ゼロデイ攻撃や標的型攻撃など、企業のITインフラへの様々な脅威が指摘される中、これまでは自然災害やテロなどの不測の事態における企業の事業継続のためのものとされていたBCP (Business Continuity Plan:事業継続計画)やBCM (Business Continuity Management:事業継続マネジメント) を、IT セキュリティに適用しようという動きが活発化しています。そこで今回は、4月22日に開催された「Business ContinuityManagement Conference」にパネリストとして登壇された、財団法人日本情報処理開発協会(以降 JIPDEC) 情報マネジメント推進センター副センター長の高取敏夫氏に「ITセキュリティの視点から見たBCP/BCM」についてお話を伺いました。─BCP/BCM を取り巻く現状の課題としてはどのようなものがあるでしょうか?欧米の企業では、早くからBCP/BCMというものを、不測の事態に対する備え、すなわちコンティンジェンシープラン (Contingency Plan) という枠組みで部分的に導入できていたため、BCP/BCMが馴染みやすいのですが、日本の企業にはそのような枠組みがないことが多いため、浸透には時間がかかると考えられます。また「事業継続」は経営戦略、経営企画とは切り離せないものであることから、BCP/BCMに経営層の関与は必須なのですが、日本では特にITに関わる部分について、経営層の関与が不充分であり、そのことが日本におけるBCP/BCMの普及の妨げになっているのではないかと考えています。─そのための対策としてどのようなものを検討されていますか?まずはBCP/BCMを正しく理解してもらうことが大事だと考えています。そこでBCMSに関するユーザーズガイドを近いうちに公開する予定です。これはBS25999をベースにしており、日本での BCP の策定例などを紹介しています。まず今年度は、このユーザーズガイドをもとにして、主にISMSを取得済みの企業に対してBCMSの導入を進めようと考えています。【取材・執筆: 押田政人】【関連記事】ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(1)https://www.netsecurity.ne.jp/7_11395.html【関連リンク】Business Continuity Management Conferencehttp://www.idg.co.jp/expo/bcm/JIPDEChttp://www.jipdec.or.jp/
