ITシステムに求められるBCP対策って？自然災害やサイバー攻撃に向けて備えておきたいBCPの具体策や策定ポイント

多くの企業でIT技術を活用したシステム・サービスの導入が進む中、自然災害やサイバー攻撃などの事案が発生した際の対策として「IT-BCP」の重要性が高まっています。

今回は、そもそもBCP とは何かについて解説するとともに、IT-BCPが重要とされる背景やBCP対策の具体例、また、IT-BCPを成功に導くための策定ポイントなどをまとめていきます。これからBCP対策を検討されている方の参考となる内容となっておりますので、ぜひ最後までご覧ください。

BCP対策の意味は？

BCPは、「Business Continuity Plan」の略。日本語だと「事業継続計画」と訳されており、地震・台風などの自然災害、火災や事故、テロ攻撃などの緊急事態に陥った際でも企業が事業を継続できるように、あらかじめ計画を立てておくことを意味しています。

このBCPを策定する際には、具体的に下記のような内容について整理・検討しておく必要があります。

1. 優先して継続・復旧すべき中核事業を特定する
2. 緊急時における中核事業の目標復旧時間を定める
3. 緊急時に提供できるサービスレベルを協議する
4. 緊急時における事業拠点や生産設備・仕入品調達等の代替案を用意する
5. 全ての従業員にBCP対策を共有する

法律で義務付けられているわけではないため、BCPが策定されていなくても問題はありません。しかし、BCP対策がなされていないと、災害や火災、テロ攻撃や情報漏えい事故など、想定外の緊急事態が発生した際に、長期間、事業が停止してしまう可能性もあります。そうなってしまえば、自社における利益獲得の機会損失となるほか、顧客に迷惑がかかることによって社会的信用の失墜にもつながりかねません。

ですので、災害や事故などの被害を最小限にとどめ、早急に事業を復旧させるためにも、自社の事業方針に沿ったBCPを策定しておく必要があるのです。

参考：中小企業庁「中小企業BCP策定運用指針」

ITシステムに特化した「IT-BCP」

IT-BCPとは、「Information Technology – Business Continuity Plan」の頭文字を取ったもので、前述したBCP対策のうち、ITシステムに特化したもののことを指しています。

もう少しわかりやすく言うと、自然災害やサイバー攻撃などがあった場合でも、事業継続に必要なITシステムを維持することができるように、あらかじめ緊急時の方針や復旧手順を計画しておくというものです。

近年の急速なIT化や社会情勢の変化によるリモートワークの推進などによって、多くの企業でITを利用したシステムが事業に欠かせない重要なツールとなっています。「ITシステムの停止＝企業活動の停止」という事態に陥らないためにも、ITシステムの早期復旧を目的とした対策を施しておく必要があるのです。

ITシステムにおいてBCP対策が重要とされる背景

ITシステムの早期復旧を目的とした「IT-BCP」ですが、どうしてその必要性が叫ばれるようになったのでしょうか？IT-BCP対策に注目が集まる理由について、わかりやすくまとめていきます。

自然災害

2011年に発生した東日本大震災。観測史上最大とも言われるほど災害規模も大きく、生活基盤の復旧や企業活動の再開に時間がかかったのは、皆さんの記憶にも新しいかもしれません。

日本は、地震・台風・豪雨・火山噴火など、自然災害が発生しやすい地形となっています。もしも、そのような災害が広範囲で発生してサーバーが破損してしまった場合、業務の重要なデータが全て消失してしまったり、中核サービスの停止に追い込まれてしまったりする可能性もゼロではありません。

このような自然災害によるリスクを防ぐために、IT-BCP対策に注目が集まっています。

サイバー攻撃の増加

特に近年におけるサイバー攻撃の増加もIT-BCP対策に注目が集まる理由の一つとなります。

総務省の「情報通信白書 令和5年版」によると、2022年に観測したサイバー攻撃関連通信数は2015年と比較して8.3倍となったと発表されており、サイバー攻撃による脅威が増大していることがわかります。

特に近年のサイバー攻撃は、手口が巧妙化しています。

攻撃によるシステムダウンはもちろん、システムの乗っ取りや他社への攻撃の足掛かりにされるなど、被害の内容も多岐にわたるため、万が一に備えて対策をしておく必要があります。

ITシステム利用者の増加

総務省の「令和4年版 情報通信白書 総論」で、2021年のインターネット利用率（個人）が82.9％に上るというデータが出ていることからもわかるように、IT技術の進化や近年の社会情勢によるリモートワーク推進などの影響によって、ITシステムの利用者が増加しているのもIT-BCP対策に注目が集まる理由の一つです。

IT利用者が増えれば増えるほど、システムダウンによるサービス停止は企業にとって大きな不利益を招くことになります。ですので、緊急時でも早急にシステムを復旧させるために、社内方針・復旧手順・優先順位などの整理が必要となります。

ITシステムを守るBCP対策の具体例

非常事態に向けてBCPを策定する際、どのような対策を盛り込めばよいのでしょうか？

ここでは、IT-BCPに盛り込んでおきたい代表的な対策についてまとめていきます。

データのバックアップ

自然災害やサイバー攻撃などによるデータの消失を防ぐために、定期的にデータをバックアップしておくのもBCP対策の有効な手段となります。

また、データを保管・バックアップする際は、1カ所にデータを集約させてしまわないようにすることも大切です。例えば、その拠点が災害によって大きな被害を受けてしまうと、そこに保管していた全てのデータを失ってしまう可能性もありますよね。

ですので、本拠地から離れた遠隔地のデータセンターを利用したり、複数に分散させてデータを保管したりするなどの対応を行いましょう。

BCPに適したツール・サービスの導入

業務にITシステムを導入する際は、BCP対策に適したツール・サービスを選定することも大切です。

例えば、クラウド環境で利用できるツールであれば、自社とは別の場所にデータが保管できるため、データ消失のリスクを軽減することができます。

また、災害によってオフィスに行くことができなくても、インターネットさえつながれば社外での対応も可能。緊急時のリスクを最小限に抑えることもできるため、BCP対策の一つの手段として検討してみると良いでしょう。

関連記事：「BCP対策（災害対策）にはクラウドの活用がおすすめ｜メリット・デメリットと選ぶポイント」

関連記事：「クラウドでデータ管理するメリットとデメリットは？不安解消のためのおすすめサービス」

代替機の準備

ITシステムのBCP対策には、代替機の準備も重要です。

緊急時に備えて、予備のシステムやIT端末の代替機を準備しておくことで、災害や事故などが起こった際でも、業務やサービス提供を継続することができます。

ただし、スペアを用意する際は、通常使用しているものと全く同じものにするのはNGです。例えばサイバー攻撃を受けた場合、同じリソースを使用していると同じ被害を受けてしまう可能性もあるため、OSやサーバー、端末などは、できるだけ異なる種類のものを準備するようにしましょう。

リモートワークの活用

リモートワークの活用もITシステムのBCP対策には有効です。

リモートワークを活用して拠点を分散させることで、災害時にオフィスが被害を受けていても業務の継続が可能となります。ですので、従業員がリモートでも社内ネットワークにアクセスできるような環境・システムを導入し、緊急時の体制を整えておきましょう。

BCP発動時の連絡体制の整備

災害時にはメールや電話などが利用できなくなり、社員同士の連絡・連携が取れない可能性があります。そのため、BCP対策として、緊急時にはどのように連絡を取り合うのか、また指揮系統やルールなども決めておきましょう。

連絡手段：通信障害や従業員と連絡が付かない場合の確認方法など
　　　　　安否確認システムや社内一斉メールを使用する場合はその活用ルールの明確化
指揮系統：緊急時の指揮系統を明確化してお
連絡体制のルール：社内体制に合わせた各種ルールを定めておく

CSIRT（シーサート）の設置

CSIRTの設置もITシステムのBCP対策に有効です。

CSIRT（シーサート）とは、「Computer Security Incident Response Team」の略で、情報セキュリティ問題に対応するための専門組織のこと。具体的には、不正アクセスやマルウェア感染などの事案について、防止対策の立案や被害発生時の原因究明などを行う組織です。

ただし、社内にCSIRTを設置するには、専門知識を持つ人材が必要となるため、もし社内に適した人材がいない場合は、外部に委託すると良いでしょう。

アウトソーシングの活用

CSIRTの設置についての解説でも少し触れましたが、システムやセキュリティをアウトソーシングすることもBCP対策の一つとなります。

外部の専門企業に業務を委託することで、自社内に専門知識を持つ人材がいなくても、適切なセキュリティ環境が構築できます。また、アウトソーシングをすることによってリスクの分散にもなります。ですので、BCP対策を行う際はアウトソーシングの活用を検討してみても良いでしょう。

IT-BCP策定の際のポイント

緊急時に円滑な対応を行うため、また、IT-BCPの策定を円滑に進めるためには、どのようなポイントに注意しておけば良いのでしょうか？ここでは、IT-BCP策定の際のポイントについて解説していきます。

政府のガイドラインを参考にする

IT-BCP策定の際は、政府のガイドラインを参考にしながら検討しましょう。

経済産業省や内閣サイバーセキュリティセンターなどでは、IT-BCPに関するガイドラインを公開しているため、緊急時の対応やその手順などを計画する際の参考になります。

▼経済産業省
「事業継続ガイドライン」
「サイバーセキュリティ経営ガイドラインVer 3.0」

▼内閣サイバーセキュリティセンター　サイバーセキュリティ戦略本部
「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針（第５版）」
「政府機関等における情報システム運用継続計画ガイドライン（第3版）」

▼中小企業庁
「中小企業BCP策定運用指針」

上記以外にも、各機関からIT-BCPに関するガイドラインが発行されていますので、それらをベースにして自社の業務に沿った計画を立案しましょう。

BCP策定には経営層を交える

ITに限らずBCPの策定には、担当部署だけでなく経営層も参加した上で計画を進めましょう。

BCP対策を立案する際には、事業の優先順位や予算など、経営判断が必要になるシーンが多々ありますが、重要な判断は経営層でしかできません。ですので、そこに至るまでの経緯を把握してもらうため、また、円滑にBCPを策定するためにも、BCP対策チームの立ち上げから経営層に参加してもらうようにしましょう。

復旧計画を可視化する

BCPを策定しても、従業員がその内容を正しく理解していなければ、緊急時に速やかな対応は行えません。ですので、非常事態発生から復旧までの計画をわかりやすく可視化しておくことも大切です。

例えば、システムの復旧手順や復旧までの目標時間、利用できるリソースや各ITシステムの責任者など、緊急時の混乱の中でも従業員同士がすぐに連携できるように明示しておきましょう。

従業員への周知・訓練を実施する

BCPを策定し、わかりやすく可視化しておいたとしても、従業員がそれらを理解していなければ、逆に混乱を招いてしまう可能性もあります。ですので、BCPを策定した後は、従業員や関係者に周知を徹底するようにしましょう。

また、BCP対策の内容を従業員に周知していても、実際に非常事態が発生すると冷静に判断できなくなるケースも少なくありません。そのため、火事や地震の避難訓練と同様に、万が一に備えて社内訓練を行うのをおすすめします。

ケースごとにどのような手順で対応を行えば良いのか、社内でどう連携を取ればよいのかなどを日頃からシミュレーションしておくだけでも、緊急時に落ち着いて対応ができるものです。ですので、BCPの策定後は定期的に訓練を実施するようにしましょう。

BCP対策に有効なシステム・ツールを導入して緊急時に備えよう！

多くの企業でITシステムの導入・活用が進んでいる昨今。自然災害やサイバー攻撃に備えるためには、業務で使用するツールにおいてもBCP対策に適したサービスを取り入れていくことが大切です。

ホスティング型プライベートクラウドの仕組みを利用した「プライベートクラウド版SONR」なら、独自のプラットフォームが構築可能。業務に合わせたオリジナル機能が追加できるほか、自社専用のサーバーで運用するためセキュリティも高く、企業のBCP対策にも有効です。

「BCPに有効なシステム・ツールを導入したい」
「自社のセキュリティ要件に合わせた運用がしたい」
「すべてのメッセージログを自社のサーバーで管理したい」
「クラウドに関する知識があまりないため具体的なアドバイスがほしい」

このようにお考えでしたら、まずはSONRにご相談ください。クラウドのプロによるアドバイスやサポートで、お悩みや課題点を解決することができます。

関連記事：「プライベートクラウドのメリット・デメリットや導入する際のポイントについて」

関連記事：「パブリッククラウドとプライベートクラウドの違いとは？それぞれのメリット・デメリットも！」