IT-BCPとは？自社のIT資産を守り事業継続を実現するポイントを解説

ビジネスの現場でIT活用が当たり前となった今、地震や台風などの自然災害やサイバー攻撃により、顧客データや機密データが消失、漏洩すれば企業の損失は計り知れません。少子高齢化の影響もあり、あらゆる業種で人材不足が慢性化しているなか、ITを活用せず業務効率化や生産性向上を実現させるのは非常に困難です。そこで今回は、自社のITツールやシステムを自然災害やサイバー攻撃から守り、事業継続を実現させるIT-BCPについてお伝えします。情報システムやIT企画に関する部署で自社のIT資産を守る施策を検討されている方は、ぜひ参考にしてください。

IT-BCPとは

IT-BCPとは、自然災害やサイバー攻撃からITツールやシステムを守り、情報消失や漏洩を防ぐことで事業を継続させるための対策です。万が一のトラブルでITツールやシステムが使えなくなれば、企業は大きな損失を被ります。また、情報が漏洩すれば企業としての信頼を失いかねません。そこで、緊急事態が発生した際、迅速に対応することで被害を最小限に抑止するための対策がIT-BCPです。

IT-BCPとBCPの違い

そもそもBCPとは、Business Continuity Planの略称で、事業継続計画と訳されます。自然災害やサイバー攻撃、事故、テロ攻撃などの緊急事態に直面した際、企業が受ける被害を最小限に抑え、事業継続を実現させるための対策を指すものです。

BCPには、感染症や自然災害から人を守るための対策も含まれますが、IT-BCPは企業のITツールやシステムを災害や攻撃から守ることに特化した対策です。企業を取り巻くすべてを対象として事業継続対策を行うのがBCPであり、そのなかでITツールやシステムに特化したものがIT-BCPです。

BCPの目的についてより詳しくは、「BCP対策とは？その目的や策定方法、注意点などを解説」をご覧ください。

IT-BCPの具体例

IT-BCPを適切に行うことで自社のIT資産を守り、緊急事態であっても事業を継続させるためにはどのような対策が必要なのでしょうか。ここでは、主なIT-BCPの具体例を紹介します。

定期的なデータのバックアップ

顧客データや機密データなど自社にとって欠かせないデータを中心に定期的にバックアップを行い、万が一の際にもデータの消失を最小限に抑止する対策を取ります。ポイントはバックアップを取ったデータを1箇所で保存するのではなく、分散して保存することです。自社内だけではなく、クラウドストレージやデータセンターなどに分散して保存管理する必要があります。

代替システムの活用

ITツールやシステムに被害があった際に継続して業務を行えるよう、事前に代替システムの準備をしておくことも重要です。特にサーバーやネットワーク機器を多重構成にしておけば、片方が稼働できなくてももう1台を稼働させ、事業を継続させられます。

テレワークの導入

自然災害が発生した場合、交通機関が使えなくなり従業員がオフィスに出社できないケースも考えられます。そのため、テレワークを導入し、オフィスに行かなくとも社内ネットワークやクラウドサービスにアクセスして、業務を継続する環境の構築も欠かせません。

緊急事態発生時の連絡体制整備

IT資産を守るためのシステムもITを活用して準備しておきます。具体的にはメールや電話だけでなく、SNSやチャットサービスのアカウントも準備のうえ周知徹底します。さらに、災害時には一斉メール送信や安否確認アンケートを配信できるサービスのシステムを導入します。緊急事態発生時でも綿密に連絡を取れるようにしておくことで、IT資産の消失、漏洩を最小限に抑えるよう対応することが可能です。

CSIRTの設置

CSIRTとは、Computer Security Incident Response Teamの略称で、「インシデントが発生した際に対応するチーム」を意味します。セキュリティに関する緊急時に、トラブルや事故、外部からの攻撃などの原因究明や二次被害防止を目的として行動します。CSIRTの設置により、攻撃に遭った際に迅速に復旧を行うだけではなく、事前対策を取り、被害に遭うリスクを軽減させることも可能です。

IT-BCPの策定をスムーズに進めるためのポイント

緊急事態において事業継続を実現させるIT-BCPの策定をスムーズに進めるには、平時の準備が欠かせません。ここでは、IT-BCPをスムーズに進める5つのポイントを解説します。

適切な予算計画

IT資産の分散管理や代替システムの準備など、IT-BCPを実施するにはさまざまなコストがかかります。そのため、IT-BCPを実施する際に自社にとっての優先順位を明確にしたうえで、適切な予算計画を立てることが必要です。

経営層を巻き込んだ計画設計

予算措置や企業全体に影響を及ぼすため、IT-BCPの策定は経営判断が重要なポイントであり、経営層の理解が欠かせません。そのため、経営層にも重要性を説いたうえで積極的に参加してもらうようにします。

IT-BCPの重要性周知

パソコンや業務用システム、ツールなど、IT機器はビジネスを行ううえですべての従業員が活用するものです。そのため、IT-BCPに対応する部署、チームを編成し、いざというときにすぐ動けるようマニュアルを作成して、全社員に対し周知の徹底と訓練を行う必要があります。

IT-BCPガイドラインの参照

IT-BCPの計画設計をするには、サイバーセキュリティの基礎やリスクの把握が欠かせません。そこで、経済産業省が公開している「サイバーセキュリティ経営ガイドライン」を参照し、適切な計画設計を行いましょう。

参照：サイバーセキュリティ経営ガイドライン｜経済産業省

データ保管先の確保

IT資産を1箇所に集約してしまうと、自然災害やサイバー攻撃などの被害に遭った際、すべての資産が消失したり、窃取されたりしてしまうリスクが生じます。そのため、IT-BCPを実現させるには、IT資産の分散管理が欠かせません。

IT資産の分散管理において重要なポイントのひとつは、データ保管先となるデータセンターです。データセンターの立地や自社からの距離、建物の堅牢性などを比較検討し、最適な選択をしましょう。

BCP策定とデータセンター選択のポイントについて詳しくは、「BCPとは？企業の災害対策に重要なデータセンター選び」もご覧ください。

IT-BCPは自社の状況に合わせて策定することが重要

IT-BCPとは、BCPのなかでも特に自社が持つIT資産やITツール、システムを守り、事業継続を実現させるための対策を指すものです。自然災害やサイバー攻撃はいつ起きるかわかりません。そのため、平時にしっかりと計画設計を行い、いざというときに備えておくことが重要です。

自社のIT資産を守るには、さまざまな施策が必要ですが、そのなかでも重要な点は2つあります。1つは自社の状況に合わせて策定すること。そしてもう1つはデータ保管先の確保です。

例えば自社内にサイバーセキュリティに詳しい人材がいなければ、社員を育成するか、もしくは外部の専門家に相談するなどの検討が求められます。いつ何が起きてもすぐに行動が取れるよう、現状把握をしたうえで適切なIT-BCPの策定を行いましょう。

そして、データ保管先の確保も欠かせません。自社内にすべてのデータを保管するのは手間がかかるだけでなく、万が一、自社が被害に遭えばすべてを失ってしまいます。そこでおすすめはデータセンターの活用です。

STNetのデータセンター「Powerico（パワリコ）」は、地震災害のリスクが少ない香川県に立地する西日本最大級のデータセンターです。建物自体も堅牢性・信頼性の高いファシリティでJDCC「ティア4」に準拠しているうえ、ビルへの入館からサーバールームに至るまでの各エリアに7段階のセキュリティレベルを設定しています。

自然災害はもちろん、悪意のある攻撃からもIT資産を守れるデータセンターをお探しの際は、ぜひお気軽にお問い合わせください。