こんにちは。スプラッシュトップ編集部です。
ITシステムが企業活動を行ううえで欠かせないものとなるにつれ、有事の際にもITシステムを継続的に運用できる体制の確保が求められるようになりました。
そこで注目されるようになったのが「IT-BCP」です。
この記事では、BCP・IT-BCPの概要から実現に向けた具体的な対策方法やポイントについて解説します。
BCP対策とIT-BCP
BCP(Business Continuity Plan)とは、日本語にすると事業継続計画となり、災害発生時や非常事態においてもビジネスを継続できるよう、事前に計画を立てておくことを意味します。
具体的には、非常時のリスクと中核業務への影響を把握し、復旧を優先すべき業務やシステム・設備を検討した上で復旧手順を策定することです。
各部門がそれぞれの業務についてBCP対策を行ないますが、なかでもITシステムを中心としたBCPをIT-BCPと呼びます。
IT-BCPにおいては、災害・パンデミック・サイバー攻撃などのあらゆる非常事態を考慮し対策計画を立てていきますが、マルウェア感染なども発動の条件となるため、ほかの分野比べてBCP発動の判断が難しいとされています。
しかし、発動が遅れるほど被害が拡大・深刻化するおそれがあるため、検知や判断の方法の策定もIT-BCPでは非常に重要になってきます。
IT-BCPの必要性
業務のIT化が進んだことで、ITシステムは企業活動の中核をなす存在となりました。そのため、あらゆる業務がITシステムに依存しており、災害などで利用できなくなると企業活動そのものへ大きな影響を与えます。
また、サイバー攻撃は年々巧妙化・多様化し続けており、企業が持つ情報は常に危険と隣り合わせの状態です。
加えて、新型コロナウイルスのようなパンデミックによる企業活動への影響も問題視されています。
このような非常事態に対して、事前に準備し対応できるかどうかは、今後の企業活動の行く末に大きく影響するでしょう。
企業活動を継続的・安定的に行ない、存続し続けるために、IT-BCPは必要不可欠なものといえます。
IT-BCPを実現するためには
IT-BCPの実現に向けた計画の策定と具体的な対策方法について解説します。
計画の策定
IT-BCP において最も重要となる計画の策定にあたっては、国が発行するガイドラインが多数存在するため、それらを参考に自社に最適な計画を策定しましょう。
・ITサービス継続ガイドライン(経済産業省)
・政府機関等における情報システム運用継続計画ガイドライン(内閣官房長セキュリティセンター)
・事業継続ガイドライン(内閣府)
など
上記は官公庁を基準としたガイドラインですが、一般企業においても基本的な考え方は変わりません。これらのガイドラインを参考にすることでスムーズに計画が策定できます。
ここでは、“政府機関等における情報システムの運用継続計画ガイドライン”をもとに、計画策定時に検討するべき9つの項目を簡単に紹介します。
1.基本方針の決定
計画の適用範囲・基本方針を定めます。
2.策定・運用体制の構築
計画の策定・運用にかかわる体制を構築します。
3.危機的事象の特定
計画の対象とする危機的事象を調査・検討して特定します。
4.被害想定
危機的事象が発生した場合の情報システムの被害状況を想定します。
5.情報システムの復旧優先度の設定
非常時の優先業務を確認し、対象の情報システムとの関連性を整理します。目標復旧時間やシステム停止時の影響・代替手段を踏まえて復旧優先度を設定します。
6.情報システム運用継続に必要な構成要素の整理
非常時に必要な情報システムを支える構成要素を整理し、構成要素ごとに復旧優先度に応じた目標対策レベルを設定します。
7.事前対策の計画とその実施
情報システムの構成要素ごとに現状の対策を確認してリスク評価を実施し、運用継続にかかわるリスクを整理します。また、リスク評価を踏まえた事前対策計画を作成します。
8.危機的事象発生時の対応計画の検討
非常時に情報システム運用を継続するために必要な体制・役割を決定し、具体的な対応方法を対応計画として整理します。
9.教育訓練・維持改善の計画とその実施
事前対策や対応計画の効果を高めるために教育訓練計画を作成します。併せて、IT-BCP計画を定期的に見直すための維持改善計画も作成します。
以上が計画のベースとなる9項目です。
IT-BCPの計画を策定するうえでは、復旧計画まで含めた全体的な可視化が重要となります。非常時に想定されるリスクや取るべき対応、各システムの責任者なども把握できるように作成しましょう。
また、一度策定したら終わりではなく、状況に応じた見直しと改善を継続的に行うことが求められます。
具体的な対策方法
IT-BCPの具体的な対策方法の例として、次のようなものが挙げられます。
・データのバックアップ
非常時に重要なデータを失うことは、企業に多大な影響を与えかねないためバックアップをとることが重要です。
また、システムの中核をなすサーバー自体のバックアップをとっておくことで、非常時でも容易に復旧できるようになります。
・代替機の用意、冗長化
同様の考え方で、システムを構成するサーバーなどの機器は代替機を用意することや、冗長化することでシステムを継続的に運用可能にすることが一般的です。
サーバーやネットワーク機器を多重構成とし、仮に1台が稼働できなくなった際に代わりの機器が稼働することで業務を継続できるようになります。
・BCP発動時の連絡体制を整える
併せて、BCPの発動における責任者を明確にし、BCP発動時の連絡体制を事前に整えることで、発動時の対応がスムーズになります。
発動時には普段利用するメールなどが利用できなくなることも考えられるため、代替となる連絡手段についても検討するとよいでしょう。
IT-BCP実現のポイント
IT-BCPを実現するためのポイントとして、おさえておくべき項目について紹介します。
策定した計画の周知徹底・訓練の実施
BCP計画を策定しても、いざという時に各社員が適切に動けなければ意味がありません。
例えば、災害発生時に誰がどのような対応をするべきなのか、どのように連携して業務を継続するのか、といった意識を全社的に統一する必要があります。
そのために、IT-BCP計画を策定したのちに講習などを実施する、防災訓練のようにシステムに問題が発生したと仮定した非常訓練も定期的に実施すると良いでしょう。
災害やシステム障害が発生した際にスムーズに動けるように準備することがポイントです。
CSIRTの設置
CSIRT(Computer Security Incident Response Team)は、インシデントの原因究明や二次被害防止を目指して活動する組織です。
災害時だけでなくシステム障害やサイバー攻撃などの際にも原因の特定や事業の復旧・存続を円滑にするために活動します。
IT-BCPはあらゆる非常事態を考慮する必要があるため、セキュリティ事故対応のための体制としてもCSIRTを社内に設置することを検討しましょう。
テレワークの活用
コロナ禍でテレワークが普及したように、オフィス外でも業務を継続できるテレワークはIT-BCP対策として有効です。
テレワークは“いつでも、どこでも仕事ができる働き方”であり、災害などでオフィスに出社することが難しい状況でもオフィス外で業務を継続できます。
さらにテレワーク環境の構築は、IT-BCP対策としてだけでなく、通常時の業務効率化や社員の満足度を高める効果も期待できるため、費用対効果の高い施策と言えるでしょう。
IT-BCP対策としてのテレワークにおすすめの環境
IT-BCP対策としてテレワークを取り入れるのであれば、事前にテレワーク環境を用意し、社員がいつでも使えるようにしておく必要があります。
BCPはいつ発動されるか予想がつかないため、既存の環境下で素早く導入ができ、社員の操作も簡単なリモートアクセス手段を選択するとよいでしょう。
その観点で最適な手段として多くの企業で選択されているのが、リモートデスクトップです。
また、IT-BCP対策は企業活動とともに継続しなければ意味がないため、コスト面も重視する必要があります。
そこでおすすめするリモートデスクトップソリューションが“Splashtop”です。
Splashtopなら初期費用が不要で低コストで導入でき、既存のIT環境を変更する必要もないためすぐにテレワークを始められます。
ユーザーはアプリを開くだけで会社にあるPCの環境をそのまま利用でき、高速描写で遅延もないため出勤時と変わらない業務遂行が実現できます。
さらに、Splashtopではセキュリティ強化やBCP対策として“ロッカーPC”というスタイルを推奨しています。
ロッカーPCとは、仮想ディスプレイアダプタを装着したコンパクトなホストPCをロッカー内に格納しておき、社員は社内外からSplashtopでロッカーにあるPCをリモートコントロールする方法です。
従来型のリモートデスクトップでは、各デスクにPCを設置して利用しますが、災害時にはホストPCが損壊する危険性や盗難・紛失による情報漏えいなどのリスクが存在します。
ロッカーPCの仕組みを用いればそれらのリスクを回避し、非常時も変わらない環境で業務を遂行できます。
通常時の利便性向上と併せてIT-BCP対策も実現できるため、テレワーク環境にはSplashtop×ロッカーPCがおすすめです。
まとめ
ITシステムに適用したIT-BCPは、自然災害だけでなくサイバー攻撃やパンデミックなどのあらゆる非常事態に対して対策計画を立てるものです。
企業活動の中核を担うITシステムをどのような状況でも利用できるようにすることは、継続的な企業活動のために欠かせません。
IT-BCPの策定においては、ガイドラインが数多く公開されており、IT-BCPを実現するためのソリューションも多く登場しています。
特に昨今では業務の効率化とIT-BCPを両方実現できるテレワーク環境の構築に注目が集まっています。
まずはテレワークでIT-BCPを始めたいという方は、Splashtopのような導入コストやハードルの低いリモートデスクトップソリューションの導入を検討してみてはいかがでしょうか。
