全2回　「IT-BCP」を実現して、非常時にもビジネスに貢献できるIT部門へ 《連載:第2回》 ただ作るだけでは使えない！「IT-BCP」策定・運用のポイント

IT-BCPの策定にあたっては、緊急事態発生時に必要な技術的対策と組織作りに関する知識が欠かせません。また策定後も、「実際に被害が発生した際に計画通り行動できるかどうか」、「計画通りに行動して問題ないかどうか」などを確認しておく必要があります。今回はそうしたIT-BCPを効果的に策定・運用するための具体的なポイントを紹介します。

重要なITサービスを早期復旧させるための対策

他の施策と同様に、IT-BCPでも指標を設定するのが一般的です。中でも重要なのが、前回も取り上げた「RTO：Recovery Time Objective（目標復旧時間）」。つまりIT-BCPは、いかにして「復旧優先度の高いシステムをRTO以内に再開させることができるか」が肝である、とも言えます。

内閣サイバーセキュリティセンターの『政府機関等におけるIT-BCPガイドライン（第3版）』では、最も復旧優先度が高いグループのITシステム向け予防的対策及び早期復旧を実現する対策として、次の3つの取り組みが挙げられています。

・データセンター等の被害を受け難い場所に情報システムを移設する

・被災しても即時に切り替えて利用できる冗長化システムの環境を同時被災しない場所に構築しておく

・情報システムの設置環境への被害の集中によるリスクを避けるためクラウドサービスなどの外部サービスを利用する

2つ目の対策に登場する「冗長化」は、メインで稼働しているシステム以外に予備のシステムを待機させておき、メインシステムに障害が発生した際に運用を切り替える仕組みを指します。データの定期的なバックアップとともにIT-BCPにおいて欠かせない対策です。

冗長化には次の3つの手法があり、ITシステムの復旧優先度によって使い分けます。

「ホットスタンバイ」

メインシステムと同じ構成・設定の予備システムを設置し、OS・アプリケーションを起動させ、データの同期など、（主システムと）同じ動作を絶えずおこなう状態で待機させ（てい）る仕組みです。メインシステムが利用不可能になった場合、予備システムが処理を引き継ぐため、即座にシステムが利用可能となります。

「ウォームスタンバイ」

メインシステムと同じ構成・設定の予備システムを、電源を入れOSだけを起動させた状態で待機させる手法です。メインシステムからの移行の際にアプリケーションの起動や各種設定が必要なため、ホットスタンバイよりは復旧に時間を要します。

「コールドスタンバイ」

予備のシステムを電源オフの状態で待機させる手法です。メインシステムが利用不可能になった場合、OSのインストール作業から始める必要があります。3つの手法の中で最も復旧時間が掛かりますが、構築コストを軽減することができます。

緊急事態発生時に必要な組織作り

企業のシステムやネットワークを標的にした脅威がサイバー攻撃ですが、サイバーセキュリティ対策には災害対策にはない難しさがあります。例えば、災害の場合は発生後即座にBCPを発動することが可能ですが、サイバー攻撃の被害は目に見えない事象が多く、被害を受けてからしばらくして気付くケースが少なくありません。また、ITシステムを復旧させる際は、原因の特定や解析などで高度な専門知識が求められます。

こうした観点から、経済産業省とIPA（独立行政法人 情報処理推進機構）の『サイバーセキュリティ経営ガイドライン Ver3.0』では、民間企業に向けて「CSIRT（シーサイト：Computer Security Incident Response Team）」の設置を推奨しています。

CSIRTとは、コンピューターセキュリティに関するインシデント発生時に司令塔の役割を担うチームを指します。通常、対象範囲はサプライチェーン全体にわたり、平時はインシデントに関する情報収集や対応方針の策定、非常時には連絡窓口とし社内外と連携しながら、原因の究明やシステムの復旧、二次被害の防止などを担当します。例えばインシデントの内容によって対応部署が分かれている企業の場合、CSIRTを設置することで情報収集や部門横断的な対応がスムーズになるといったメリットもあります。

CSIRTのメンバーにはITや情報セキュリティなどに関する専門知識が不可欠ですが、自社で人材が確保できない場合は、支援サービスや外部委託の活用、あるいは初期のみ専門家の知見を借りつつ、並行して自社で専門人材を育成している企業もあります。

IT-BCPをアップデートするための取り組み

IT-BCPは「一度作ればそれで終わり」ではありません。前回、IT-BCPで取り組むべき項目の最後に挙げた通り、計画書の有効性の検証や関係者・従業員の対応力向上を目的に、定期的に教育訓練を実施することが大切です。呼称ややり方は企業によって様々ですが、一般的には次のような訓練をおこないます。

「手段確認訓練（ウォークスルー）」

IT-BCPの有効性の検証を目的とした机上訓練です。例えば、従業員（IT-BCP作成者以外）同士で行動手順やチェックシートを読み合わせして内容の確認とレビューをおこないます。

「実効性確認訓練（シミュレーション、エクササイズ）」

様々な状況における社員の対応力向上を目的とした訓練です。例えば、あらかじめ被災状況（〇〇地方で震度〇の地震が発生、など）を設定した上で、行動手順に則って実際に復旧作業をおこないます。

こうした訓練によって、「緊急連絡策の電話番号が古かった」「バックアップデータが復元できない（または想定より時間が掛かる）」といった課題が必ず見つかります。そのため、終了後は反省会やアンケートを実施して課題を集約し、手順やルールを実践的な内容にアップデートしていくことが重要です。

今回はIT-BCPに関する基礎的な知識やノウハウを紹介してきました。言ってみればIT-BCPは、単なるセキュリティ対策ではなく、非常時でもIT・デジタルによるビジネス貢献を可能にする取り組みです。また、策定段階においても、ビジネス貢献度の高いITリソースの見直しなどを通して、改めてITの価値をアピールすることができます。そういった意味でもIT部門にとってIT-BCPは、社内におけるプレゼンス（存在感）向上、そしてビジネスクリエイティブ集団へと変革するために有効な施策とも言えるでしょう。