情報セキュリティを担保するためにシステム障害だけでなく、日本では台風や地震など自然災害においても気をつけてなくてはなりません。この記事ではその対策と向き合い方について説明しています。

災害対策の重要性

災害には、地震、風水害、雷害などの自然災害のほかに、火災、大規模なシステム障害、テロなどの人為的な災害があります。また、テロにはサイバー攻撃も含まれます。災害が発生すれば、業務に大きな支障が生じるだけではなく、その内容によっては事業活動そのものを遂行することができなくなる致命的なケースもあります。そこで、災害対策は、企業などの状況を踏まえて検討する必要があります。

日本国内では災害対策として、東日本大震災、阪神淡路大震災が取り上げられて、どのような対策を講じる必要があるのかが論じられることが少なくありません。一方、海外では、タイの洪水や米国でのハリケーン、竜巻といった日本とは異なる自然災害もあるので、海外に子会社などをもつグローバル企業の場合には、多様な視点から災害を捉えることが重要です。近年、課題になっているのが、大規模なシステム障害やサイバー攻撃による災害です。例えば、2016年1月~2月に発生したサイバー攻撃では中央省庁のホームページが閲覧できない状況に陥ってしまったり、システム障害によって航空機の出発が遅延したりしたケースも発生しています。

事業継続計画と事業継続管理

大規模な災害が発生した場合には、通常の体制では対応が難しいので、全社的な対応が必要になります。そのため、通常の業務マニュアルではなく、事業継続計画(Business Continuity Plan :BCP)を策定する必要があります。経済産業省の「事業継続計画策定ガイドライン」によれば、事業継続計画を「潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事業継続の成果物」と定義しています。また、事業継続計画は災害などの発生時の対応計画を定めたものなので、これに基づいた管理を実施しなければなりません。この管理は、事業継続管理(Business Continuity Management: BCM)と呼ばれています。つまり、BCPとBCMをセットで考える必要があるのです。

経済産業省「事業継続計画策定ガイドライン」

事業継続計画を策定するためには、経済産業省の「事業継続計画策定ガイドライン」を参考にするとよいでしょう。同ガイドラインでは、災害などが発生し、それに基づいてBCP(事業継続計画)の発動(BCP発動フェーズ)、業務の再開(業務再開フェーズ)、応急対策(業務回復フェーズ)、本格的対策(全面復旧フェーズ)という流れに沿って、実施すべき事項を示しています。このように時系列で災害対策を考えることが大切です。

訓練が不可欠

BCM(事業継続管理)では、訓練が不可欠です。企業によっては、頻繁に訓練を実施しているところがあります。発生の可能性は低くても、損失や社会的な影響の大きい災害が発生したときに適切かつ迅速に対応するためには、常日ごろから訓練を実施し、体に覚え込ませることが不可欠です。また、全社的な訓練を頻繁に行なうことが現実的でない場合には、例えば防災の日に合わせてBCMの訓練を実施するとよいでしょう。

なお、上記の訓練を毎年同じシナリオで実施すると、訓練が形骸化し、真剣味が薄れてしまいます。そこで、シナリオを変更して、様々な対応ができるようにしておくとよいです。例えば、地震、火災、水害などが発生する事業所を変更するのも1つの方法です。さらに、訓練の結果は、必ずBCP(事業継続計画)の見直しにつなげなければなりません。例えば、連絡がうまくいかない場合には連絡方法を見直したり、意思決定がうまくいかない場合には責任者に報告する情報内容を見直したりするなどです。

総合的な視点

情報セキュリティに関係する事業継続計画、つまり、IT-BCP(ITに関する事業継続計画)を中心に説明してきましたが、そもそも事業継続計画では、リスクを総合的に考える必要があります。大規模なシステム障害やサイバー攻撃によって情報システムの可用性が阻害された場合、例えば、手作業で伝票を作成したり、計算を行なったりするなど、必要に応じて手作業による対応をとることも考えられます。

「また、大規模なシステム障害やサイバー攻撃の場合には、ITに関係する災害に該当しますが、それらは販売業務、調達業務、生産業務、物流業務などの業務遂行に大きな影響を及ぼすので、ITの復旧対策だけではなく、販売業務、調達業務など各種業務の緊急対応や本格的な復旧などを考える必要があります。つまり、事業継続計画および事業継続管理の対象となるリスクには、特定のリスクだけを考えて対応策を講じるのではなく、関連するリスクも含めておかなければいけません。