2022.10.12Web
BCP対策していますか?
Webコミュニケーション事業部の安田です。
突然ですがBCP対策をされていますか?私が多くBCP対策の相談をいただいたのは、東日本大震災のあとです。震災から11年が過ぎ、当時よりもITを活用した事業をしている企業が多いと思います。今回はシステム部分のBCP対策のお話をしたいと思います。
BCP(事業継続計画)とは?
BCP(事業継続計画)とは、災害やテロなどの緊急事態が発生したときに、企業が損害を最小限に抑え、事業の継続や復旧を図るための計画です。
システムに関しては、サイバー攻撃やウイルス感染、インフラ障害などで事業が停止してしまう場合も考慮するべきだと思います。
BCPの策定するには?
中小企業でもBCPの策定が必要と言われますが、何をどうすればよいのかわからない方も多いと思います。中小企業庁HP「中小企業BCP策定運用指針」に策定や運用の方法が詳しく示されています。作成にかけられる時間や労力に応じて入門コースから上級コースが準備されていますので、各コースのサンプルや具体例に沿って、自社のBCP策定ができます。また同業他社や同規模の会社が公表しているBCP計画書を参考にするのもいいでしょう。
システムのBCP対策は?
基本的には、策定したBCPにそった内容でデータのバックアップと代替えを考えます。
現在利用中のシステムもデータのバックアップは行っていると思います。
ローカルに保存したり、別サーバーに保存したりと色々な方法があります。
BCP対策の場合も基本的には同じですが、そのデータをどこに保管するか?が重要です。
例えば東京のデータセンターに本番データもバックアップデータも保管していて、東京直下の地震が発生した場合は、両方とも利用できなくなる可能性があります。そのようなケースを避けるためにバックアップは遠い地域に保管します。
以前にお話しを伺った企業は、日本に2ヶ所、海外に2ヶ所と合計4ヶ所に環境を構築しシステム停止をしないようにした大手企業もありましたし、中小企業でWEBを中心としたビジネスをされていて、日本と海外にバックアップをとっておき、早期に復旧できるように対策した企業もあります。
大規模な対策の場合は、構築やランニングコストが多くかかりますが、小規模でコストを抑えることも可能です。
ITシステムに特化したBCP IT-BCP
デジタル化が進む近年は、ITシステムに特化したIT-BCPの作成も必要になってきています。IT-BCPはBCPと整合性が取れていなければなりません。BCPの中にITシステムについて詳しく策定したIT-BCPがあるイメージです。内閣官房情報セキュリティセンターでは「中央省庁における情報システム運用継続計画ガイドライン」で官公庁を基準としたガイドラインを定めています。これらは一般企業においても基本的な考え方は変わりません。その中でシステムのBCPのほかに、システムや機械の代替機、リモートワークの活用、社内CSIRT(インシデントの原因究明や二次被害防止を目指して行動する組織)の設置などの対策が挙げられています。
最後に
企業規模により必要な対策やかけられるコストや労力も異なってきます。各社に適したBCPを策定することが必要です。
BCPは策定する以上に、常にPlanDoCheckActionを繰り返し改善していくことが重要です。初めから完璧なものはできません。特にIT-BCPは技術の発達により、対策しなければいけないことや対策方法が日々変化していきます。実際にインシデントが起きなくても、定期的に見直していきましょう。