CISOの相談室　第12回 BCPの策定について教えて下さい

　中小企業でもBCP（事業継続計画）を策定する動きが盛んです。「情報セキュリティなんでも相談室第8回」で新型インフルエンザ対策を情報システム部門担当者の視点からアドバイスいただいたように、BCP策定にあたって、情シス担当者、セキュリティ担当者として何をすべきかお教え下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●BCPとは？

　BCP （Business Continuity Plan）とは、会社やお店が災害や事故などの予期せぬ被害を受けた場合に、事業を中断させないための、もしくは、中断しても可能な限り短時間で事業を再開するための事業継続計画のことです。事業の中断による企業リスクとしては、顧客取引の競合他社への流出、マーケットシェアの低下、企業評価の低下などがあります。これらのリスクを回避、もしくは、軽減するためのプランを経営者も参画して事前に策定しておけば、顧客からの信頼や企業価値も向上できます。

●BCPの取組み状況

　米国では公的な企業防衛の施策が乏しかったために、古くから自己防衛的な災害時復旧の考えが企業に浸透していました。更に2000年問題や、2001年9月に起こった同時多発テロなどの人的被害を契機に、BCPの普及が一気に進みました。というのは、BCPを策定・運用している企業とそうでない企業との間に、定性的にも定量的にも事業継続の結果に大きな差が出たからです。

　一方、日本の場合は、阪神・淡路大震災や新潟中越大震災などの大地震、そして台風などの自然災害によりリスクに対する認識が高まり、それらの自然災害から電気・ガス・水道・通信などのライフラインを守る必要性のある大手企業を中心にBCP策定が普及し始めました。しかし、経営者が関与することの難しさや、費用対効果やPDCAを考慮した策定、そして、地域やサプライチェーンとの連携を考慮した策定など課題も多く、実際に国内でBCPを策定している企業は、大手企業がほとんどで、中小企業ではこれからというのが現状です。

　BCPを国内で普及させるためには、公共事業の入札条件にするとか、策定企業の保険料を低減するなどの企業利益と直結する施策が必要です。例としては、2006年度から日本政策投資銀行が開始した「防災格付」によって融資の利息を安くする試みがあります。「防災格付」において上位に格付けされるにはBCP策定は必須です。また、海外からの要請、ISOへの対応、企業の社会的責任へのアピールなどの外的要因も手伝って、今後、BCP策定に取組む企業が益々増加することでしょう。

●BCPを策定する！

　BCP策定は、システム担当者やセキュリティ担当者だけが実施するものではありません。BCPは最終的には経営資源になります。セキュリティ・ポリシー策定と同様、各部署の責任者と共に必ず経営者も参加して策定するようにしましょう。

　BCPの全体的なプロセスは、事業継続基本方針の規定　→　BCPサイクルの運用体制確立　→　事業の理解とリスク分析（自社の業務プロセスの分析、災害時のリスクと損害の洗い出し）　→　BCP の準備（復旧の優先順位の決定、必要な設備・人員・システムの明確化、目標復旧時間の決定、復旧手順の明確化）　→　BCPの策定　→　事前対策の準備と実施　→　BCP 文化の定着、という流れになります。

　そして、BCPそのものの骨組みは、緊急時の連絡網の整備、仮オフィスの確保、代替要員の確保、安否確認の仕組み、IT資産のバックアップと運用、緊急時のマニュアルの整備などがあります。

　内閣府や経済産業省では、様々なガイドラインやモデル例を作成して、ホームページで公開していますが、中小企業向けには、中小企業庁で作成された中小企業向けのガイドブックや中小企業向け策定運用指針が役に立ちます。

中小企業BCP（事業継続計画）ガイド
http://www.chusho.meti.go.jp/keiei/antei/download/bcp_guide.pdf

中小企業BCP策定運用指針
http://www.chusho.meti.go.jp/bcp/index.html

　また、愛知県では、業種分類や企業規模、防災やBCPに対する取り組み具合に応じて、会社にあったモデルを選択できる「あいちBCPモデル」という便利なツールを提供しています。まず、コンパクト版（入門編）か標準版のいずれかを選択して、次に、製造業か商業・サービス業のいずれかを選択します。後は、用意されている、導入編、記入シート、記入例、取り組み事例集と、自社の事業モデルに照らし合わせて進めていけばBCPが簡単に完成できます。

中小企業向け事業継続計画（BCP）策定マニュアル「あいちBCPモデル」
http://www.quake-learning.pref.aichi.jp/bcpmodel.html

●システム担当者、セキュリティ担当者の実務

　BCPは企業全体の取組みですが、その中でもシステム関係の対応は重要です。事業のITへの依存度が高ければ高いほどの重要度が高くなることは言うまでもありません。システム担当者やセキュリティ担当者の実務としては、BCP策定、普段からの準備、有事の対応、復旧業務があります。BCP策定にはシステム担当者やセキュリティ担当者も必ず参加するようにし、専門職としての意見を反映させてください。

　BCP策定においてシステム担当者が実施する具体的な作業としては、中核事業継続においてボトルネックとなるコンピュータ、周辺機器およびソフトウェアをリストにすることです。記入項目としては、当該資源を利用する社内業務名、社内責任者、当該資源の現状（使用中／リース予定／購入予定）、品名（バージョン等）、数量、タイプ（コンピュータ、各種周辺機器／ソフトウェア）、供給業者、事業継続の際の想定設置場所、また、備考として購買/リースした日付・価格、シリアル番号等も必要となります。

　風水害など、事前の警戒情報が期待できる災害においては、安全な場所に直前に移動が可能なコンピュータ機器かどうかを把握しておかなければなりません。

　普段からの準備としては、まず、システムに関係するリスク分析を実施しておきます。事業継続に最も重要なIT資源や資産は何かを明確にし、災害の種類や大きさ別にシステムに与える影響とそれによるビジネスリスクを分析しておきます。次に、リスク分析を参考に、通信手段や電力などのインフラに関する二重化対策の検討、そして、システムの復旧や事業継続に必要となる重要データのバックアップと復旧の優先順位や、具体的な手順などを決めておきましょう。また、それらを可能にする施設、設備、サービス、ソフトウェアなどを検討し準備しておきましょう。

　また、被害の規模を把握するための手順やツールも検討して準備しておかなければなりません。更に、システム部員の緊急時の連絡網と各自の役割を明確にしておいてください。また、取引先や協力会社からの問い合わせへの対応体制および責任者を決めておいてください。これらを緊急時のマニュアルとしてまとめ、災害時でも必ず閲覧できる安全な場所に保管しておきます。

　次に有事の対応ですが、まず、冷静さを取り戻すことが大切です。そして、自分の身の安全を何よりも優先してください。安全が確保されれば、システム被害の範囲と大きさを把握し、連絡網に沿って適切に報告し、緊急時のマニュアルに従い確実に復旧作業を実施してください。予測できない事象への対応は必ず上司の指示を仰いでください。上司との連絡が取れない場合も想定して、判断基準も緊急時のマニュアルに載せておく必要があります。

●BCPの活用

　さて、これでBCPが完成です。しかし、完成しただけでは…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
情報セキュリティなんでも相談室　第8回
新型インフルエンザに対して、事前に何をしておけば良いですか？
https://www.netsecurity.ne.jp/3_12231.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec