昨今の日本では大きな地震や水害などが起き、日常生活や企業活動に影響が発生し復旧に莫大な費用と長い時間がかかるなど問題になっています。企業や団体では災害などが発生した際の対策、対応をあらかじめ定めておくことが推奨され、計画を策定する企業団体が増えてきています。
現在、多くの企業や団体の事業、活動の中で情報システムが動いており、BCP/BCMでも情報システムをどのように扱うかという点について注目されています。
今日はセキュリティの関連からBCP/BCMに関してお話をします。
1.BCP/BCMとは何を指すのでしょうか
- BCP(Business Continuity Plan)
BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。(出典:中小企業庁) - BCM(Business Continuity Management)
BCM は、事故や災害などが発生した際に、「如何に事業を継続させるか」若しくは「如何に事業を目標として設定した時間内に再開させるか」についてあらゆる観点から対策を講じることである。(出典:財団法人 日本情報処理開発協会「事業継続管理(BCM)に関する利用ガイド」)
2.セキュリティとBCP/BCMの関連
BCP/BCMの説明にもあるとおり、事業が継続できなくなることは大きな問題であり、その原因のひとつに情報システムの停止があります。システム停止の原因は様々でサイバー攻撃はその代表例であると言えます。また、最近では設計や設定不備、人為的ミスによってシステムが停止、事業が滞ったという事案も発生しています。
3.情報システムにおけるBCP/BCMの要点
BCP/BCMを策定するために、大まかに3つの項目に区切って考えるとスムーズに策定できます。
- 方針と体制
適用範囲、優先度などの方針を決める
責任者、役割分担などの体制を決める - 現状分析
災害や攻撃が発生した場合、事業継続や復旧を阻害する課題、リスクを洗い出す
あるべき姿との差異(GAP)を分析する - 計画策定
現状分析から計画を策定する、現存するBCP/BCMがあれば参考にする
策定したBCP/BCMに従い教育や訓練を行う
上記以外にもたくさんの作業があり、一から策定する際には非常に多くの時間や労力が必要になります。
自治体や省庁、ITやセキュリティの協議会などに策定の手引きなどが公開されていますので、参考にすると良いでしょう。
サイバー攻撃や災害などのリスクを最小限に抑え、事業を継続する上でBCP/BCMは欠かせません。情報システムが停止し事業に影響が発生するリスクはどの企業や団体にも起こる可能性がありますので早めに対策されることをお勧めします。
BCP/BCMをどのように策定したら良いか分からない、計画はしたものの上手く進まない、策定したBCM/BCPが古く見直しをしたいなど、お困りごとがありましたらお気軽にご相談ください。
