を打たねばなりません。

5.システムやセキュリティをアウトソーシングする

高度なセキュリティ環境を自社で構築できない場合は、アウトソーシングも良い選択肢の1つです。たとえば、前述のCSIRTも社外の専門企業へアウトソーシングすれば、自社に人材がいなくても高度なセキュリティ環境を構築できます。

また、データやシステムをクラウドサービス上で管理する施策も有効です。リスクを分散することで、データやシステムを安全に管理できます。

業界最高水準の「Wasabiオブジェクトストレージ」は、大容量の重要なデータやシステムをクラウド上で安全に管理するために最適なツールです。事業を継続するためのシステムの冗長化や、定期的なバックアップデータ更新などを高速で安全に行えます。また、特定のファイルや領域を変更できないようにすることで、昨今急激に増えているランサムウェアの脅威からもデータを保護し、安全に運用できます。このように、大規模な災害や事故が発生した際でも甚大な被害を最小限にくいとどめ、事業の継続性を実現できます。

重要なデータを安全に守り、事業継続性を実現するWasabiオブジェクトストレージ

IT-BCPを成功に導くための四つのポイント

1.政府発行のガイドラインを参考にする

経済産業省や内閣府防災担当など、国の各機関がIT-BCPに関するガイドラインを発行しています。一般企業を対象に、緊急時の対応手順や実施計画、教育、訓練の必要性などが記載されており、BCP策定時の参考資料として有効です。

内閣府防災担当｜事業継続ガイドライン－あらゆる危機的事象を乗り越えるための戦略と対応－（令和5年3月版）

経済産業省｜サイバーセキュリティ経営ガイドラインと支援ツール

内閣サイバーセキュリティセンター｜重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針（第5版）

内閣サイバーセキュリティセンター｜政府機関等における情報システム運用継続計画ガイドライン（第3版）

2.経営層を交えて計画を立案する

IT-BCPは、立案を担当する部署のメンバーだけでなく、経営層を交えて策定を進めましょう。BCP策定の過程では、緊急時に優先すべき中核事業や予算の決定など、経営層に判断をあおぐシーンが多々あります。BCP策定をスムーズに進めるため、あらかじめ経営層を交えて話しあいましょう。

なお、優先事項の判断には、IPA（独立行政法人 情報処理推進機構）が提供している、サイバーセキュリティ経営可視化ツールが有効です。経済産業省では、サイバー攻撃から組織を守るための重要10項目を定めており、同ツールを利用すれば10項目の実施状況をレーダーチャートで可視化できます。

IPA｜サイバーセキュリティ経営可視化ツール

3.BCPとの整合性を保つ

BCPの目的は、非常事態が発生した際に組織が受けるダメージを最小化し、事業継続を実現することです。ITシステムの復旧が最大の目的ではありません。よって、IT-BCPに基づきITシステムが復旧しても、ビジネスそのものの復旧につながらないといったことも発生しうる点に注意すべきです。BCPとの整合性を確保しながらIT-BCPを策定します。

4.BCPの周知と訓練を実施する

BCPを策定しても、従業員に周知できていなければ緊急時に運用できません。BCPを策定したあとは社内への周知を徹底し、訓練も実施しましょう。

従業員がBCPの内容を理解していても、訓練の機会がない場合、緊急事態への対処は困難です。災害発生時などはパニックに陥るケースも多く、冷静な判断ができないことも多々あります。緊急時でも適切な対応ができるよう、BCPに対しても、避難訓練と同様に定期的な訓練を実施すべきです。

IT-BCP対策なら「SDPF クラウド/サーバー」

特徴

「SDPF（Smart Data Platform）」は、DXの推進とIT-BCPを支援するサービスです。仮想サーバーやオンラインストレージをはじめ、開発環境の構築も可能なプラットフォームです。

豊富なメニューから必要な機能を組みあわせ、使い方やビジネス、課題などに応じて運用できます。また、オンプレミスからクラウドにいたるまでICT基盤全体の可視化や一元管理が可能な点も特長です。ICT基盤運用のシンプル化を実現し、ITガバナンス統制の強化にもつながります。

SDPF クラウド/サーバー

IT-BCPでの活用事例

SDPFクラウド/サーバーを導入すれば、オンプレミス環境をクラウド環境へ移行可能です。仮想環境を利用することで物理的な設備等が不要となり、大幅なコストダウンにもつながります。

また、システムの冗長化も可能です。SDPFクラウドは、メインサイトを東日本、DRサイトを西日本に置いているため、災害発生時におけるサービス停止のリスクを軽減できます。平常時にはメインサイトを、災害時にはDRサイトに切り替えられるため、BCP施策として有効です。

さらに、ネットワーク通信に要するコストを削減できるのも魅力です。SDPFは、クラウド拠点間の接続が無料であるため大幅に通信コストを削減できます。

IT-BCPがないと、いざというとき組織を守れないかもしれません。事業を継続し、組織と従業員を守るためにも、早急にIT-BCP策定に取り組みましょう。