IT-BCPとは？策定するメリットや流れ、具体的な対応策や策定時のポイント

安否確認の基本

現代のビジネスにおいて、ITシステムの安定稼働は企業存続に直結する重要な要素です。自然災害やサイバー攻撃など、予期せぬ事態に備えるためには、IT-BCPの策定が欠かせません。

IT-BCPの策定によって得られるメリット、具体的な策定手順、策定時のポイントについて解説します。どのようにIT-BCPを導入し、緊急時に業務を継続できる体制を整えるかを学びましょう。

IT-BCPとは

IT-BCP（Information Technology Business Continuity Plan）は、企業が自然災害、サイバー攻撃、システム障害などの予期せぬ事態に備え、迅速かつ効果的に対応するための指針です。企業のITインフラストラクチャの中断を最小限に抑えることを目的とし、ITシステムやデータを迅速に復旧し、業務を継続するための計画になります。IT-BCPは、企業の事業継続計画（BCP）の一部として位置づけられ、ビジネスの継続性かつ信頼性を確保するために不可欠です。

そもそもBCP対策とは

BCP（Business Continuity Plan、事業継続計画）とは、地震、洪水、テロ攻撃、火災、情報漏洩事故などの緊急事態に直面した際に、事業を継続または早期に復旧するための計画を指します。

事前に策定しておくことで、緊急時の混乱を最小限に抑えることができ、早期の事業復旧につながります。

近年では、2011年の東日本大震災や2018年の西日本豪雨、2020年の新型コロナウイルス感染症を背景に、BCP対策に取り組んでいる企業の評価が高まっています。

IT-BCPの意味

IT-BCPは、システムやソフトウェア、データの保護など、ITに関するBCPを指します。

現代の企業において、ITシステムは事業運営の中核を担っており、システムのダウンタイムによる影響は重大です。そこで、有事の際にも事業に関わるITシステムが運用できる環境を迅速に構築し、安定稼働させるためにIT-BCPの重要性が高まっています。

しかし、IT-BCPだけに注目して対策を講じても、ITシステムを管理、運用する人的資源や設置している場所の安全を確保できなければ、企業としてのBCPは成り立ちません。先の項目で解説した、BCPとの整合性を保ち、連携をとりながら、ITシステムを含めた事業継続計画に取り組むことが必要不可欠です。

IT-BCPによって得られるメリット

IT-BCPを策定し、社員に周知しておくことで、サイバー攻撃や火災、地震などの緊急時に自分が何をしたらよいのか判断でき、対処法への行動が迅速になります。また、対処法への取り組みが早くなることで、被害を最小限に抑え・早期復旧が可能になります。

実際に、2023年の東日本大震災では、被災地域の5割以上の企業で、震災によるICT環境への被害が生じたというデータがあります。
このような状況下でも、IT-BCPを策定していれば、有事の際に迅速な事業再開が可能となります。

その結果、既存の利用客や従業員、顧客に安心してもらえるだけでなく、今まで自社を利用していなかった層からも信頼を得られ、新たな顧客の獲得も期待できるでしょう。

IT-BCPを策定する流れ

ここでは、ビジネスの継続性と信頼性を確保するために不可欠なIT-BCPを策定する流れについて、内閣官房が定める「政府機関等における情報システム運用継続計画ガイドライン」に基づき解説します。

1.基本方針を決定する

IT-BCPを策定するためには、まず基本方針を決定する必要があります。

IT-BCPの対応範囲や、優先的にIT-BCPを取り組むITシステムがどれなのかを検討します。新たにITシステムを導入した際は、IT-BCPを適用するべきなのかどうかをその都度検討しましょう。

2.ITシステムの運用継続計画の策定と運用体制の構築

次に、基本方針に則ってITシステムの運用計画を策定します。

運用継続計画の策定時には、以下のポイントを意識しましょう。

従業員の生命、身体、財産への影響
自社で定めた業務継続計画との整合性
ITシステムの運用継続計画に利用できる人材と予算
自社の事業に密接に関連する重要なITシステム

仮に業務継続計画に反する内容でITシステムの運用継続計画を策定した場合、対応する従業員が混乱し、緊急事態発生時の対応が遅れるリスクが高まります。必ず整合性を確認のうえ、計画策定を進めましょう。

また、運用体制を構築するためには、対応に当たる担当者の選定も必要です。基本方針の決定で定めたIT-BCPの適用範囲にもとづき、ITシステムの運用継続に必要な担当者を決めましょう。

なお、運用体制の構築と担当者の選定時には、以下の点に注意しましょう。

運用体制には自社幹部層も含める
判断基準や指示命令系統の調整を行う
緊急事態発生時に担当者が対応できない場合に備え代行要因を選定する

3.ITシステムに影響を及ぼす脅威を特定する

IT-BCPを策定するうえでは、ITシステムに影響を及ぼす可能性のある脅威を特定することが大切も大切です。自然災害、サイバー攻撃、ハードウェアの故障、人為的なミスなど、さまざまなシチュエーションを想定し、脅威を洗い出すことで、起こりうる影響について対策を講じるための基盤が整うわけです。

さらに、それぞれの脅威に対して、どの程度の発生確率があるのか、どれぐらいの影響度なのかを評価します。このとき、IT-BCPで想定する脅威と、BCPで想定する脅威の定義にずれが生じていないかを確認しましょう。いずれの場合も、緊急事態が発生する前提条件は楽観的に捉えず厳しい条件で想定し、必要な検討に漏れが生じないようにすることが重要です。

4.ITシステムの被害を想定する

特定の脅威に対して、ITシステムがどのような被害を受けるかを想定しましょう。
ここでは、ガイドラインに掲載されている例示の中から、大規模災害発生時の被害想定例を紹介します。

引用：政府機関等における情報システム運用継続計画ガイドライン

5.復旧させるITシステムの優先度を決める

被害を想定した上で、BCPの優先項目と照らし合わせながら、緊急時に復旧させるべきITシステムの優先度を決定します。

すべてのシステムを同時に復旧させることは難しいため、業務に与える影響が大きいシステム、復旧に時間がかかるシステムを優先的に対応するなど、事業継続という目的を達成するために有効な計画を立てることが大切です。

まずは、事業に関わるITシステムのリストアップを行います。必要に応じて関連部署や委託先に問い合わせを行い、抜け漏れなく洗い出しましょう。

また、リストアップする際は、サーバーや本部のITシステムといった大きなくくりではなく、電子メールやホームページといった詳細なITシステム名まで掘り下げましょう。抜け漏れの防止につながります。

復旧優先度の高さの決め方の一例を紹介します。

6.安定稼働させるために必要な構成要素を明確化する

緊急時にITシステムを安定稼働させるために必要な構成要素を明確化しておきましょう。これには、ハードウェア、ソフトウェア、ネットワークインフラ、データバックアップなどが含まれます。

ただし作業量を踏まえると、すべてのITシステムについて明確化することは難しいです。そのため、決定した優先度の高いITシステムに絞り、どのように対応すれば良いのか明確化しておくことをおすすめします。

7.緊急時の対応方法の立案を行う

緊急時の対応方法を検討するためには、目標復旧レベル（RLO）の設定が必要です。RLOは、通常時の利用状態を100％としたときに、目標復旧時間内にどの程度の利用状態を目指すかをパーセンテージで設定します。

RLOの例は以下のとおりです。

河川氾濫により浸水したサーバーにより停止したシステムを1日以内に通常の50％の人数が利用できる状態にする
火災により停電した集落を3日以内に全体の60％の世帯が電気を使えるようにする

優先度の高いITシステムごとにRLOを設定し、どの段階まで復旧させるべきなのかを明確にし、その水準に達するための対応方法を検討しましょう。

8.緊急時の役割分担を決める

緊急時における役割分担を明確にして、迅速かつ効率的な対応ができるようにします。各担当者の責任範囲や対応手順を具体的に定めることで、緊急時に混乱が生じないようにしておきましょう。

担当者を選定する場合には、以下の点を抑えましょう。

ITシステムの継続に関する判断維持を行うことができる
緊急時に担当者が対応できないことを考慮し代行者を決めておく
特定の担当者に作業負荷が集中しないよう分担できる体制を整える

9.IT-BCPの教育訓練と維持改善の検討

IT-BCPが策定されたら、IT-BCPの教育と訓練を定期的に実施し、全社員の意識を高めます。特に担当者や代行者、緊急時の対応に関わる可能性のある従業員に対しては、1年間を通して対応力と理解度の向上に取り組むことが大切です。

対応するITシステムの手順書の理解度を高め、担当業務部門のITシステム復旧訓練などに取り組むなど教育と訓練の段階的な高度化を実行していきましょう。

また定期的な内容の見直しと更新を通じて、常に最新の状況に対応できるIT-BCPの有効性と実行性を維持します。

具体的なIT-BCP対策

さまざまな観点を踏まえたIT-BCPを策定したら、有効性の高いIT-BCPとして実行するために、具体的な対策を講じることが重要です。ここでは、連絡体制の整備、バックアップの構築、安定稼働に向けた体制整備、情報セキュリティ対策について解説します。

連絡体制を整備しておく

IT-BCPを策定する際には、災害やシステム障害が発生した際に迅速に対応できるよう、連絡体制の整備をしておく必要があります。連絡体制の整備によって、従業員の状況を把握できるため、ITシステムの事業が継続できるかどうか迅速な判断が可能です。

連絡体制を整備する際には、以下の項目を決めましょう。

指揮系統
連絡を取り合う手段
安否確認システムの利用の検討
連絡体制のルール

指揮系統はトップに緊急時の判断ができる経営者や所属長を置き、次にリーダー、一般社員の順に設定します。

社内で連絡を取り合う手段は電話やメールが一般的ですが、このような手法では個別で連絡を取り合わなければなりません。その結果、関係者1人1人に連絡する手間や、情報を取りまとめるための時間が必要となります。

そこで、有事の際の連絡手段として、安否確認サービスを検討してみましょう。関係者に一括で連絡が取れるため、有事の際にもスムーズな状況把握が可能となります。

また、仮に社内がマルウェアに感染したり、ネット接続できなくなったりした場合には、グループ会社すべての業務停止や、メールでやり取りできないといった事態に陥ることも考えられます。そのような状況下でも、安否確認システムであれば社内ネットを介さず連絡取ることができ、従業員向けに通達することも可能です。

【安否確認サービス】Biz安否確認/一斉通報 | NTTコミュニケーションズ

こまめにバックアップを取る

データのバックアップは、IT-BCPの中核を成す重要な対策の一つです。

定期的にデータをバックアップし、安全な場所に保管しておくことで、自社の製品などに関わる機密情報や、顧客情報の損失を回避できます。

データのバックアップには2種類ありますが、リスク回避するためにも、システムバックアップを数か月に1回、ファイルバックアップを1日1回以上実施することがおすすめです。またバックアップをオンサイトとオフサイトの両方で実施、クラウドサービスを利用したバックアップの自動化や遠隔地でのデータ保管などについても検討してみましょう。

安定稼働できる体制を整える

安定稼働を実現するためには、定期的なメンテナンスもそうですが、ITシステムが安定して稼働できるよう、必要なハードウェアやソフトウェアの整備が欠かせません。定期的なシステム監視を行い、異常を早期に検知することが重要です。

さらに、ITシステムに問題が発生しても、すぐに稼働できる準備を整えておくことが大切です。一般的には、使用しているITシステムと同等の予備機を用意して対応します。

予備機の運用方法には以下の3種類があります。

ホットスタンバイは復旧の速さがメリットである一方、コストがかかる点がデメリットです。また、コールドスタンバイは予備機の準備だけしておくので、コストは抑えられますが、復旧までに時間を要します。

復帰までの時間や、コストなどを踏まえ、運用方法も検討しておくことをおすすめします。

情報セキュリティ対策も忘れずに講じる

IT-BCP対策には、サイバー攻撃や内部不正、コンピューターウイルスへの対策も含まれます。ファイアウォールやウイルス対策ソフトの導入、アクセス制御の強化などの基本的なセキュリティ対策に加えて、従業員に対するセキュリティ教育を実施し、情報漏洩や不正アクセスのリスクを低減させることが重要です。

情報セキュリティは専門的な知識が必要なため、担当する組織（CSIRT）を編成して一任するのが有効です。

ただし、社内に情報セキュリティに関する知識を有している者が少ない場合には、外部の専門家への依頼も検討しましょう。

IT-BCP対策を策定する際のポイント

緊急事態に対する備えを強化し、業務の継続性を確保するためにIT-BCPを上手く運用することが大切です。ここでは、そんなIT-BCP策定のポイントとなる、IT-BCP策定メンバーに経営層を含めること、従業員への周知・訓練の実施などについて解説します。

IT-BCP対策策定メンバーに経営層を含める

ITシステムが災害や障害に直面した際に、業務を継続するための計画であるため、経営層を含めることが重要です。これにより緊急時の重要な意思決定が迅速になり、必要なリソースの確保が進み、経営層のリーダーシップによって全社的な理解と協力が得られやすくなります。

経営層の関与が計画の実効性が高め、緊急時の対応力を向上させることが可能です。

従業員への周知・訓練を実施する

緊急時における対応力の向上には、策定したIT-BCPを従業員に周知と定期的な訓練実施が欠かせません。担当者だけでなく、IT-BCPの内容を全従業員に共有し、理解を深めます。

さらに従業員が緊急時に適切に対応できるように、年間スケジュールを組み、定期的に訓練を実施しましょう。また、従業員に対しての周知や訓練実施だけで終わることなく、きちんとフィードバックを収集し、IT-BCPの改善に役立てることが重要です。

ガイドラインを参考にする

IT-BCP策定の際には、政府の発行するガイドラインを参考にすることで、効果的な計画策定が可能となります。

また、ISO 22301などの国際標準を参考にすることで、グローバルな視点での計画策定が可能です。

これらのガイドラインのポイントを押さえることで、災害や障害などの緊急時に対して、より強固な体制を築くことができるでしょう。

IT-BCPに「Biz安否確認」の活用が有効

ITシステムの安定稼働は企業存続に直結する重要な要素です。自然災害やサイバー攻撃などの予期せぬ事態に備えるため、IT-BCPを導入して緊急時に業務を継続できる体制が重要だと解説しました。また、IT-BCPの策定によって企業が得られるメリット、IT-BCPを策定するための具体的な手順、IT-BCPを策定する際のポイントについてもご紹介しています。

さらにIT-BCPを上手く運用するために「Biz安否確認」を活用することをおすすめします。

IT-BCPに従業員の安否確認を迅速に行うためのツールである「Biz安否確認」を組み込むことによって、迅速な情報収集が可能です。これにより、従業員とのコミュニケーションを円滑にし、迅速な対応が図れるため、リスク管理を強化することが可能になります。

ぜひIT-BCPに「Biz安否確認」を組み込み、従業員の安全確保と業務継続の両立を実現しましょう。