メニュー

サーバー・ストレージお役立ちコラム

メニュー

ITコンプライアンス・内部統制

IT部門の事業継続計画! IT-BCPのポイント

IT部門の事業継続計画! IT-BCPのポイント

予期せぬ大規模災害やサイバー攻撃による損害からいち早くITインフラを復旧させ、事業継続を図る「IT-BCP」が注目されています。脅威に対する防御策を考えるだけでなく、実際にITが損害を受けたときにいかにして素早く平常時の状態を取り戻すかという手順を考えておくことが、事業継続マネジメントを遂行する指針となります。IT-BCPの押さえておくべきポイントについて解説していきます。

IT-BCPとは

IT-BCP(情報システム運用継続計画)とは、企業や組織が大規模災害や事件・事故、サイバー攻撃などに遭遇した際、ITシステムなどのITインフラに対する損害を最小限にとどめ、事業や業務の継続あるいは早期復旧を確保する計画のことです。

IT-BCPはまた、BCP(事業継続計画)の一端を担うものとして捉えることもできます。

BCPは災害時などの緊急事態に対し、中核となる事業の継続を可能とするための方法・手段を取り決めておく計画を指します。

IT-BCPは、BCPの思想をITインフラやITサービスに適用することから始まった危機管理対策の一種です。

企業おけるIT-BCPの必要性

ITシステムが異常を起こして稼働停止すれば、それを利用していた多くの業務が滞ってしまいます。またITサービスの提供が途切れれば、顧客を始めとするステークホルダーの信頼を損ない、事業の継続が危うくなる可能性もあります。

周知のとおり、現在は社会そのものがITインフラに支えられ、依存することで成り立っています。生産、流通、販売、金融、交通システム、ライフラインなどほとんどの事業活動やサービスは、ITなくしては十分にその役割を果たすことができません。

それゆえITリスクは企業に直接的な不利益を与えるだけではなく、サプライチェーンの途絶を招き、利用顧客に不便をもたらして市場を混乱させ、ひいては企業の社会的責任(CSR)の遂行をも妨げてしまいます。

IT-BCPは、こうした危機的状況を回避するための施策です。ITインフラが自然災害やサイバー攻撃による損害を受けたとき、事業や業務への影響を最小限に抑え、迅速な立て直しを図ること、そのための有効な計画を立てることは、企業としての重大な責務といえます。

IT-BCPではサイバー攻撃への対策が重要

IT-BCPが対象とする緊急事態は、BCPで想定される地震などの自然災害、テロ、パンデミックなど外的要因によってもたらされるものだけとは限りません。

上でも触れたサイバー攻撃などの人為的脅威、さらにはヒューマンエラーやソフトウェアの不具合、ハードウェアの故障などの偶発的脅威を含むIT特有のリスクが存在します。

とりわけ、各種サイバー攻撃の脅威は年々増大しています。ウイルス感染などは状況を察知し把握するまでに時間がかかるほど被害が増大します。また、今後はAI技術などを応用したまったく新しい攻撃や不正侵入の可能性が指摘されています。常に最新の防御策を講じることはもちろんですが、万一、被害を受けてしまった場合も想定し、その後の処理手順を細かく定めておく必要があります。

サイバー攻撃のやっかいな点は、データの改ざんや情報漏えいなどの被害を受けてしまうと、社会的信用の失墜や多額の賠償金が発生する可能性があることです。それを防ぐためにも、脅威の早期察知のための方策と、脅威シナリオを想定した上でのアクションプランの策定が不可欠となります。

IT-BCPで企業がすべきこと

IT-BCP全般を考える上で企業がすべきことを挙げていきます。

「リスク」とはもともと、「まだ発生していないけれども、発生したときに解決が必要な事象」を意味する言葉です。IT-BCPではそのような文字どおりの意味のリスク、自社に起こりうる潜在的な脅威をリストアップする必要があります。

まだ発生していない脅威を想定するのは簡単なことではありませんが、それを知るには実際に世の中でどのような脅威や危機的状況が起きているのかという事例を研究し、最新の情報にも目を光らせつつ、自社の場合に当てはめて考える方法が役立ちます。

そして具体的なリスクを想定したら、その脅威が自社のコア業務にどのような影響を及ぼすのかを調査します。続いて自社の業務継続・事業継続の方針に則り、復旧作業の際の優先順位を決め、アクションプラン=復旧のための手順をフロー化していきましょう。

また、IT-BCPにおいては、重要データの遠隔地バックアップが非常に有効です。遠隔地に、世代管理を伴うバックアップデータが残っていれば、システムの復旧や業務再開のハードルは一気に低くなります。バックアップ内容の世代を遡ることで、ウイルス感染や操作ミスなどによるデータ不整合にも対応できます。損害を最小限にとどめるためにも最も適した方法といえます。

IT-BCPでは、企業が自社に発生し得るリスクに真剣に向き合うことが必要です。綿密な計画を策定し脅威に備えることで、万一、甚大な被害を受けたときも会社の存続が危ぶまれるような事態は避けることができる可能性を高めることができます。企業が抱えるリスクを大局的に捉え、本格的に緊急時の事業継続マネジメントに取り組んでみてはいかがでしょうか。

▼こちらの記事を読んだ方におすすめの記事はこちら

非常時も業務を止めない! 企業で重要なIT-BCPのポイント

pagetop

©  サーバー・ストレージお役立ちコラム
All rights Reserved.