SAAJ近畿支部第165回定例研究会報告 (報告者: 荒町 弘)

会員番号 1709 荒町 弘

1.テーマ 「事業継続計画(BCP)の概要とIT-BCPについて」
2.講師 京セラ株式会社 本社 経営推進統括部 経営企画部 事業継続計画課責任者 野原 英則 氏
3.開催日時 2017年3月17日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師の所属する組織では、2011年の東日本大震災の後、事業継続に対する会社の取り組みを明確にすべく、経営企画部門に組織を設置し、BCP策定に取り組んで来た。講師の野原氏はその部署の責任者としてBCPの運用状況の点検評価及び継続的な改善を担っている。
企業にとってBCP策定と運用は経営上の必須事項であるとの認識のもと、IT部門での経験もいかしてIT-BCPの策定と運用管理についても担当している。企業にとってのBCPとは何なのか、という基礎部分からステップを踏んだBCP策定の手順の紹介、そして、そのステップを応用したIT-BCP策定手法について、国が示すガイドラインを活用しての取り組み方法を紹介いただいた。

(第1部)事業継続計画(BCP)概論

事業継続への取り組みが高まりつつある背景と事業継続計画とは、といった基本部分の解説について、内閣府の示すガイドラインでの定義と国際規格であるISO22301の定義について説明いただいた。内閣府公表の日本国内におけるBCPの策定状況としては、大企業では「策定済み」が6割程度、「策定中」を合わせると8割程度の普及率であるが、中小企業においては、「策定済み」が3割程度、「策定中」を加えても4割程度の普及率であり、まだまだこれからという感が強い。また、BCPの策定はできたが、実効性のあるBCPとするためには、定期的な訓連や点検評価による継続的な改善が必須となるが、企業の現場では、なかなかそのような時間をつくること自体が難しいといった現実がある。
次に、BCP策定の基本的なステップとして、方針策定から是正・見直しまでを7つのステップに分けてその取り組みについて解説いただいた。ポイントは以下のとおり。

【ステップ1:方針策定】
全てを守るのは難しいという前提でもって、事業戦略やステークホルダーの要求に基づき方針策定から継続的に改善していくための体制を確立する必要がある。

【ステップ2:リスク/事業影響度分析】
災害の特定から事業への影響を確認し、目標復旧時間/レベルを考える。重要な経営資源は5M+1E+1Iの視点で分析する。重要な経営資源が想定災害発生時に受ける影響を予測し、かつ、現在の経営状況でどの程度の事業中断が許容できるのかを把握する。

【ステップ3:戦略・対策の検討・決定】
重要な経営資源に対する対策の考え方として、「被害を最小化するための対策」「被災したとしても早期に復旧するための対策」「復旧するまでの代替策」の3段階で考える必要がある。また、早期復旧対策を考えるプロセスでは、原因から想定被害を導き出す原因事象で考えるアプローチだけでなく、被害が起こった場合にどうするか、といった結果事象から対策を考えるアプローチも有効である。事業継続戦略を考えてから対策に考える方法もあるが、対策を考える中で事業継続戦略が決まるという考え方もある。

【ステップ4:対策実施】
BCPは経営であるという認識のもと、リスクを許容する選択肢やリスクファイナンスで対応することも必要。

【ステップ5:行動計画の作成】
初動と復旧のそれぞれのフェーズにおいて、時間の流れ(タイムライン)に応じた組織のとるべき行動と役割分担を明記するようにする。各組織間で相互の行動を理解し合い、各部門が連携のとれた対応行うことが重要。

【ステップ6:訓練実施】
自部門の復旧対応が他部門の復旧の妨げとなることがあるため、全体で調整し、全体を俯瞰した事業復旧が求められる。

【ステップ7:是正・見直し】
是正・見直しの対象が、特定組織の改善事項であるのか、他組織に共有すべき改善事項なのかを判断し、他組織に共有すべき改善事項があれば、組織全体に是正を促す。あくまで経営判断として行うことであるとの認識事項である。

(第2部)「中央省庁における情報システム運用継続計画ガイドライン」をもとにIT-BCPを考える

中央省庁の情報システム担当者に向けのガイドラインとして手引書である標題のガイドラインを企業の情報システム担当者向けとして読み替えてみた。具体的には、IT-BCPの策定と運用の流れについて、第1部で紹介した活動ステップ1~7と比較して解説いただいた。

1.基本方針の決定
優先復旧すべき重要システムについて定め、合意形成する段階である。ポイントは業務システムだけでなく、そのシステムを支える共通情報インフラが対象範囲から漏れないようにすること。

2.実施・運用体制の構築
実施・体制を考えるうえでのポイントは、IT部門の位置づけである。全社的なIT部門であるのか、例えば事業部内IT部門であるのかとうことである。

3.想定する危機的事業の特定
IT-BCPの対象とする危機的事象について決定する。ここでのポイントは、関連部門の業務継続計画で対象とした危機的事象だけでなく、情報システム特有の危機的事象(故障・ウイルス感染・不正アクセス等)も対象として考え、関係部門やユニットごとのBCPとの整合性を持たせること。

4.情報システムの復旧優先度の設定
この段階でのポイントは、優先業務と情報システムとの関連を整理することである。IT担当と業務担当の目線は異なるということを前提に、部門を越えた十分なコミュニケーションを取り、優先復旧後の設定を行う必要がある。目標復旧時間(IT-RTO)設定にあたっては、代替手段による業務継続も考慮したうえで優先復旧対象業務のRTOを基準として設定する。

5.被害状況の想定
危機的事象が発生した際に重要な情報システムに係る重要な経営資源を明らかにする。重要な経営資源の選定は、5M+1E+1I(*)の視点で行うということがポイントである。
(*) 5M:Machine(機械・設備)、Material(資材品・サービス)、Man(作業者)、Method(作業方法)、Measurement(検査・測定) 1E:Enviroment(環境) 1I:Information System(情報)
また、実効性ある対策を策定することが目的であるため、軽すぎる被害状況の想定にしないことが重要である。

6.現状対策レベルの確認と脆弱性の評価
ここでの留意すべき点は、情報システムごとに、IT-RTOを達成できる対策レベルにあるのかを評価する。情報システムの復旧継続を困難とさせる重大な脆弱性について最低限評価しておく必要がある。
・危機的事象発生時の体制と連絡方法の整備状況
・同一拠点内でのハードウェアの対策状況
・重要なデータのバックアップ状況
・ハードウェアやソフトウェアの再調達が困難になる可能性の有無の把握

7.構成要素ごとの目標対策レベルの設定(復旧戦略の策定)
情報システムをIT-RTO内に復旧させるための、復旧対策の計画を立案し、目標復旧レベルを設定し、目標レベルを達成できるように管理していくことを定める(復旧戦略の策定)。

8.事前対策計画の検討
目標対策レベルと現状対策レベルのギャップを解消し目標対策レベルに近づけるための方策をシステムごとに検討し、事前対策計画を作成する。予算等の関係から、目標として定めた対策をするに実施することが難しい場合には、「優先的に取り組むべき対策」を整理していくことが望ましい。

9.非常時の対応計画の検討
非常時の対応として、まずはじめに重要なことは、現場でリーダーシップを発揮して組織をあるべき方向・活動に導くキーマンの存在である。いざというときに、このような行動をとれるキーマンを育成する、あるいはそのような意識付けを行っておくことが重要である。また、システムベンダやOB・OGによる外部からの応援なども考えておく必要がある。

10.教育訓練計画・維持改善計画の検討
教育訓練における目的は、大きく以下の3つがある。
・平常時の情報システム運用継続計画の維持改善活動への理解の向上
・非常時対応計画の理解と対応系能力の向上
・事前対策内容の動作確認と検証

 

(第3部)「IT-BCP策定モデル」をもとに監査の視点で、IT-BCPの課題を考察する

NISC(内閣サイバーセキュリティセンター)から「IT-BCP策定モデル」が示され、その中で、東日本大震災の事例をもとに検討すべき諸課題について指摘しており、実効性の高い計画策定のモデルとして取りまとめが行われている。以下は、諸課題の例である。
(1)非常時の意思決定に関する在り方
(IT-BCP策定時にIT部門と関連部門を含めた連携体制づくりの必要性)
(2)非常時の情報収集・伝達・発信や業務系の情報システムの在り方
(災害発生後の情報システムの制約事項(リソース状態等)を前提とした計画の必要性)
(3)データの消失を回避するための対策の在り方
(大規模災害時に同時被災しない場所でのデータ保管について)
(4)教育・訓練の在り方
(訓練は、情報システム切替/切戻の手順確認+IT-BCPの継続的改善も目的であるということ)

実効性の高いIT-BCPであることをどのように確認・評価すればよいか。野原氏が実際に監査するにあたり、確認すべきポイントについて紹介いただいた。
・目標復旧時間(RTO)に対して訓練時の結果はどうであったか。
(訓練は2年に1回くらいの頻度で行っている)
・本番系と別サイトに構築したコールドスタンバイ環境とのデータの整合性。
・復旧作業にあたるオペレータの移動時間。

(所感)

このたびの講演では、実効性あるIT-BCPの策定とその維持管理に必要となる準備から対策の検討と実践について、細かな点を含めて理解を高めることができました。ご説明の内容をお聞きして、各種ガイドラインの読み込みと、野原氏ご自身が所属企業の事業継続計画の実践責任者として日頃実践していることから得られる知見の豊かさを感じました。
経営層に対してIT-BCPの必要性を説明しても、経営に資するIT-BCPという観点で理解を得るのは難しいと感じていました。IT-BCPは戦略の一部であり、災害発生時の業務復旧戦略としてのIT-BCPという認識であれば経営層からの理解も得やすいのでは考えます。参考となる講演、ありがとうございました。

以上