全2回　「IT-BCP」を実現して、非常時にもビジネスに貢献できるIT部門へ 《連載:第1回》 「IT-BCP」実現に必要な取り組みとは？

企業のIT・デジタル活用が拡大する一方で、ソフトウェアやシステムの障害によって事業・サービスが停止に追い込まれるニュースが相次いでいます。そうした事態を回避するために、国も推奨している取り組みがIT-BCPです。今回はそのIT-BCPについての基本的な知識とノウハウを紹介します。

企業がIT-BCPに取り組むべき理由

IT-BCPについて知る前に、まず「BCP」とは何かを理解しておく必要があります。BCPとは「Business continuity plan」の略語で、日本語に訳すと「事業継続計画」。企業が自然災害や火災、テロなどの緊急事態発生時に、事業を継続していくための方法や手順などを策定する取り組みを指します。日本ではとりわけ2011年の東日本大震災を機にその重要性が認知されるようになりました。

IT-BCPはそのBCP（以下：全社BCP）の一部で、「ITサービスを対象とした事業継続計画」を意味します。目的は、上述の災害などに加え、サイバー攻撃が発生した際にも、被害を最小限に抑え、システムを早期復旧して事業を継続させること。そのため、EPRなどの基幹システムや業務システムだけでなく、電子メールやコミュニケーションアプリ、ECサイトなどの社外（顧客・取引先）向けシステムも対象に含まれます。

冒頭で述べたように、内閣府や経済産業省がガイドラインを発行するなど、国もIT-BCPを推奨しています。とはいえ、全社BCP自体が法的に義務付けられていないこともあり（※）、まだまだ企業の導入は進んでいません。株式会社帝国データバンクの『事業継続計画（BCP）に対する企業の意識調査（2023 年）』によると、調査企業のうち全社BCP 策定率は18.4％。「策定意向あり」という回答についても、3年連続で5割を下回っていることが明らかになっています。

※介護事業者は2024年4月より義務化

しかし、改めて言うまでもなく日本は災害大国。東日本大震災以降も大規模な自然災害が続いていますし、今年（2024年）は元日に能登地方で大地震が発生して大きな被害をもたらしました。以前、『ランサムウェアだけではない！国内企業のサイバー攻撃被害事例』という記事で取り上げたように、企業を狙ったサイバー攻撃も後を絶ちません。もちろん、通常のセキュリティ対策で堅固なシステムを構築することは必須ですが、このような状況では、いずれ障害が起こる前提で回復能力（レジリエンス）の高いアーキテクチャを目指すことも重要です。何よりこのようなリスクに対して先手を打っておくことは、企業の価値向上や信頼獲得という面でも欠かせない取り組みと言えるでしょう。

ではIT-BCPを実現するためには、具体的に何を決め、何に取り組む必要があるのでしょうか。続いて紹介します。

IT-BCPで策定・実行すべき対策

IT-BCPで求められるのは、適切な意思決定と迅速なシステム復旧。そのために必要なのが、事前及び緊急事態発生時に取り組むべき対策と手順を策定し、計画書として文書化することです。

計画書のテンプレートは存在しませんが、内容については先程触れた政府機関のガイドライン、経済産業省の『ITサービス継続ガイドライン（2008年）』と内閣サイバーセキュリティセンター（NISC）の『政府機関等におけるIT-BCPガイドライン（第3版-2021年）』が参考になります。あくまで一例ですが、2つのガイドラインを基にIT-BCPで策定・実行すべき対策を簡単にまとめると以下のようになります。

（1）策定・運用体制の構築

IT-BCPの策定・運用に必要な責任者と担当者及びメンバーを決めます。緊急事態発生時に担当者が対応できない場合を想定し、代行要員や交代勤務を考慮した体制を検討することも大切です。併せて指示命令系統や外部委託先との連携方法も定めます。

（2）危機的事象の特定

大規模災害、情報セキュリティインシデント、感染症の発生など、ITサービスの脅威となり得る事象を洗い出します。全ての危機的事象を対象とすることは膨大な労力を要するため、まずはITシステムのハードウェア・ソフトウェアに影響を与える事象や、ITサービス運用業務に影響を与える事象を対象範囲にします。

（3）被害想定

特定した危機的事象の発生時にITサービス提供において生じる被害を想定し、現状の脆弱性を洗い出します。例として、バックアップシステムの有無、データバックアップ状況、データセンター耐震化状況、UPS（無停電電源装置）設置状況などが挙げられます。

（4）ITシステムの復旧優先度の設定

全社BCPで策定した非常時最優先業務に利用するITシステムを抽出し、優先的に復旧させるシステムを決定します。該当するシステムについては、次の2つの指標を定めます。

・「RTO」（Recovery Time Objective：目標復旧時間）
どのくらいの時間で復旧させるかという指標

・「RLO」（Recovery Level Objective：目標復旧レベル）
どの水準まで復旧させるかという指標

指標設定の際は、システムの優先順位と代替手段の有無を考慮します。また一般的にRTOを短く、RLO を高く設定するとコストが膨らむため、両者のバランスに留意することも大切です。

（5）ITシステム運用継続に必要な構成要素の整理

危機的事象発生時にITサービスを継続させるために必要となる構成要素を明確化します（例：運用継続のために必要なアプリケーション・ハードウェア・ネットワーク、データ、運用要因、緊急連絡先リストなど）。その上で、前項で設定したRTOとRLOを実現するための技術的な対策を検討します。

（6）事前対策の計画とその実施

前項で策定した対策内容に基づき、現状のシステムごとのリスクや対策レベルを把握します。その上で、現状の対策を目標対策レベルに近づけるための方針（事前対策実施方針）をITシステムごとに定めた「事前対策計画」を策定します。

（7）危機的事象発生時の対応計画の検討

危機的事象発生時にITシステムの運用継続活動を効率的に実施できるよう、ITシステムの運用継続に係る体制を構築し、役割分担を定めます。

危機的事象発生時に必要な実施手順を含んだ計画書（手順書）を作成します。計画書には次のような内容を含めます。

・IT-BCP発動の判断基準（ITシステム切り替え基準、テレワーク実施基準など）

・危機的事象発生から対応完了までの全体フロー及び責任者・担当者が採るべき手順
（技術的な手順だけでなく、関連組織への連絡手順も含む）

（8）教育訓練・維持管理の計画とその実施

IT-BCPの理解と対応能力の向上、事前対策内容の確認と検証を目的とした教育訓練の計画を立案・実施します。計画書の陳腐化の形骸化・陳腐化を防ぐため、教育訓練は定期的（最低でも年1回）に実施することが重要です。

次回の第2回目記事では、より具体的な対策やポイントを紹介します。