もしもの備えに対応すべき、ITシステムの「BCP対策」とは？

昨今では、事業継続にはITシステムが欠かせません。しかし、システムの大規模障害が発生すると大きな問題となるため、ITシステムの継続性の確保がますます重要となっています。サイバー攻撃による情報漏えいやサービス停止のリスクも考える必要があります。

そこで、もしもの時に備え、ITシステムのBCP対策、すなわちIT-BCPの策定を検討してみてはいかがでしょうか。

本記事では、IT-BCPとは何か、なぜ必要なのかについて説明します。

IT-BCPとは

IT-BCPについて触れる前に、まずはBCPについて説明します。BCPとは、Business Continuity Plan（事業継続計画）の略称です。

企業が自然災害や火災・水害、地政学リスクなどの緊急事態においても、ビジネスを継続できるようにあらかじめ計画を立てておくことを示します。BCPを策定しておくことで、有事の際も事業への影響を最小限に抑え、早期復旧を可能にします。

このBCPの中にIT-BCPというものがあります。IT-BCPは、ITシステムの停止リスクに着目した、事業継続性を確保するための対策です。緊急事態が発生した場合でも、事業継続性を最大限確保することを目的とします。

IT-BCPの必要性

IT-BCPが必要である理由は以下の3つです。

ITシステムの可用性確保

総務省の令和5年版情報通信白書によると、2022年の国内ICT市場規模は27.2兆円、前年比5.2％増となっています。

※ 令和5年「情報通信に関する現状報告」（令和5年版情報通信白書）｜総務省

また、世界のICT市場規模も総務省の資料によると増加傾向にあります。

※ 総務省｜令和5年版 情報通信白書｜ICT市場規模

これらの資料により、ITシステムは業界や業種を問わず、全ての事業において事業を継続するために不可欠な要素で、ITシステムの可用性は事業継続に直結することが分かります。サービス停止に陥った場合、事業の継続ができなくなってしまい、社会的な信用の失墜にも繋がります。

事業停止リスク増加の抑制

自然災害や火災・水害、地政学リスク、サイバー攻撃等、様々な理由による事業停止リスクがあります。

昨今では、日本国内における自然災害は激しさを増しています。度重なる地震や台風等を起因とした水害も多発しており、これらにより甚大な被害が発生しています。例えば、データセンターが水害に遭った場合、重大なデータが消失する可能性があります。

また、サーバの稼働が停止するとITサービスの提供ができなくなるリスクも生じます。事業継続にITシステムが欠かせなくなったことを背景に、サイバー攻撃も年々巧妙化し、被害も増加しています。

総務省の令和5年版情報通信白書によると、2022年に観測したサイバー攻撃関連通信数は2015年と比較して8.3倍であり、依然多くの攻撃関連通信が観測されている状態です。

※ 総務省｜令和5年版 情報通信白書｜サイバーセキュリティ上の脅威の増大

被害を未然に防ぐだけでなく、緊急事態が発生した際に被害を最小限に抑えて、通常通りの事業を継続することも重要な対策となります。

企業全体の中核業務の可視化

IT-BCPの策定において、緊急事態時に優先して復旧すべき業務を可視化する必要があります。中核業務を可視化することで、企業としての強みを明確に把握できます。

一方で、IT-BCPには、BCPとの整合性の維持が求められます。特に、ITシステムごとに考慮すべき可用性要件がそれぞれ異なり、個別最適になりがちなので、企業全体で可用性を確保することも重要です。

さらに、IT技術や環境の急速な変化に対応しなければ、IT-BCPは陳腐化してしまいます。そのため、定期的にIT-BCPを見直し、常にBCPとの整合性を保つ必要があります。

ラックが提案するIT-BCPの対策

ITシステムの可用性は事業継続に直結しており、緊急事態が発生した際に被害を最小限に抑え、通常通りの事業を継続することも重要な対策です。

また、急速に変化するIT技術に対応するためにIT-BCPは定期的な見直しが必要であり、その際には常にBCPとの整合性を保つことが重要です。そこで、ラックではIT-BCPの対策として以下を支援します。

事業影響度分析/BCP要求レベルの設定

まず、現在保有・活用しているITシステムの全体像、システム間連携、そしてシステム停止時のビジネスへの影響を把握します。その上で、各システムが達成すべきBCP要求レベルを設定します。

BCP要求レベルごとに満たすべき可用性・保守性要件を定義するとともに、有事の際の復旧優先度の指標とします。

IT-BCP規定の作成

お客様の現在の事業/業務/システム環境等の状況に見合った、有効性のあるIT-BCP規定を作成します。既にIT-BCP規定がある場合でも、長期間見直しが図られていない状況や有効性が不明な状況に対する見直しをします。

また、新規作成・見直しいずれの場合においても、マクロ・ミクロの両視点からお客様の現在の状況に合わせたIT-BCPを策定します。

改善計画

作成したIT-BCP規定を基準に、現状のITシステム環境とのギャップからリスク・課題を把握し、改善するための計画を立案します。

具体的な対策の一例は以下の通りです。

さらに、IT-BCP規定作成後の評価から改善までの全工程を、トータルで支援します。

対策実行支援	バックアップ施策、クラウド移行、ログ監視・分析といった危機的事象に対する事前対策の実行
IT-BCP見える化支援	社員への理解を促進するため、IT-BCPをフロー化し、役割分担や流れの明確化
訓練実施支援	訓練の計画、シナリオの構築、実行時のファシリテーションを実施し、事後評価、IT-BCPの見直し
IT-BCP実効性評価支援	IT-BCP間の整合性確認、IT-BCPと確保済リソースの整合性確認、社員の理解度チェックを支援

対応範囲は、ご要望に応じてカスタマイズ可能です。

さいごに

ここまで、ITシステムのBCP対策についてお伝えしました。ラックは、システムインテグレーターとして官公庁や金融機関をはじめとするさまざまな業種や組織への幅広い対応力と、豊富な実績があります。経験豊富なコンサルタントがお客様のITに関するお悩みを解決します。少しでもお悩みのことがありましたら、お気軽にお問い合わせください。

プロフィール