システム障害やサイバー攻撃に備える「IT-BCP」の基礎

IT-BCPとは

主要な企業活動が情報システムに依存している現代では、第1回で述べたように、システム障害やサイバー攻撃などにより情報システムが停止または使用不能になると、それらのシステムを使用して遂行している重要な事業やサービスが継続できなくなる可能性があります。そのため、BCPの項目のうち、特に情報システムなどのIT資源に関わる部分を抽出して「IT-BCP」として策定する場合があります。

IT-BCPを策定するうえでの留意点

「重要業務」の遂行に必要なIT資源の識別・特定

具体的には、IT-BCPは、「重要業務」の遂行に必要なIT資源を洗い出したうえで、それらの補強策（冗長化やバックアップ取得など）や、代替機などの調達策、および緊急事態の発生を想定した復旧計画・障害対応手順などを定めた計画書となります。

情報システム部門が把握しきれていないIT資源の確認

IT資源を洗い出すうえで最近課題となっているのが、いわゆるEUC（End User Computing）¹ やシャドーITのように、情報システム部門が把握しきれていないIT資源やサービスが「重要業務」で活用されているケースです。万が一これらが原因でシステムが停止した場合、情報システム部門による原因の特定が遅れたり、業務への影響が把握できなかったり、経営層へのエスカレーションや全社的な連携が円滑に行われない可能性があり、結果として重要な事業・サービスの継続に影響を及ぼすおそれがあるため注意が必要です。

ベンダーやCSPとの確認

また昨今は、IT資源に関する各種委託先（ベンダー）やCSP（クラウドサービスプロバイダー）なども、重要な経営資源の1つとして位置付けられてきています。サイバー攻撃などのインシデント発生時に、「重要業務」に関する自社の目標復旧時間と、委託先などの側が想定しているIT資源の目標復旧時間との間に乖離や齟齬があると、緊急時に自社の「重要業務」の目標復旧時間が達成できなくなる可能性があります。そのため、委託先などとのSLA（Service Level Agreement）² の内容や、委託先などのBCP/BCMの取組みを確認するとともに、日頃からコミュニケーションを図り緊急時の責任分界点やお互いの役割などを明確にしておくことが求められるようになってきています。

中長期的な検討事項

以上の点を踏まえると、「重要業務」の遂行に必要な経営資源のうち、IT資源に関しても、可用性や復旧に関する取組みと各対策を見直し、BCMやIT-BCPを継続的に改定・改善していくことが今後ますます求められるようになるでしょう。

さらにコロナ禍により、テレワークを活用した業務形態が定着した昨今の状況を踏まえると、情報システム部門の担当者は、テレワーク環境の可用性や在宅勤務における情報セキュリティに関わる課題についても、IT資源の考慮するべき要件として中長期的な観点で確認・検討することが求められます。

具体的には、以下のような観点が考えられます。