CISOの相談室 第12回 BCPの策定について教えて下さい | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

CISOの相談室 第12回 BCPの策定について教えて下さい

特集 特集

 中小企業でもBCP(事業継続計画)を策定する動きが盛んです。「情報セキュリティなんでも相談室 第8回」で新型インフルエンザ対策を情報システム部門担当者の視点からアドバイスいただいたように、BCP策定にあたって、情シス担当者、セキュリティ担当者として何をすべきかお教え下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●BCPとは?

 BCP (Business Continuity Plan)とは、会社やお店が災害や事故などの予期せぬ被害を受けた場合に、事業を中断させないための、もしくは、中断しても可能な限り短時間で事業を再開するための事業継続計画のことです。事業の中断による企業リスクとしては、顧客取引の競合他社への流出、マーケットシェアの低下、企業評価の低下などがあります。これらのリスクを回避、もしくは、軽減するためのプランを経営者も参画して事前に策定しておけば、顧客からの信頼や企業価値も向上できます。

●BCPの取組み状況

 米国では公的な企業防衛の施策が乏しかったために、古くから自己防衛的な災害時復旧の考えが企業に浸透していました。更に2000年問題や、2001年9月に起こった同時多発テロなどの人的被害を契機に、BCPの普及が一気に進みました。というのは、BCPを策定・運用している企業とそうでない企業との間に、定性的にも定量的にも事業継続の結果に大きな差が出たからです。

 一方、日本の場合は、阪神・淡路大震災や新潟中越大震災などの大地震、そして台風などの自然災害によりリスクに対する認識が高まり、それらの自然災害から電気・ガス・水道・通信などのライフラインを守る必要性のある大手企業を中心にBCP策定が普及し始めました。しかし、経営者が関与することの難しさや、費用対効果やPDCAを考慮した策定、そして、地域やサプライチェーンとの連携を考慮した策定など課題も多く、実際に国内でBCPを策定している企業は、大手企業がほとんどで、中小企業ではこれからというのが現状です。

 BCPを国内で普及させるためには、公共事業の入札条件にするとか、策定企業の保険料を低減するなどの企業利益と直結する施策が必要です。例としては、2006年度から日本政策投資銀行が開始した「防災格付」によって融資の利息を安くする試みがあります。「防災格付」において上位に格付けされるにはBCP策定は必須です。また、海外からの要請、ISOへの対応、企業の社会的責任へのアピールなどの外的要因も手伝って、今後、BCP策定に取組む企業が益々増加することでしょう。

●BCPを策定する!

 BCP策定は、システム担当者やセキュリティ担当者だけが実施するものではありません。BCPは最終的には経営資源になります。セキュリティ・ポリシー策定と同様、各部署の責任者と共に必ず経営者も参加して策定するようにしましょう。

 BCPの全体的なプロセスは、事業継続基本方針の規定 → BCPサイクルの運用体制確立 → 事業の理解とリスク分析(自社の業務プロセスの分析、災害時のリスクと損害の洗い出し) → BCP の準備(復旧の優先順位の決定、必要な設備・人員・システムの明確化、目標復旧時間の決定、復旧手順の明確化) → BCPの策定 → 事前対策の準備と実施 → BCP 文化の定着、という流れになります。

 そして、BCPそのものの骨組みは、緊急時の連絡網の整備、仮オフィスの確保、代替要員の確保、安否確認の仕組み、IT資産のバックアップと運用、緊急時のマニュアルの整備などがあります。

 内閣府や経済産業省では、様々なガイドラインやモデル例を作成して、ホームページで公開していますが、中小企業向けには、中小企業庁で作成された中小企業向けのガイドブックや中小企業向け策定運用指針が役に立ちます。

中小企業BCP(事業継続計画)ガイド
http://www.chusho.meti.go.jp/keiei/antei/download/bcp_guide.pdf

中小企業BCP策定運用指針
http://www.chusho.meti.go.jp/bcp/index.html

 また、愛知県では、業種分類や企業規模、防災やBCPに対する取り組み具合に応じて、会社にあったモデルを選択できる「あいちBCPモデル」という便利なツールを提供しています。まず、コンパクト版(入門編)か標準版のいずれかを選択して、次に、製造業か商業・サービス業のいずれかを選択します。後は、用意されている、導入編、記入シート、記入例、取り組み事例集と、自社の事業モデルに照らし合わせて進めていけばBCPが簡単に完成できます。

中小企業向け事業継続計画(BCP)策定マニュアル「あいちBCPモデル」
http://www.quake-learning.pref.aichi.jp/bcpmodel.html

●システム担当者、セキュリティ担当者の実務

 BCPは企業全体の取組みですが、その中でもシステム関係の対応は重要です。事業のITへの依存度が高ければ高いほどの重要度が高くなることは言うまでもありません。システム担当者やセキュリティ担当者の実務としては、BCP策定、普段からの準備、有事の対応、復旧業務があります。BCP策定にはシステム担当者やセキュリティ担当者も必ず参加するようにし、専門職としての意見を反映させてください。

 BCP策定においてシステム担当者が実施する具体的な作業としては、中核事業継続においてボトルネックとなるコンピュータ、周辺機器およびソフトウェアをリストにすることです。記入項目としては、当該資源を利用する社内業務名、社内責任者、当該資源の現状(使用中/リース予定/購入予定)、品名(バージョン等)、数量、タイプ(コンピュータ、各種周辺機器/ソフトウェア)、供給業者、事業継続の際の想定設置場所、また、備考として購買/リースした日付・価格、シリアル番号 等も必要となります。

 風水害など、事前の警戒情報が期待できる災害においては、安全な場所に直前に移動が可能なコンピュータ機器かどうかを把握しておかなければなりません。

 普段からの準備としては、まず、システムに関係するリスク分析を実施しておきます。事業継続に最も重要なIT資源や資産は何かを明確にし、災害の種類や大きさ別にシステムに与える影響とそれによるビジネスリスクを分析しておきます。次に、リスク分析を参考に、通信手段や電力などのインフラに関する二重化対策の検討、そして、システムの復旧や事業継続に必要となる重要データのバックアップと復旧の優先順位や、具体的な手順などを決めておきましょう。また、それらを可能にする施設、設備、サービス、ソフトウェアなどを検討し準備しておきましょう。

 また、被害の規模を把握するための手順やツールも検討して準備しておかなければなりません。更に、システム部員の緊急時の連絡網と各自の役割を明確にしておいてください。また、取引先や協力会社からの問い合わせへの対応体制および責任者を決めておいてください。これらを緊急時のマニュアルとしてまとめ、災害時でも必ず閲覧できる安全な場所に保管しておきます。

 次に有事の対応ですが、まず、冷静さを取り戻すことが大切です。そして、自分の身の安全を何よりも優先してください。安全が確保されれば、システム被害の範囲と大きさを把握し、連絡網に沿って適切に報告し、緊急時のマニュアルに従い確実に復旧作業を実施してください。予測できない事象への対応は必ず上司の指示を仰いでください。上司との連絡が取れない場合も想定して、判断基準も緊急時のマニュアルに載せておく必要があります。

●BCPの活用

 さて、これでBCPが完成です。しかし、完成しただけでは…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
情報セキュリティなんでも相談室 第8回
新型インフルエンザに対して、事前に何をしておけば良いですか?
https://www.netsecurity.ne.jp/3_12231.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×