情報システムのBCPで考慮すべきこと

【筆者紹介】

古木　直人（ふるき　なおと）
2020年5月診断士資格取得、同年6月神奈川県協会入会。昨年9月末に20年以上勤めたIT企業を退職し、前職に引き続きITシステムマネジメントを行うと共に、独立診断士として地元小田原を中心に中小企業への経営相談業務やIT導入支援に従事。
情報処理安全確保支援士、情報セキュリティマネジメントシステム(ISMS)、品質マネジメントシステム(QMS)審査員補
メールアドレス：furuki@hc-services.jp

はじめに　

　私は、都内のIT企業(独立系SIer)にて主にインフラ系のシステムエンジニアとして、大学や官公庁、大手SIベンダ、キャリア等に常駐し、システムの構築、保守、運用に従事してきました。また、システムエンジニア兼自社製品の技術営業としてIT商材の販売事業を立ち上げ、ワンストップでハードウェア、ソフトウェアの調達からシステムの運用までを手掛けて参りました。今回は私の経験したプロジェクトのうち、中小企業でも慎重に考慮すべき事項として「情報システムのBCP」をテーマにお伝えしたいと思います。

BCPの策定状況と情報システムBCPの特徴

　まずBCP(Business continuity planning）とは、「災害に代表されるような不測の事態が発生しても、重要な業務を中断させることなく、また中断が生じても可能な限り短期間で復旧させるために、方針や体制及び手順を示した計画書」とされています。(出典： 2022年版中小企業白書(第5節事業継続計画（BCP）の取組)
　BCPは、いわば経営に必要な「ヒト」、「モノ」、「カネ」そして「情報」ごとに「緊急事態が発生した時に何をどのように守るべきかを検討すること」と言えるかと思います。
　介護業界においては、2021年4月の「令和3年度介護報酬改定」により、2024年4月までに、介護事業所のBCP（事業継続計画）の策定が義務化されることになったものの、未だに多くの業界では未策定の企業が多く、2022年の企業におけるBCP策定率は17.7%に留まっています。(出典：株式会社帝国データバンク事業継続計画（BCP）に対する企業の意識調査（2022年）)
　私が既知もしくは支援させて頂いている企業や団体でもBCPを策定しているところは片手で数えるくらいしなく、特に情報システムに関して、有効かつ実際に機能していると思われる事例は2、3社に留まります。
　これは「情報システム」が「ヒト」、「モノ」、「カネ」のように実体が無いこと、情報システムが複雑であったり保守をベンダ任せにしてしまっていること、自然災害だけでなくサイバー攻撃や不正アクセス等のコンピューター犯罪もなども対象となることなどが想定されます。また、RTO、RPO、RLOという独特の概念(詳細は後述)なども策定の敷居を高くしている要因かと思われます。

情報システムBCP策定のガイドライン

　情報システムのBCPとしては、経済産業省の「IT サービス継続ガイドライン」、内閣官房内閣サイバーセキュリティセンター（NISC）の「政府機関等における情報システム運用継続計画ガイドライン」、またISO27001などがガイドラインが挙げられますが、策定手順としては、大まかに1．基本方針の策定、2. 情報システム(ITサービス)のスコープの定義、3. RTO、RPO、RLOなどの要件定義、4. 情報システムリスクの洗い出し、評価、分析、5. 情報システム(ITサービス)継続計画の策定、6. 情報システム(ITサービス)継続体制の実装、運用、維持、監査、見直し、といった手順が必要となります。

RTO、RPO、RLOについて

RTO：(Recovery Time Objective)「目標復旧時間」とは、事故後、業務を復旧させるまでの目標期間（時間）
RPO：(Recovery Point Objective)「目標復旧ポイント」とは、事故後に事故前のどの時点までデータを復旧できるようにするかの目標時点（時間）
RLO：(Recovery Level Objective)「目標復旧レベル」とは、事故後、業務をどのレベルまで復旧させるか、あるいは、どのレベルで継続させるかの指標
のことです。これらの目標を情報システムが必要とするレベルに対応させてなくてはいけません。
　よく、「うちの会社のサーバのバックアップは毎日とっているから大丈夫！」という経営者の方がいらっしゃいますが、「本当は3日前のデータを復元したかったのに、毎日データが上書きされていて、すでに更新後である前日のデータしか戻せなかった。」という事例がありました。
　逆に、オンラインショッピングの受注システムなどは、1日ごとのバックアップを取っていたとしても、丸1日分の受注情報が飛んでしまっては、企業の存続にかかわる事態となりかねないため、充分な検討が必要です。

中小企業にベストな情報システムBCPとは

　システムに多額の投資が可能な大企業と異なり、中小企業は専任の情報システム部門もないところが多く、充分なシステム投資も難しいところが大半です。
有力な情報システムBCPの対応としては、極力SaaSやPaaS、IaaSなどのクラウドサービスを利用することです。クラウドサービスは、国内や海外のデータセンターにサーバが分散されているため、一般的には耐障害性、可用性に優れていると言えます。
　私が以前に支援した事例では、自社内のオンプレミス環境の業務システムをクラウド環境に移行したことで、可用性や利便性が向上しただけでなく、システム障害やサーバ障害、法定設備点検による停電の度に出社対応していたスタッフの負荷が軽減され、経営者の方からも大変喜ばれました。

おわりに

　BCPの策定は、それ自体が企業の収益の源泉になるわけではなく、補助金のように即効性のある取り組みではありません。しかしながらBCPの策定を進める上で、企業が主体となって取り組めば、本当に必要な経営資源や配分を見直す良いきっかけになります。私は、神奈川県協会を通じてBCP対応チームの一員として神奈川県BCP対応専門家登録済みとなっています。
　自身が得意な「情報システムのBCP」の策定支援を通じて、もしもの有事の際も「BCPを策定していて助かった！」と経営者の方に思って頂けるよう、努力していきたいと思います。