WEBマガジン

「ITにかかる事業継続の動向と基本的な考え方について」

2012.03.07 株式会社オージス総研  島本 道夫

【事業継続を取り巻く規格やガイドラインの状況】

 あの大震災から早や1年が経過いたしました。3.11以降は、災害に関する関心が非常に高まった1年であったと思います。中でも各企業におかれましては、BCP(Business Continuity Planning事業継続計画)の策定やそれをつかさどるBCM(Business Continuity Management事業継続管理)の導入を検討、あるいは精度向上を図ったと思われますし、それに関わったご担当者様も多かったのではないでしょうか。

 ここで、事業継続を取り巻く状況をおさらいしておきたいと思います。
 事業継続計画あるいは、事業継続管理とは、何をどのように行えばよいのか?というと、規格があり体系化されていますので、それに則って整備するのが、常道かと思われます。
 この事業継続にかかる体系的な取り組みは、2003年の「BS PAS56 "Guide to Business Continuity Management"」から始まるとされる見方があります。

 (Tips) 
 ・ PAS(Publicly Available Specification)とは、一般的に利用可能な規格であり、策定の過程で公開された仕様のことです。逆に言うと、規格でもガイドラインでもありません。しかし、PAS56については、結果としてBS25999に置き換わった記述も多いとのことです。
  
 ・ ガイドライン(Code of practice)とは、×××した方がよい、という実践規範であり、規格ではありません。よって、認証する/されるということはありません。後述のISO27031(Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity)も規格ではなく、ガイドラインです。
  
 ・ 規格(Specification)とは、×××しなければいけません、という要求事項であり、その要求事項を満たしていることを認証する/しないということになります。

 その後、2006年11月にBS25999-1(Part1):事業継続マネジメントのための実践規範(ガイドライン)が発行され、2007年11月にBS25999-2(Part2):事業継続マネジメントのための要求事項(仕様)が発行されました。これらは、ITの観点というよりは、事業継続の観点で策定されたものであり、IT部門にとっては、なじみの薄い、さらに上位の概念について規定しているような印象があるかと思います。
 逆に言うと、ITにかかる部分が「足りていない」という見方もできます。それについては、BS25999-1:事業継続マネジメントのための実践規範が発行される前の2006年8月にPAS 77 IT Service Continuity Management が出版されていることからも推測できるかと思います。PAS77は、2008年12月に発行されたBS 25777 (Information and communications technologies continuity management - Code of practice)、つまり、ICT(情報通信技術)継続性マネジメントシステム構築のためのガイドラインの前身となるものです。このことから、事業継続のマネジメントシステムに占めるICT 継続のマネジメントシステムの重要性について、後日認識して規格を作ったのではなく、当初よりICTに関する別の規格を作成する必要性があったと認識していたという見方もできます。
 事業継続のためには事業を支えるICT の継続が欠かせないということで、BS25999はBS 25777によって充足されたという結果になると考えることができます。

 一方、国内に眼を向けてみると、各官公庁や各業界団体で、BCP/BCMにかかるガイドラインを発行しています。主だった官公庁では、経済産業省・中小企業庁・内閣府・国土交通省・総務省・金融庁などが各種ガイドラインを発行しています。
 ここでは、経済産業省を例に状況を確認します。
 2005年6月に官公庁の先駆けとなり、「事業継続計画(BCP)策定ガイドライン」を発行しています。
 本編は、
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf
50ページを超える文書ですが、ケーススタディ付の概要版スライドも公開されています。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide_gaiyou.pdf
 内容には、ITインシデントを想定したもの(大規模なシステム障害への対応・セキュリティインシデントへの対応・情報漏えい、データ改ざんへの対応)も含まれており、省庁の独自性が伺えます。
 さらに、2008年9月には、「ITサービス継続ガイドライン」が発表されました。これは、「事業継続計画(BCP)策定ガイドライン」を補足するというよりもITサービス継続に特化したという形で考えることもできます。
 他の規格やガイドライン(PAS77・BS25999・BS25777など)と相互に参照しながら、作られたものであります。私の知る範囲でもこの「ITサービス継続ガイドライン」を活用して、自社のBCP/BCMに(オージス総研のコンサルティングサービスを活用した/しないに関わらず)取り組んだという事例が散見されますので一定の評価がなされているようです。

 そして、昨年2011年3月には、BS25777をベースとしたIT-BCPの策定・維持管理に必要な活動やテクニックについて解説をした国際的なガイドライン ISO27031が発行されました。 ISO27031(Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity)は、情報技術 -セキュリティ技術-事業継続のための情報および通信技術の準備体制に関する指針ということになり、規格ではなくガイドラインになります。

ここまでの流れを図式で整理します。

事業継続を取り巻く規格やガイドラインの状況
図 1 事業継続を取り巻く規格やガイドラインの状況

 さて、このようにして整備されてきたITにかかる事業継続の体系ですが、ISO27031を例に内容を見ていくことにします。

【基本的な考え方】

 ISO27031(Information technology -- Security techniques -- Guidelines for information and communication technologyReadiness forBusinessContinuity)の中に頻出する用語に「IRBC」という単語があります。それは、「4章 略語」の中で定義されており、英語名の太字・下線文字による略称で、無理に和訳すると「事業継続のためのICT準備体制」ということになるでしょうか。「5章 概観」の中では、IRBCの役割、IRBCの原則、IRBCの要素、IRBCの成果及び便益、IRBCの構築、PDCAを用いたIRBCの構築とIRBCにかかるガイドラインが続きます。
 IRBCの原則には、5つの対応段階を想定しています。

IRBCの原則における5つの対応段階
図 2 IRBCの原則における5つの対応段階

  1. 平時には、インシデント防止のために、障害監視、不正監視、災害訓練などに取り組み、組織としての準備体制を怠りなく維持する活動を継続的に行うべきである。
  2. 以降は、インシデント発生時の対応を記しています。インシデント発生の際は、サービスへの影響を最低限に抑え、回復の労力を軽減し、サービス品質を維持できるような活動を行うべきである。
  3. 発生したインシデントへの対処は、効率的な回復とサービス停止時間の短縮、事態の深刻化を避けるようすべきである。
  4. インシデントからの回復には、適切な戦略を立案・実行することで、サービスの再開を確保し、データの完全性を維持すべきである。サービス再開には、優先度を考慮し、重要度の低いサービスは、再開を遅らせるか、再開しないとすべきである。
  5. インシデントから得た教訓は、文書化し、分析及び再検討すべきである。それにより、組織のIRBCは向上する。

 これに関連して、組織のIRBCを高めるためのもうひとつのキーワードがあります。ISO23071 の「3章 用語及び定義」に記されている「レジリエンシー(Resilience)」です。
 レジリエンシー(Resilience)とは、「インシデントに影響を受けていることに抵抗する組織の能力」と定義されています。一般的な和訳は「回復力」ですが、ここでは、2つの切り口からその能力を定義しています。それは、「対応力」と「復旧力」です。
 「対応力」とは、言い方を変えると初動能力です。インシデント発生時に受ける影響を最小限にする組織力です。例えば、災害を想定して、バックアップサイトを用意する、そこまでしなくても例えば、免震構造のデータセンターを利用するとか、バックアップを収集するなど基本的な対応も必要になるはずです。
 「復旧力」とは、言い換えると回復力です。影響を受けても早期に元通りの状態あるいは一定のレベルにまで戻れるようにする組織力です。例えば、通勤不能状態を想定して、在宅勤務を可能な環境にしておく、社員の被災を想定して、代替要員の手配段取りを決めておくなどの対応をしておくことも含まれます。
 インシデントが発生して、事業が中断し、それにより組織構成員が混乱に陥ったときに、誰が何をどういった優先順位でどうするのかを管理しておくこと、それがレジリエンシーを高めるために必要な管理能力といえます。
 ISO23071では、「8章 監視及びレビュー」において、IRBCの維持・試験及び演習・IRBC内部監査・マネジメントレビュー等について、かなり踏み込んで規定しており、経済産業省のITサービス継続ガイドラインに比べて、レジリエンシーの改善という意識が表れているという見方もできます。

【事業継続のために何をしたら、よいでしょうか?】

 「他社よりもお金をかけすぎているのではないか?」「他社は、もっと上手に事業継続計画を作っているのではないか?」など隣の芝生は気になるものです。普段の砕けた会話の中で、そのような話題になったりもしますが、その時には必ず「他社とは何を指すのでしょうか?」「同業他社でしょうか?」「異業種の同規模の会社でしょうか?」などと反問させていただくことにしています。ありがちですが、砕けた会話ですので、「普通の、ということだよ。」とか「一般的には、を聞きたいんだ。」という方向になりがちです。
 ここにこそ、規格(BS25999)を検討するメリットがあります。規格の冒頭で「適用範囲及び適用性」(BS25999-Part1)あるいは、「適用範囲」(BS25999-Part2)を定めることが求められています。
 基本的な考え方は、組織全体での導入が理想です、ということになります。しかし、現実的には、規模やコストも考慮して、「特定の製品やサービス、もしくは一つ以上のサイト」での適用ということになるケースが多いようです。その場合は、決して部門ごとの適用ではなく、製品やサービスを特定し、それに関わるビジネスユニットという考え方(オーダーから入金まで)で適用することになります。
 よって、BCP/BCMの適用範囲というものは、経営資源を優先的に配分する製品やサービスを自ら明確にして、事業継続に関わる責任や権限を経営レベルで判断することになります。

 つまり、組織において、事業として継続すべきビジネスユニットは何かを決めることが、BCP/BCMの第一歩ということになりますし、それを決められずに他社との横並びを意識する発想自体がナンセンスであると言えるでしょう。

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。

同一テーマ 記事一覧

「標的型攻撃への対策はシステムと人の両面から」

2014.03.12 ITガバナンス 株式会社オージス総研  大澤 登士弘