ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.22(金)

ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(1)

特集 特集

ゼロデイ攻撃や標的型攻撃など、企業の ITインフラへの様々な脅威が指摘される中、これまでは自然災害やテロなどの不測の事態における企業の事業継続のためのものとされていた BCP (Business Continuity Plan: 事業継続計画)や BCM (Business Continuity Management: 事業継続マネジメント) を、ITセキュリティに適用しようという動きが活発化しています。

そこで今回は、4月22日に開催される「Business ContinuityManagement Conference」にパネリストとして登壇される、財団法人日本情報処理開発協会(以降 JIPDEC) 情報マネジメント推進センター副センター長の高取敏夫氏に「ITセキュリティの視点から見た BCP/BCM」についてお話を伺いました。

─まず BCP/BCM とは簡単に言うとどのようなものでしょうか?

それぞれBisiness Continuity Plan、Business Continuity Managementの略語であることが示すように、大規模災害やテロといった企業・組織にとっての不測の事態においても事業そのものを中断することなく、継続するための方針や手続きをまとめたものがBCPであり、またそのような事業継続にあたっての戦略的な運用管理の手法をBCMと言います。

自然災害などの不測の事態は、いつ起こるか分かりませんし、絶対に避けられるものではありません。そこで事件や事故はどうしても起こってしまうものであるという前提で、企業や組織にとってのリスクを洗い出し、最低限守るべきものは何かを経営戦略的視点で捕らえることがBCPやBCMを考える上で重要となります。

─BCP/BCM の ITセキュリティとの関連は?

近年の ITの普及により、ITなくして事業の継続はありえないものになっています。そのため、ITセキュリティの問題、すなわち企業の ITシステムに対する脅威は企業全体に対する脅威と言うことができます。

たとえば、かつての ITセキュリティは、ワクチンソフトやファイアウォールなどを導入することで防御するという考え方が一般的でした。しかし、近年の ITセキュリティを取り巻く状況はより深刻化しており、ボットの蔓延や未知の脆弱性を悪用したゼロデイ攻撃、更に特定の企業や組織を狙った標的型攻撃など、防御が著しく困難になってきています。

このような中で ITシステムに対する不正アクセスやウィルス感染は、何らかの技術的な手法で完璧に防げるものではなく、自然災害と同様に「起こってしまうもの、避けられないもの」という前提で、起こってしまった後に効果的に対処することで事業の継続性を確保しようという考えからBCP/BCMに ITセキュリティが含まれるようになったのです。

─ITセキュリティに関して、日本ではISMSという規格がありますが、BCP/BCMについても何らかの規格があるのでしょうか?

BCP/BCMに関しては、既に英国でBS25999という規格があり、またISO化の動きもあります。そのようなこともあって我々JIPDECに対して、ISMSのような規格を別途新たに作ろうとしているのではないかと思われている方がいらっしゃるようですが、それは誤解です。

BCP/BCMは、先ほど説明したようにITセキュリティと密接に関わっているため、当然のことながらISMSなどの既存のITセキュリティ関連の規格と無関係ではありません。

そこで、現在我々JIPDECが考えているBCMS(Business ContinuityManagement System) とは、新たな規格ではなく、既にあるISMS(Information Security Management System) やITSMS(ITServiceManagementSystem) と統合的に導入できるものであり、今までにあるものを有効活用して、「事業継続力」を高めていこうというものなのです。


図:他のマネジメントシステムとの関連

【取材・執筆: 押田政人】

【関連記事】
ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(2)
https://www.netsecurity.ne.jp/7_11491.html

【関連リンク】
Business Continuity Management Conference
http://www.idg.co.jp/expo/bcm/

JIPDEC
http://www.jipdec.or.jp/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×