事業継続計画（ＢＣＰ／ＢＣＭ）

学習のポイント

地震のような大規模災害は事業の継続ができなくなる危険がありますので，通常のセキュリティ対策とは質的に異なる対策が求められます。事業継続のための計画をＢＣＰ，それをマネジメントすることをＢＣＭといいます。
　本章では，ＢＣＰ／ＢＣＭについて，
　　　その重要性と概念
　　　国の策定したガイドライン
について学習します。

キーワード

ＢＣＰ（事業継続計画），ＢＣＭ，ＢＣＭＳ（事業継続マネジメントシステム）、ISO 22301, JIS Q 22301、ディザスタリカバリ，ビジネスインパクト分析，ＣＳＲ（企業の社会的責任），事業継続計画策定ガイドライン，事業継続ガイドライン，中小企業ＢＣＰ策定運用指針

事業継続計画の必要性

事業継続の必要性

地震，火災，テロなどもよる大規模なシステム障害が発生すると，基幹事業が停止している間の利益損失が発生しますし，取引先や顧客を失う大きな原因にもなり，事業からの撤退につながることがあります。
　また，自社の事業停止が取引先や顧客の事業停止へと影響が連鎖することもあります。さらに，業種や情報システムによっては，社会全般に大きな影響を与えることになります。

ですから，企業には危機に直面したときでも
　　　　許容限界以上のレベルで事業を継続させること
　　　　許容される期間内に操業度を復旧させること
ことにより，事業を継続する社会的責任があるのです。

ディザスタリカバリ（Disaster Recovery）

システム障害で発生するトラブルを想定して，発生時の社会的影響などを最低限に抑える対策のことです。
　経済産業省「事業継続計画策定ガイドライン」では，ディザスタリカバリの重点対処項目として、「大規模なシステム障害」，「セキュリティインシデント」，「情報漏えい，データ改ざん」を示しています。

復旧の目標・尺度

ディザスタリカバリや事業継続計画においては、災害発生から再開するまでの内容や時間を明確にしておく必要があります。

目標復旧時点（Recovery Point Objective：ＲＰＯ）: 深刻な事態を避けるには、災害前の「どの時点に戻せればよいか」の目標です。
重要業務のバックアップを取る頻度などの目安になります。
目標復旧時間（Recovery Time Objective：ＲＴＯ）: 深刻な事態を避けるには「何時間で復旧できればよいか」の目標です。
目標復旧レベル（Recovery Level Objective：ＲＬＯ）: 業務より復旧の優先度が異なります。重要な業務は短時間で復旧する必要がありますが、そうでない業務は後回しにして時間をかけて復旧すればよいでしょう。
ＲＰＯは「（段階ごとに）どの業務をどこまで復旧できればよいか」の目標です。それを実現する目標時間を目標復旧時間といいます。これと合わせて「何を、どこまで、いつまでに」となります。
最大許容停止時間（Maximum Tolerable Period of Disruption：ＭＴＰＤ）: 目標復旧時間が「目標」であるのに対して、これは「ここまでに復旧しないと深刻な事態になる」という「期限」です。

ＢＣＰ／ＢＣＭ／ＢＣＭＳ

事業継続のための計画立案や実施をＢＣＰ（Business Continuity Plan）、そのマネジメントシステムをＢＣＭＳ（Business Continuity Management System）といいます。

（拡大図）

ＢＩＡ（ビジネスインパクト分析）: 事業継続に重要な箇所・事象（ボトルネック）を特定して，対策を検討・実施することです。どのシステムがダウンしたり，どのデータが消滅したら，事業にどう影響するか，復旧するのにどの程度の時間がかかるかなどの分析です。これがＢＣＰ策定のベースになります。
ＢＣＰ（Business Continuity Plan）: 企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
例えば、重要機器の二重化、工場の分散、調達先の複数化、同業他社との緊急時協力などがあります。
ＢＣＭ（Business Continuity Management）: ＢＣＰを策定し継続的運用するマネジメントシステムのことです。①事業の理解、②BCPサイクル運用方針の作成、③BCPの構築、④BCP文化の定着、⑤BCPの訓練、BCPサイクルの維持・更新、監査といった活動をＰＤＣＡサイクルとして継続的に行い向上させること。
ＢＣＭＳ（ISO 22301, JIS Q 22301）: 「社会セキュリティ− 事業継続マネジメントシステム−要求事項」で、組織が効果的なＢＣＭＳ（事業継続マネジメントシステム）を策定し，運用するための要求事項について規定するものです。
事業継続をマネジメントシステムとして捉え、経営者のリーダーシップのもと、ＰＤＣＡサイクルにより継続的に維持改善すべきものであるとして、実現すべき事項を示しています。
　この要求事項に適合していることを第三者が認定するＢＣＭＳ適合性評価制度があります。

（拡大図）

ＢＣＭＳと他基準等との関連

事業継続は社会的責任の重要な側面ですし，システムの維持は情報セキュリティ対策での重要目標です。それでＢＣＰ／ＢＣＭは，多くの基準等に関係しています。

ＣＳＲ（Corporate Social Responsibility：企業の社会的責任）: 企業が事業継続性を確保することは，顧客や取引先への製品・サービスの継続的供給，地域社会のライフラインや生活の保証につながります。ＢＣＭとＣＳＲは互いに密接に関連するものであり，双方を推進していく必要があります。
ISO 27001（ＩＳＭＳ），JIS Q 2001（リスクマネジメント）: 情報セキュリティマネジメントシステム（ＩＳＭＳ）の国際規格であるISO 27001は，情報セキュリティ全般を網羅したものですが，そこでも，「事業継続管理手続」「事業継続計画作成のための枠組み」など，ＢＣＭが重要な要素の一つになっています。
また，JIS Q 2001（リスクマネジメントシステム構築のための指針）は，阪神淡路大震災の教訓を生かすために制定されたものですが，総論的なリスクマネジメントを対象にしています。
これらに対して，ＢＣＭでは，そのうちの「事業継続」に限定した具体的に立案・実施・推進する場合の具体的な方法論です。
ＣＰ（コンティンジェンシープラン：緊急時対応計画）: ＢＣＰもＣＰもインシデント発生時の対応計画ですが，ＣＰは緊急事態発生直後の行動を中心とした計画であるのに対し，ＢＣＰは事業の継続性の観点からビジネスインパクト分析に基づいて計画するのが特徴です。
ＳＬＡ（サービスレベルアグリーメント）: 情報システムの構築・運用・保守，データ保存などを外部に委託していることが多くあります。そのときは，ＳＬＡの重要項目として，目標復旧時間を定めること，その具体的な方法を取り決めておくことが望まれます。

国のガイドライン

経済産業省「事業継続計画策定ガイドライン」（2005年3月）

http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

主にＩＴ事故を対象として，ＢＣＰの実務者がＢＣＰ作成するときに参考とするべき，基本的な考えかた，具体的な計画の構築手順，検討項目などを網羅的に記載しています。

　本文
　　第Ⅰ章　基本的考え方
　　　ＢＣＰの必要性，求められる背景，ＢＣＰの特性，世界と日本の動向
　　第Ⅱ章　総論（フレームワーク）
　　　ＢＣＰ策定での考慮事項，組織体制，ＢＣＰ策定の手順，教育・訓練，維持・管理
　　第Ⅲ章　ＢＣＰ策定にあたっての検討項目
　　　発動，業務再開，業務回復，全面復旧のフェーズでの対応ポイント
　　　リスクコミュニケーションの重要性
　　第Ⅳ章　個別計画（ケーススタディ）
　　　大規模システム障害，セキュリティインシデント，情報漏洩，データ改ざんへの対応
　参考資料集
　　参考１ 各フェーズにおける実施項目
　　参考２ 対策本部室に備えるべき設備・備品類チェックリスト
　　参考３ フェーズ毎の対策本部の役割
　　参考４ フェーズ毎の各チームの役割
　　参考５ システム関連BCP一覧表の項目
　　参考６ 代替手段の検討項目事例
　　参考７ 総括の項目（システム関連）
　　参考８ ベストプラクティス：BCP構築事例


ＢＣＰプロジェクトの組織体制の例	検討項目の全体像とポイント	緊急連絡ルール（システム障害関連）
（拡大図）	（拡大図）	（拡大図）

経済産業省「事業継続計画策定ガイドライン」2005年3月
企業における情報セキュリティガバナンスのあり方に関する研究会報告書参考資料
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

内閣府「事業継続ガイドライン」

http://www.bousai.go.jp/kyoiku/kigyou/keizoku/sk_04.html

「事業継続計画策定ガイドライン」と比較して，次の特徴があります。
　　１　対策をＩＴだけでなく，業務全般を対象にしている。
　　２　逆に，脅威を自然災害，特に地震を対象にしている。
　　３　そのために，地域との連携を重視している。
　　４　全体の考えかたを主にして，具体的なＢＣＰ作成には触れていない。
　　５　経営者のためのチェックリストを添付している。
【詳細】

中小企業庁「中小企業ＢＣＰ策定運用指針」（2006年2月）

http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_00.html

中小企業は，財政的能力が弱いために，災害等の被害が事業継続に深刻な打撃を与えることが多いのに，事業継続への成熟度が未熟な面があります。
　この指針は，経済産業省中小企業庁が，中小企業経営者が自らＢＣＰを策定し運用することができるよう，わかりやすく解説したものです。【詳細】

大規模災害において事業継続を図るためには，
　　１　優先して継続・復旧すべき中核事業を特定する
　　２　緊急時における中核事業の目標復旧時間を定めておく
　　３　緊急時に提供できるサービスのレベルについて顧客と予め協議しておく
　　４　事業拠点や生産設備、仕入品調達等の代替策を用意しておく
　　５　全ての従業員と事業継続についてコニュニケーションを図っておく
ことが重要であると指摘して，次の内容になっています。

　　1. はじめに
　　2. 基本方針と運用体制
　　3. 策定運用(基本，中級，上級)
　　　　事業の理解，ＢＣＰの準備，ＢＣＰの策定，ＢＣＰ文化の定着，
　　　　ＢＣＰの更新，自己診断など
　　4. 緊急時のＢＣＰ発動(共通)
　　　　発動フロー実施項目，初動対応のポイントなど
　　5. 財務診断モデル(基本，中級，上級)
　　　　復旧費用の算定，損害保険の整理，緊急時の資金財務診断と対策など
　　6. 事前対策メニュー(共通) 
　　7. ＢＣＰの様式類
　　　　基本方針策定，運用体制，中核事業影響度，ボトルネック資源など
　　8. ＢＣＰ関連資料
　　9. 用語集

「事業継続計画策定ガイドライン」「事業継続ガイドライン」と比較して，次の特徴があります。
　　１　対象企業の成熟度に応じて基本・中級・上級に分けて説明しています。
　　　　　　ステップバイステップで改善することが重要だとしています。
　　２　特に復旧費用や保険など財務面の対策を重視しています。
　　３　ＢＣＰで作成するべき各種文書のひな型を提供しています。
　　　　　　これらを作成することにより，ＢＣＰのベースを整備するのが目的です。

経済産業省「ＩＴサービス継続ガイドライン」（2008年9月）

https://www.meti.go.jp/policy/netsecurity/downloadfiles/itsc_gl.pdf

本ガイドラインは、先に策定された「事業継続計画策定ガイドライン」のＩＴにかかる部分について、実施策等を具体化するものとして策定したものです。

（拡大図）

用語の定義

ＩＴサービス
ＩＴサービスとは、組織における業務の遂行に際して必要となるＩＴ及びＩＴに関連する体制の組み合わせによって提供される機能であり、その機能が組織外部により提供されるものであるか否かは問わない。（基幹系システムだけでなく電子メールや表計算などＥＵＣ系のシステムも対象にしています。しかし、組み込み系システムは提供者や対等手段が特殊なことから対象にしていません」。）
ＩＴサービス継続
ＩＴサービス継続とは、事業継続の一部であり、災害、事故等の発生に際し、ＩＴサービスの中断・停止6による事業継続に与える影響を、求められるサービスレベルと対策に必要なコストとの関係の中で最適化するための取り組みである。
ＩＴサービス継続マネジメント
組織のマネジメントシステム全体の中で、事業リスクに対する取り組み方に基づいて、ＩＴサービス継続の計画、実装、運用、維持及び監査に係る部分。
ＩＴサービス継続戦略
組織の中長期的戦略の下に位置づけられ、ＩＴが事業継続に与える影響の観点から組織が定めるべき中長期的目標、対策の方向性及びリソースの配分等を定めたもの。なお、ここでいう「組織の中長期的戦略」には、ＩＴ戦略や、事業継続計画のうち経営戦略に係る部分等が含まれる。
（事業継続計画→ＩＴサービス継続戦略→ＩＴ戦略（ＩＴガバナンス）　の位置づけになります。）
情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い。
（ＩＴサービス継続戦略と情報セキュリティの接点として、特に可用性が重要です。）

ＩＴサービス継続マネジメントのフレームワーク

ＩＴサービス継続マネジメントは、次の構成になっており、ＰＤＣＡサイクルにより継続的改善を行うこととしています。

（拡大図）

上図での（4.2.1）などは、本ガイドラインの目次の番号と対応しています。【目次表示】


ＩＴサービス継続ガイドライン　目次
　　1. 背景と目的
　　　　1.1 背景
　　　　1.2 目的
　　　　1.3 本ガイドラインの位置づけ
　　2. ＩＴサービス継続
　　　　2.1 ＩＴサービス継続とは
　　　　2.2 本ガイドラインの利用者
　　3. 定義
　　4. ＩＴサービス継続マネジメント
　　　　4.1 ＩＴサービス継続マネジメントのフレームワーク
　　　　4.2 ＩＴサービス継続戦略
　　　　　　4.2.1 業務プロセスの ＩＴ基盤への依存性
　　　　　　4.2.2 ＩＴサービス継続の要件定義
　　　　　　4.2.3 リスクの評価
　　　　　　4.2.4 戦略策定
　　　　4.3 ＩＴサービス継続計画
　　　　　　4.3.1 計画（文書）の策定
　　　　　　4.3.2 計画に記載される項目
　　　　　　4.3.3 緊急時におけるセキュリティ水準の低下
　　　　4.4 ＩＴサービス継続体制の実装、運用、維持及び監査
　　　　　　4.4.1 実装、運用及び維持
　　　　　　4.4.2 監査
　　5. 管理項目
　　　　5.1 ＩＴへの依存性の検討
　　　　5.2 システムアーキテクチャの検討
　　　　5.3 技術的対策
　　　　　　5.3.1 データレプリケーション方式
　　　　　　5.3.2 システムレイヤ方式
　　　　　　5.3.3 仮想化技術と構成管理
　　　　　　5.3.4 ネットワーク回線  35
　　　　5.4 運用的対策
　　　　　　5.4.1 従業員
　　　　　　5.4.2 ワークスペース
　　　　　　5.4.3 外部サービス
　　　　　　5.4.4 サービスレベル管理
　　　　　　5.4.5 テスト・点検
　　　　　　5.4.6 監査
　　6. 参照基準
　　　　6.1 情報セキュリティ
　　　　6.2 事業継続
　　　　6.3 ＩＴサービス等