Web教材一覧>
法規・基準
事業継続計画(BCP/BCM)
学習のポイント
地震のような大規模災害は事業の継続ができなくなる危険がありますので,通常のセキュリティ対策とは質的に異なる対策が求められます。事業継続のための計画をBCP,それをマネジメントすることをBCMといいます。
本章では,BCP/BCMについて,
その重要性と概念
国の策定したガイドライン
について学習します。
キーワード
BCP(事業継続計画),BCM,BCMS(事業継続マネジメントシステム)、ISO 22301, JIS Q 22301、ディザスタリカバリ,ビジネスインパクト分析,CSR(企業の社会的責任),事業継続計画策定ガイドライン,事業継続ガイドライン,中小企業BCP策定運用指針
事業継続計画の必要性
事業継続の必要性
地震,火災,テロなどもよる大規模なシステム障害が発生すると,基幹事業が停止している間の利益損失が発生しますし,取引先や顧客を失う大きな原因にもなり,事業からの撤退につながることがあります。
また,自社の事業停止が取引先や顧客の事業停止へと影響が連鎖することもあります。さらに,業種や情報システムによっては,社会全般に大きな影響を与えることになります。
ですから,企業には危機に直面したときでも
許容限界以上のレベルで事業を継続させること
許容される期間内に操業度を復旧させること
ことにより,事業を継続する社会的責任があるのです。
ディザスタリカバリ(Disaster Recovery)
システム障害で発生するトラブルを想定して,発生時の社会的影響などを最低限に抑える対策のことです。
経済産業省「事業継続計画策定ガイドライン」では,ディザスタリカバリの重点対処項目として、「大規模なシステム障害」,「セキュリティインシデント」,「情報漏えい,データ改ざん」を示しています。
復旧の目標・尺度
ディザスタリカバリや事業継続計画においては、災害発生から再開するまでの内容や時間を明確にしておく必要があります。
- 目標復旧時点(Recovery Point Objective:RPO)
- 深刻な事態を避けるには、災害前の「どの時点に戻せればよいか」の目標です。
重要業務のバックアップを取る頻度などの目安になります。
- 目標復旧時間(Recovery Time Objective:RTO)
- 深刻な事態を避けるには「何時間で復旧できればよいか」の目標です。
- 目標復旧レベル(Recovery Level Objective:RLO)
- 業務より復旧の優先度が異なります。重要な業務は短時間で復旧する必要がありますが、そうでない業務は後回しにして時間をかけて復旧すればよいでしょう。
RPOは「(段階ごとに)どの業務をどこまで復旧できればよいか」の目標です。それを実現する目標時間を目標復旧時間といいます。これと合わせて「何を、どこまで、いつまでに」となります。
- 最大許容停止時間(Maximum Tolerable Period of Disruption:MTPD)
- 目標復旧時間が「目標」であるのに対して、これは「ここまでに復旧しないと深刻な事態になる」という「期限」です。
BCP/BCM/BCMS
事業継続のための計画立案や実施をBCP(Business Continuity Plan)、そのマネジメントシステムをBCMS(Business Continuity Management System)といいます。
- BIA(ビジネスインパクト分析)
- 事業継続に重要な箇所・事象(ボトルネック)を特定して,対策を検討・実施することです。どのシステムがダウンしたり,どのデータが消滅したら,事業にどう影響するか,復旧するのにどの程度の時間がかかるかなどの分析です。これがBCP策定のベースになります。
- BCP(Business Continuity Plan)
- 企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
例えば、重要機器の二重化、工場の分散、調達先の複数化、同業他社との緊急時協力などがあります。
- BCM(Business Continuity Management)
- BCPを策定し継続的運用するマネジメントシステムのことです。①事業の理解、②BCPサイクル運用方針の作成、③BCPの構築、④BCP文化の定着、⑤BCPの訓練、BCPサイクルの維持・更新、監査といった活動をPDCAサイクルとして継続的に行い向上させること。
- BCMS(ISO 22301, JIS Q 22301)
- 「社会セキュリティ− 事業継続マネジメントシステム−要求事項」で、組織が効果的なBCMS(事業継続マネジメントシステム)を策定し,運用するための要求事項について規定するものです。
事業継続をマネジメントシステムとして捉え、経営者のリーダーシップのもと、PDCAサイクルにより継続的に維持改善すべきものであるとして、実現すべき事項を示しています。
この要求事項に適合していることを第三者が認定するBCMS適合性評価制度があります。
BCMSと他基準等との関連
事業継続は社会的責任の重要な側面ですし,システムの維持は情報セキュリティ対策での重要目標です。それでBCP/BCMは,多くの基準等に関係しています。
- CSR(Corporate Social Responsibility:企業の社会的責任)
- 企業が事業継続性を確保することは,顧客や取引先への製品・サービスの継続的供給,地域社会のライフラインや生活の保証につながります。BCMとCSRは互いに密接に関連するものであり,双方を推進していく必要があります。
- ISO 27001(ISMS),JIS Q 2001(リスクマネジメント)
- 情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO 27001は,情報セキュリティ全般を網羅したものですが,そこでも,「事業継続管理手続」「事業継続計画作成のための枠組み」など,BCMが重要な要素の一つになっています。
また,JIS Q 2001(リスクマネジメントシステム構築のための指針)は,阪神淡路大震災の教訓を生かすために制定されたものですが,総論的なリスクマネジメントを対象にしています。
これらに対して,BCMでは,そのうちの「事業継続」に限定した具体的に立案・実施・推進する場合の具体的な方法論です。
- CP(コンティンジェンシープラン:緊急時対応計画)
- BCPもCPもインシデント発生時の対応計画ですが,CPは緊急事態発生直後の行動を中心とした計画であるのに対し,BCPは事業の継続性の観点からビジネスインパクト分析に基づいて計画するのが特徴です。
- SLA(サービスレベルアグリーメント)
- 情報システムの構築・運用・保守,データ保存などを外部に委託していることが多くあります。そのときは,SLAの重要項目として,目標復旧時間を定めること,その具体的な方法を取り決めておくことが望まれます。
国のガイドライン
経済産業省「事業継続計画策定ガイドライン」(2005年3月)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf
主にIT事故を対象として,BCPの実務者がBCP作成するときに参考とするべき,基本的な考えかた,具体的な計画の構築手順,検討項目などを網羅的に記載しています。
本文
第Ⅰ章 基本的考え方
BCPの必要性,求められる背景,BCPの特性,世界と日本の動向
第Ⅱ章 総論(フレームワーク)
BCP策定での考慮事項,組織体制,BCP策定の手順,教育・訓練,維持・管理
第Ⅲ章 BCP策定にあたっての検討項目
発動,業務再開,業務回復,全面復旧のフェーズでの対応ポイント
リスクコミュニケーションの重要性
第Ⅳ章 個別計画(ケーススタディ)
大規模システム障害,セキュリティインシデント,情報漏洩,データ改ざんへの対応
参考資料集
参考1 各フェーズにおける実施項目
参考2 対策本部室に備えるべき設備・備品類チェックリスト
参考3 フェーズ毎の対策本部の役割
参考4 フェーズ毎の各チームの役割
参考5 システム関連BCP一覧表の項目
参考6 代替手段の検討項目事例
参考7 総括の項目(システム関連)
参考8 ベストプラクティス:BCP構築事例
経済産業省「事業継続計画策定ガイドライン」2005年3月
企業における情報セキュリティガバナンスのあり方に関する研究会報告書参考資料
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf |
内閣府「事業継続ガイドライン」
http://www.bousai.go.jp/kyoiku/kigyou/keizoku/sk_04.html
「事業継続計画策定ガイドライン」と比較して,次の特徴があります。
1 対策をITだけでなく,業務全般を対象にしている。
2 逆に,脅威を自然災害,特に地震を対象にしている。
3 そのために,地域との連携を重視している。
4 全体の考えかたを主にして,具体的なBCP作成には触れていない。
5 経営者のためのチェックリストを添付している。
【詳細】
本ガイドラインの構成は次の通りですが,「Ⅱ 事業継続計画および取組みの内容」が中心であり,事業継続の取組みの流れを図のように示しています。
ポイント
Ⅰ 事業継続の必要性と基本的考え方
Ⅱ 事業継続計画および取組みの内容
Ⅲ 経営者および経済社会への提言
別添チェックリスト
中小企業庁「中小企業BCP策定運用指針」(2006年2月)
http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_00.html
中小企業は,財政的能力が弱いために,災害等の被害が事業継続に深刻な打撃を与えることが多いのに,事業継続への成熟度が未熟な面があります。
この指針は,経済産業省中小企業庁が,中小企業経営者が自らBCPを策定し運用することができるよう,わかりやすく解説したものです。
【詳細】
大規模災害において事業継続を図るためには,
1 優先して継続・復旧すべき中核事業を特定する
2 緊急時における中核事業の目標復旧時間を定めておく
3 緊急時に提供できるサービスのレベルについて顧客と予め協議しておく
4 事業拠点や生産設備、仕入品調達等の代替策を用意しておく
5 全ての従業員と事業継続についてコニュニケーションを図っておく
ことが重要であると指摘して,次の内容になっています。
1. はじめに
2. 基本方針と運用体制
3. 策定運用(基本,中級,上級)
事業の理解,BCPの準備,BCPの策定,BCP文化の定着,
BCPの更新,自己診断など
4. 緊急時のBCP発動(共通)
発動フロー実施項目,初動対応のポイントなど
5. 財務診断モデル(基本,中級,上級)
復旧費用の算定,損害保険の整理,緊急時の資金財務診断と対策など
6. 事前対策メニュー(共通)
7. BCPの様式類
基本方針策定,運用体制,中核事業影響度,ボトルネック資源など
8. BCP関連資料
9. 用語集
「事業継続計画策定ガイドライン」「事業継続ガイドライン」と比較して,次の特徴があります。
1 対象企業の成熟度に応じて基本・中級・上級に分けて説明しています。
ステップバイステップで改善することが重要だとしています。
2 特に復旧費用や保険など財務面の対策を重視しています。
3 BCPで作成するべき各種文書のひな型を提供しています。
これらを作成することにより,BCPのベースを整備するのが目的です。
経済産業省「ITサービス継続ガイドライン」(2008年9月)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/itsc_gl.pdf
本ガイドラインは、先に策定された「事業継続計画策定ガイドライン」のITにかかる部分について、実施策等を具体化するものとして策定したものです。
用語の定義
- ITサービス
ITサービスとは、組織における業務の遂行に際して必要となるIT及びITに関連する体制の組み合わせによって提供される機能であり、その機能が組織外部により提供されるものであるか否かは問わない。
(基幹系システムだけでなく電子メールや表計算などEUC系のシステムも対象にしています。しかし、組み込み系システムは提供者や対等手段が特殊なことから対象にしていません」。)
- ITサービス継続
ITサービス継続とは、事業継続の一部であり、災害、事故等の発生に際し、ITサービスの中断・停止6による事業継続に与える影響を、求められるサービスレベルと対策に必要なコストとの関係の中で最適化するための取り組みである。
- ITサービス継続マネジメント
組織のマネジメントシステム全体の中で、事業リスクに対する取り組み方に基づいて、ITサービス継続の計画、実装、運用、維持及び監査に係る部分。
- ITサービス継続戦略
組織の中長期的戦略の下に位置づけられ、ITが事業継続に与える影響の観点から組織が定めるべき中長期的目標、対策の方向性及びリソースの配分等を定めたもの。なお、ここでいう「組織の中長期的戦略」には、IT戦略や、事業継続計画のうち経営戦略に係る部分等が含まれる。
(事業継続計画→ITサービス継続戦略→IT戦略(ITガバナンス) の位置づけになります。)
- 情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い。
(ITサービス継続戦略と情報セキュリティの接点として、特に可用性が重要です。)
ITサービス継続マネジメントのフレームワーク
ITサービス継続マネジメントは、次の構成になっており、PDCAサイクルにより継続的改善を行うこととしています。
上図での(4.2.1)などは、本ガイドラインの目次の番号と対応しています。
【目次表示】
ITサービス継続ガイドライン 目次
1. 背景と目的
1.1 背景
1.2 目的
1.3 本ガイドラインの位置づけ
2. ITサービス継続
2.1 ITサービス継続とは
2.2 本ガイドラインの利用者
3. 定義
4. ITサービス継続マネジメント
4.1 ITサービス継続マネジメントのフレームワーク
4.2 ITサービス継続戦略
4.2.1 業務プロセスの IT基盤への依存性
4.2.2 ITサービス継続の要件定義
4.2.3 リスクの評価
4.2.4 戦略策定
4.3 ITサービス継続計画
4.3.1 計画(文書)の策定
4.3.2 計画に記載される項目
4.3.3 緊急時におけるセキュリティ水準の低下
4.4 ITサービス継続体制の実装、運用、維持及び監査
4.4.1 実装、運用及び維持
4.4.2 監査
5. 管理項目
5.1 ITへの依存性の検討
5.2 システムアーキテクチャの検討
5.3 技術的対策
5.3.1 データレプリケーション方式
5.3.2 システムレイヤ方式
5.3.3 仮想化技術と構成管理
5.3.4 ネットワーク回線 35
5.4 運用的対策
5.4.1 従業員
5.4.2 ワークスペース
5.4.3 外部サービス
5.4.4 サービスレベル管理
5.4.5 テスト・点検
5.4.6 監査
6. 参照基準
6.1 情報セキュリティ
6.2 事業継続
6.3 ITサービス等