そこで今回は、4月22日に開催される「Business ContinuityManagement Conference」にパネリストとして登壇される、財団法人日本情報処理開発協会(以降 JIPDEC) 情報マネジメント推進センター副センター長の高取敏夫氏に「ITセキュリティの視点から見た BCP/BCM」についてお話を伺いました。
─まず BCP/BCM とは簡単に言うとどのようなものでしょうか?
それぞれBisiness Continuity Plan、Business Continuity Managementの略語であることが示すように、大規模災害やテロといった企業・組織にとっての不測の事態においても事業そのものを中断することなく、継続するための方針や手続きをまとめたものがBCPであり、またそのような事業継続にあたっての戦略的な運用管理の手法をBCMと言います。
自然災害などの不測の事態は、いつ起こるか分かりませんし、絶対に避けられるものではありません。そこで事件や事故はどうしても起こってしまうものであるという前提で、企業や組織にとってのリスクを洗い出し、最低限守るべきものは何かを経営戦略的視点で捕らえることがBCPやBCMを考える上で重要となります。
─BCP/BCM の ITセキュリティとの関連は?
近年の ITの普及により、ITなくして事業の継続はありえないものになっています。そのため、ITセキュリティの問題、すなわち企業の ITシステムに対する脅威は企業全体に対する脅威と言うことができます。
たとえば、かつての ITセキュリティは、ワクチンソフトやファイアウォールなどを導入することで防御するという考え方が一般的でした。しかし、近年の ITセキュリティを取り巻く状況はより深刻化しており、ボットの蔓延や未知の脆弱性を悪用したゼロデイ攻撃、更に特定の企業や組織を狙った標的型攻撃など、防御が著しく困難になってきています。
このような中で ITシステムに対する不正アクセスやウィルス感染は、何らかの技術的な手法で完璧に防げるものではなく、自然災害と同様に「起こってしまうもの、避けられないもの」という前提で、起こってしまった後に効果的に対処することで事業の継続性を確保しようという考えからBCP/BCMに ITセキュリティが含まれるようになったのです。
─ITセキュリティに関して、日本ではISMSという規格がありますが、BCP/BCMについても何らかの規格があるのでしょうか?
BCP/BCMに関しては、既に英国でBS25999という規格があり、またISO化の動きもあります。そのようなこともあって我々JIPDECに対して、ISMSのような規格を別途新たに作ろうとしているのではないかと思われている方がいらっしゃるようですが、それは誤解です。
BCP/BCMは、先ほど説明したようにITセキュリティと密接に関わっているため、当然のことながらISMSなどの既存のITセキュリティ関連の規格と無関係ではありません。
そこで、現在我々JIPDECが考えているBCMS(Business ContinuityManagement System) とは、新たな規格ではなく、既にあるISMS(Information Security Management System) やITSMS(ITServiceManagementSystem) と統合的に導入できるものであり、今までにあるものを有効活用して、「事業継続力」を高めていこうというものなのです。
 | 図:他のマネジメントシステムとの関連 |
【取材・執筆: 押田政人】
【関連記事】
ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(2)
https://www.netsecurity.ne.jp/7_11491.html
【関連リンク】
Business Continuity Management Conference
http://www.idg.co.jp/expo/bcm/
JIPDEC
http://www.jipdec.or.jp/
