IT-BCPとは?ITシステムのBCP策定手順やポイントを解説
更新日 : 2023年02月08日
IT-BCPとは、ITシステムのBCP(事業継続計画)のことです。デジタル化が進み、ITシステムが業務を進める上で欠かせない存在となっている中で、IT-BCPの重要性が高まっています。
今回は、IT-BCPの概要・策定ステップ・対策内容といった、実践するための重要ポイントを確認していきましょう。
BCPとは
![]() |
BCP(Business continuity plan)とは、大きな災害や重大な事故などが発生した際に、企業が事業活動を継続できるようにするための計画のことです。「事業継続計画」とも呼ばれます。 BCPでは、災害や事故による事業への影響を最小限に抑え、できるだけ速やかに復旧させるため、以下のような項目について整理しておくことが必要です。 ◆BCPで検討しておくべきことの例 ・事業を復旧させる優先順位 ・復旧にかかる時間の目安・目標 ・拠点や設備などの代替案 |
IT-BCPとは
IT-BCPとは、ITシステムに特化したBCP(Business continuity plan)のことです。災害やサイバー攻撃などによってITシステムが停止すると、企業は大きな損失を被りかねないため、重点的にBCPを策定する必要があります。
BCP対策については以下の記事で詳しく解説しています。
IT-BCPの必要性
近年では、以下のような理由から、IT-BCPの必要性が高まっています。
・ITシステム活用の広まり
・サイバー攻撃の増加
・気候変動による水害の増加 など
ITシステム活用の広まり
上記のとおりビジネスシーンでITシステム活用が広まったことに伴い、ITシステムが停止すると、営業利益の喪失や社会的信用の失墜など、企業が被る損害も大きくなっています。このため、IT-BCPで、損失を最小限に食い止めることが重要です。
サイバー攻撃の増加
企業活動におけるITシステムの重要度が上がったことなどを背景に、サイバー攻撃も年々増加しています。攻撃手段も多様化しており、さまざまな種類のサイバー攻撃による被害が発生しています。
サイバー攻撃については以下の記事で詳しく解説しています。
情報セキュリティ10大脅威2023とは?犯罪のビジネス化についても紹介
気候変動による水害の増加
近年、日本各地で大雨や大規模な台風などによる水害が多く発生しています。水害の増加に地球温暖化などの気候変動が関連しているとの見方もあり、今後も水害などの大規模な自然災害が増えるとも言われています。
機械にとって水は大敵のため、水害などの自然災害がオフィスやデータセンターで発生すればITシステムが停止したり、データの破損が起きたりするリスクがあります。
だからこそ、リスクに強いITシステムの運用体制を構築するためには、IT-BCPが欠かせないと言えるでしょう。
運用センターSMAC(Solution Management and Access Center)は、お客様のシステムの早期復旧、システム運用をご支援しています。
IT-BCP策定のステップ
IT-BCPは、大まかには①基本的な方向性・体制を決める、②リスクや現状を分析する、③計画を策定するという3ステップで進めることで効果的に策定することができます。
IT-BCP策定の3ステップ |
|
【ステップ①】 基本的な方向性・体制を決める |
・IT-BCPの適用範囲や優先順位を決める ・IT-BCPを推進する体制を決める |
【ステップ②】 リスクや現状を分析する |
・自社で運用するITシステムにとってのリスクや発生しうる被害を分析する ・復旧の優先度を決める ・ITシステムを構成する要素を分析する |
【ステップ③】 計画を策定する |
・現状の対策の策定状況を把握する ・リスク発生時の対策や計画を策定する ・リスク発生時に備えた訓練や教育の計画を策定し実施 |
IT-BCP策定時のポイント
![]() |
IT-BCP策定時は、次の3つのポイントを押さえることで、実効性の高い対策を講じることができます。 ・経営層も交えて策定する ・従業員への周知・教育に注力する ・予算に合わせた範囲設定・サービス選定を行う |
経営層も交えて策定する
予算措置や組織全体に影響のある対策が必要になるIT-BCPは、経営層も交えて策定しましょう。最初から経営層が加わっていることで、意思決定が迅速化できることに加え、組織内の各部署の協力も得やすくなるからです。
従業員への周知・教育に注力する
IT-BCPを実効性の高いものにするためには、従業員への周知・教育に注力することが欠かせません。
従業員には、BCPの内容を周知することに加え、セキュリティ教育もあわせて行いましょう。セキュリティに関する知識がないと、サイバー攻撃やマルウェア感染に正しく対応できず、被害のリスクが増えてしまうためです。
従業員の知識&モラル向上を支援「セキュリティ教育サービスSeculiteracy」
予算に合わせた範囲設定・サービス選定を行う
IT-BCP策定時は、予算に合わせた範囲設定・サービス選定を行うことがポイントです。対策は万全であればあるほど業務継続性は高くなりますが、費用もかかるからです。
対象範囲の設定が難しい場合は、IT運用の専門家の手を借りることも選択肢の1つとして検討しましょう。
専門家のアドバイスを参考にすることで、コストパフォーマンスの高い範囲設定・サービス選定を実現可能です。
ITIL®のエキスパートによる「ITサービスマネジメント運用改善支援サービス」
IT-BCPの具体的な対策
IT-BCPに取り入れるべき具体的な対策例は、以下のとおりです。
・データのバックアップ
・テレワーク環境を整える
・社内にCSIRTを設置する
・セキュリティ運用をアウトソーシングする
データのバックアップ
![]() |
データのバックアップは、IT-BCPで欠かせません。データさえ生き残っていれば、災害時やサイバー攻撃時に、速やかにシステムを元通りの状態に戻せるからです。 IT-BCPに効果的なバックアップを行うには、下記の2点に注意しましょう。 ・もしもの時にもスムーズに短時間でデータを戻せる方法を選ぶ ・バックアップデータは別のメディアに保存し、別の場所に保管する |
テレワーク環境を整える
テレワーク環境を整えることも、IT-BCPの対策として有効です。自宅などの社外からでも業務を進められる体制を整えておくことで、社屋の被災時や交通機関が動かないときでも、業務を継続できるからです。
テレワーク環境を整える際は、以下のポイントを押さえると、スムーズに環境構築ができます。
・ネットワークのセキュリティを高めておく
・テレワークの導入が難しいときは、出社とテレワークを併用するハイブリッドワークを検討する
・セキュリティやデータの安全性が高い仮想デスクトップの導入を検討する
「Microsoft Teams」でハイブリッドワーク環境を構築
どこでも・どんなデバイスも安全にアクセス「Windows365」
社内にCSIRTを設置する
CSIRT(Computer Security Incident Response Team)とは、情報セキュリティに関する問題について、予防や発生の検知・事後処理など総合的に対応する専門的な組織のことです。
社内にCSIRTを設置できれば、サイバー攻撃などに遭った際も速やかな復旧が可能で、被害を最小限に抑えることができます。
しかし、社内に人的リソースが不足しているなどの理由により設置が難しいケースも多いでしょう。そのような場合は、次項でご紹介するセキュリティ運用のアウトソーシングがおすすめです。
セキュリティ運用をアウトソーシングする
セキュリティ運用をアウトソーシングすることで、業務の負担を増やすことなく、セキュリティインシデントの適切な予防・対処ができるようになります。
セキュリティインシデントは時間を問わず発生リスクがあるため、セキュリティの専門家による支援が24時間365日受けられるアウトソーシング先を選ぶと安心です。
認定ホワイトハッカーによるセキュリティ運用サービス「MSS」
まとめ
ITシステムに特化したBCP対策であるIT-BCPは、サイバー攻撃や災害などのリスクを最小限に抑える上で、欠かせない対策です。ITシステムを停止に追い込むような事態は、どの企業にも起こり得るので、損失を出さないためにも早めに対策を行いましょう。
運用センターSMAC(Solution Management and Access Center)では、最新テクノロジーとITサービスのナレッジを統合し、お客様のビジネス環境を24時間365日体制で強力にサポートしています。
ITインフラ運用などのアウトソーシングをお考えの企業様は、ぜひお気軽にご相談ください。