BCPと情報セキュリティ対策｜中堅・中小企業向けサイバーセキュリティ対策サイト Worry-Free ファミリー

BCPと情報セキュリティ対策

事業継続計画（BCP：Business Continuity Plan）と情報セキュリティ対策

本記事では、企業が直面する自然災害や情報セキュリティの脅威に対する事業継続計画（BCP）の重要性と、その中でも特にIT-BCPの策定と運用について詳しく解説します。ガイドラインや具体的なプロセスを通じて、企業が緊急事態に迅速かつ効果的に対応するための方法を紹介します。

目次
法人のお客さまで起こりがちな状況 ▽
事業継続計画（BCP）とその中での情報セキュリティの扱い ▽
情報システム運用継続計画（IT-BCP）とは ▽
IT-BCPの策定プロセス ▽
BCP策定で大事なのは「やらないこと」を決めること ▽
「二次災害」を防ぐために必要なこと ▽

法人のお客さまで起こりがちな状況

3.11の東日本大震災、毎年のように起こる大雨災害、新型コロナウイルスによる緊急事態宣言。
今の日本はいつどこで天災や事故に巻き込まれるかわからない状況です。
さらには毎日のように発生している情報漏洩や不正アクセスなどの情報セキュリティに関わる事件も、企業にとって悩みの種です。

こうした背景があり、徐々に事業継続計画（BCP）が求められる時代になってきました。
中でも今回は急激にデータ量が増えている情報化社会の中で重要度が増している「IT-BCP」についてご説明します。

事業継続計画（BCP）とその中での情報セキュリティの扱い

最初に事業継続計画（BCP）の定義から確認してみましょう。

経済産業省が定義するBCPの定義は以下の通りです。
BCP（事業継続計画）とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと
参照元：https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html

BCPを導入することによって緊急事態に遭遇した際に稼働率が落ちても中核事業を維持・早期復旧することができるため、企業価値の向上に寄与することができます。

このBCPの中での情報セキュリティは大きく分けて以下の通り2つの側面があります。
１．災害が発生した際のビジネスのシステム運用を維持するための計画
２．情報セキュリティインシデントに対する対応

１は企業の活動が物理的な影響を受けてできなくなった場合の復旧対象の決定と優先順位の策定などを中心とした計画になります。

2は直接的に企業のデータやインフラが悪意を持った第三者に狙われることに対してどのようなポリシーを設定して対応していくのかを決め、かつセキュリティレベルを維持するべきかを検討する計画となります。

NISC（内閣サイバーセキュリティセンター）では「中央省庁における情報システム運用継続計画ガイドライン」を策定していますが、そのガイドラインの中で挙げられているインシデント例でも「災害発生による予期せぬシステム停止」と「マルウェア感染や不正侵入による外部攻撃」の2つを代表的な危機的事象として設定しています。
ガイドライン：https://www.nisc.go.jp/active/general/pdf/itbcp1-1_2.pdf

情報システム運用継続計画（IT-BCP）とは

現代において意思決定に必要な情報収集・分析・伝達には情報システムが深く関与していることから、個別でのBCPをIT-BCPとして策定しています。

このIT-BCPは以下のような要素で構成されています。
・中核事業の選定とそこに関わる情報の精査、そのリスクの算出
・事業運営のバックアッププラン（場所、人員、体制など）の検討
・ソフト面（プランの策定と周知など）とハード面（サーバの冗長化や事業所の整備など）の整備
・最新の情報を取り入れた継続的なブラッシュアップ

大事なのはあくまでもBCP全体との整合性を取ることであり、システムが使えるようになっても事業が維持できなければBCPとしては未達成ということを肝に銘じておくのが重要です。

IT-BCPの策定プロセス

「中央省庁における情報システム運用継続計画ガイドライン」を元に、IT-BCPの策定プロセスについて解説します。

運用までの大きなプロセスは3つあります。
概要をお伝えするとともに、「情報システムの運用継続計画の策定」パートについてはより詳細に掘り下げて解説いたします。

１．基本方針の策定と実施・運用体制の構築

基本方針の策定ではIT-BCPによって維持するべきシステムの対象範囲を定めます。
留意事項としては、メールやWEB等の情報収集・共有・伝達手段や社内LANやそれにアクセスするための認証基盤については最低限対象に含めるべきという点です。
これは企業全体の非常時の活動を支える重要な資源となるためです。

実施・運用体制の構築フェーズでは基本方針によって定められた対象システムを踏まえつつ必要な担当者を定め、関連部署との連携体制を構築します。
ここでの留意事項は、情報システム部門のみが対象になるだけではなく、情報システム以外でもウェブサイトの管理者など事業継続に対して必要な人員は同様に策定・運用のために加えること、そして情報セキュリティマネジメントとの整合性を考慮することです。

２．情報システムの運用継続計画の策定

基本方針を基に、実際に何を危機的事象として特定しどの程度の被害を想定するか、どのシステムから優先して復旧し、それによってどのシステムが関連するのかを特定します。

これらの情報を基に、実際に対策計画の検討や対応計画の検討、そして訓練や維持計画の検討を行うのがこのフェーズとなります。

プロセスとしては以下の通りです。

＜危機的事象の特定＞

目的は情報システムがさらされている脅威を洗い出し、IT-BCPの前提となる原因を決定することです。

ただし、すべてのケースを漏れなく洗い出すことは物理的に不可能です。
そのため、発生確率や影響の大きさなどを総合的に考慮し対象を決定しましょう。

また、発生時の条件などについてはなるべく厳しい条件を想定しておくことが望ましいと言われています。
休日や夜間の発生を条件に入れておくことで、社員の招集が要件に含まれるなど対応力を上げることができるようになります。

＜被害状況の想定＞

前項で決定した事象がどのような被害状況を起こしうるのかを想定し、現在のシステムが抱える脆弱（ぜいじゃく）性を明確にします。

あまりに細かい想定をしてもその通りに被害が発生するわけではないので、ある程度幅を持たせた予測をすることで柔軟な対応方法の検討を行うことができます。

＜情報システムの復旧優先度の設定＞

被害を受けた状態を起点として、非常時優先業務を確認して対象システムを特定します。
その際は目標復旧時間（IT-RTO）を明確化するとともに復旧時間の幅によってグループ分けをします。

例として、最優先のシステムはランクSに定め3時間以内の復旧が必要、ランクAは1日以内の復旧が必要といった形です。

これによって着手すべきシステムとそれに必要な人員が明確になります。

＜情報システムと構成要素の関連整理＞

情報システム運用継続のためには、システム単体に対する対応のみではなく人員・サーバ・ネットワーク・データ・手順書など構成要素にたいして網羅的に対策を実施しなければなりません。

これらを洗い出したうえで危機的事象発生時を想定して優先順位を決めたうえでどこに対してどのような対応が必要かを検討することが重要になります。

＜事前対策計画の検討＞

現在の運用環境と想定される危機的状況時の運用環境とのギャップを認識し、その差分を埋めるためには何が必要なのかを検討します。

特に危機的状況発生時の対応体制や連絡方法の整備、同一拠点内でのハードウェアへの対策状況、また重要なデータのバックアップや再調達が難しいハードウェア、ソフトウェアの把握は復旧自体を困難にする可能性があるため最低限対応すべき事項として定義されています。

＜非常時の対応計画の検討＞

非常時に復旧を行うにあたっての対応体制を構築し、役割分担を定めることが目的となります。
平時の体制を踏まえ、非常時に復旧を行う責任者、担当者の決定、またその代行者についても定めておく必要があります。

その際は担当者の負荷を考慮した体制を構築することも重要です。
例えば復旧作業を行う担当者と他部門からの問い合わせに対応する担当者は別々にするのが望ましい体制となります。

＜訓練・維持計画の検討＞

実際の災害発生時の対応力を向上させると共に対策の有効性を確認し、さらには改善ポイントを見つけ出しより最適な形にすることを目的とします。
特に緊急時はスピードが求められるため、手順書の確認訓練は定期的に実施することが重要です。

また、定期的に実施しその時々の環境に応じたものに見直すことが望ましい体制となります。

３．情報システム運用継続計画の運用

運用段階では事故対策や教育訓練の実施とフィードバック、またその実績評価とスケジュールの管理を行います。

また随時計画の見直しを行い、環境に対して最適なBCPを維持し続けるためのプロジェクト管理を実施し企業価値の維持向上に貢献する必要があります。

BCP策定で大事なのは「やらないこと」を決めること

BCPを策定する時に重要なのは、前提として災害時に「あれもこれも」は物理的に不可能に近いという現実をしっかりと認識することです。
「この会社（事業）にとって最も大事なものは何であり、そのためには何が必要か」を経営者に決めてもらう必要があり、そこは経営判断として決めてもらわなければなりません。

情シス担当者としてはその方針を実現するために必要な要素を洗い出し、実行できる準備をすることが果たすべき責任です。

また、場合によってはISMSで定めた内容との整合性に悩むケースがあったり、実際に危機的状況が発生した場合は事前の整合性の調整と非常時の判断の体制も行わなくてはなりません。

この点については定期的に関係者全員がBCPを見直し、社内での認識を統一しておくことが重要です。

「二次災害」を防ぐために必要なこと

危機的状況に対して対応する計画がBCPです。そこには見えている大規模インシデント対応中の混乱時期をどう乗り切るかにフォーカスして検討事項が記載されていますが、実際は同時にセキュリティの観点から見ると外部からの攻撃に弱い状態でもあります。

こうした状況に陥った時に「目の前のインシデント」に注力できるように万全のセキュリティ体制を事前に整え、二次災害をなくすことができるようにすることもまたIT-BCPの一環と言えます。

通常時と緊急時の切り替えをシームレスに行うことができるツールの検討やバックアップ体制を準備しておけば情報システム部門としてもBCPに大きな貢献が可能となります。

ぜひ検討してみてください。