IT-BCPとは(通常のBCPとの違い)
BCPとIT-BCPの関係
BCP(Business Continuity Plan:事業継続計画)とは、自然災害や事故などの緊急事態が発生した際に、事業の継続や早期復旧を図るための計画です。IT-BCPは、このBCPの中でも特にIT・情報システムに関する事業継続計画を指します。
近年、ランサムウェアをはじめとするサイバー攻撃が増加しており、従来の自然災害を想定したBCPだけでは対応できないケースが増えています。サイバー攻撃特有のリスクに対応するため、専用のIT-BCPを策定する企業が増えています。
- BCPの目的
- 緊急事態発生時に、重要な事業を中断させない、または中断しても可能な限り短期間で復旧させることを目的とした計画です。
- IT-BCPの目的
- ITシステムの障害やサイバー攻撃によるシステム停止に対し、業務継続と早期復旧を実現するための計画です。システムの復旧だけでなく、システムが使えない間の代替手段も含みます。
通常のBCPとの違い
自然災害を想定した従来のBCPと、サイバー攻撃を想定したIT-BCPには、重要な違いがあります。
| 項目 | 自然災害BCP | サイバー攻撃IT-BCP |
|---|---|---|
| 被害の特性 | 物理的な損壊が中心 | データ・システムの破壊・暗号化 |
| 被害範囲の把握 | 比較的容易 | 調査に時間を要する |
| 復旧の考え方 | バックアップサイトへの切り替え | 感染範囲の特定後に復旧 |
| バックアップの有効性 | 物理的に無事なら使用可能 | バックアップも暗号化される可能性 |
| 代替サイト | 物理的に離れた場所 | ネットワーク的に隔離された環境 |
| 復旧期間 | 数日〜数週間 | 数週間〜数ヶ月 |
| 二次被害 | 限定的 | 情報漏洩、風評被害の可能性 |
- サイバー攻撃特有の課題
- サイバー攻撃では、被害範囲の特定に時間がかかります。感染したシステムをそのまま復旧すると再感染のリスクがあるため、フォレンジック調査で安全を確認してから復旧を開始する必要があります。また、情報漏洩を伴う場合は、復旧と並行して対外対応も必要になります。
ランサムウェア被害を想定した計画策定
想定すべきシナリオ
IT-BCPでは、複数のシナリオを想定して計画を策定します。ランサムウェア被害の場合、被害の深刻度に応じた段階的なシナリオを設定することが重要です。
- シナリオ1:基幹システムのみ暗号化
- 販売管理、在庫管理、会計などの基幹システムが暗号化され使用不能になるシナリオです。メールや一部の業務システムは継続利用可能な状態を想定します。復旧優先度の高いシステムから段階的に復旧を進めます。
- シナリオ2:全社システム暗号化
- Active Directoryを含む全社システムが暗号化され、ほぼすべてのIT機能が停止するシナリオです。メール、ファイルサーバー、業務システムすべてが使用不能となり、業務の大半が停止します。代替手段による業務継続が必須となります。
- シナリオ3:バックアップも含めて暗号化
- オンラインバックアップや、ネットワーク接続されたバックアップサーバーも暗号化されるシナリオです。オフサイト・オフラインバックアップからの復旧、または一からのシステム再構築が必要になります。最も深刻な事態を想定した計画が求められます。
- シナリオ4:情報漏洩を伴う二重恐喝
- 暗号化に加えて、機密情報の窃取と公開の脅迫を受けるシナリオです。システム復旧と並行して、情報漏洩対応、関係者への通知、広報対応が必要になります。復旧作業と対外対応を同時に進める体制が求められます。
シナリオ別の対応方針
各シナリオでの対応方針の違いを整理します。
| シナリオ | 復旧アプローチ | 業務継続方針 | 対外対応 |
|---|---|---|---|
| シナリオ1 | バックアップから優先復旧 | 代替システムで継続 | 必要に応じて通知 |
| シナリオ2 | 全面的な復旧作業 | 手動オペレーションに切替 | 取引先・顧客へ通知 |
| シナリオ3 | システム再構築 | 長期の代替運用 | 詳細な経緯説明 |
| シナリオ4 | 復旧と漏洩対応を並行 | 復旧と対外対応の両立 | 規制当局報告、広報対応 |
復旧目標時間(RTO)の設定
RTOとは
RTO(Recovery Time Objective:目標復旧時間)とは、システム障害が発生してから復旧するまでの目標時間です。事業への影響度に基づいて、システムごとにRTOを設定します。
- RTOの定義
- 業務が中断してから、システムを復旧させるまでの許容できる最大時間です。RTOが短いほど、より迅速な復旧が求められ、そのための投資(バックアップ体制、冗長化等)も大きくなります。
- RPOとの違い
- RPO(Recovery Point Objective:目標復旧地点)は、復旧時にどの時点のデータまで戻せるかの目標です。バックアップの頻度と関連します。RTOは「いつまでに復旧するか」、RPOは「どの時点のデータに戻すか」を示します。
RTO設定の考え方
RTOは、業務影響度分析(BIA:Business Impact Analysis)に基づいて設定します。
| 評価項目 | 内容 | 評価の観点 |
|---|---|---|
| 売上への影響 | 停止による逸失売上 | 1日あたりの影響額 |
| 顧客への影響 | サービス停止による顧客離れ | 契約上の義務、信頼への影響 |
| 法的・規制上の影響 | 報告義務、違約金 | 法令違反のリスク |
| 社会的影響 | 公共性の高いサービス | 社会インフラとしての責任 |
| 連鎖的影響 | サプライチェーンへの波及 | 取引先への影響度 |
- 業務プロセス別の優先度
- すべてのシステムを同時に復旧することは現実的ではありません。業務の重要度に応じて優先度を設定し、段階的に復旧を進める計画を立てます。
業務カテゴリ別のRTO設定例を示します。
| 業務カテゴリ | RTO目安 | 優先度 | 具体例 |
|---|---|---|---|
| 生命・安全に関わる業務 | 数時間以内 | 最優先 | 医療システム、制御システム |
| 収益に直結する業務 | 1-2日 | 高 | 販売システム、受発注 |
| 顧客対応業務 | 2-3日 | 高 | 顧客サポート、コールセンター |
| 基幹業務 | 3-7日 | 中 | 会計、人事給与 |
| 管理業務 | 1-2週間 | 低 | 社内向け情報システム |
現実的なRTOの検討
IT-BCP策定においては、現実的なRTOを設定することが重要です。
警察庁の統計によると、ランサムウェア被害からの復旧期間は以下のとおりです。
| 復旧期間 | 割合 |
|---|---|
| 即時〜1週間未満 | 約23% |
| 1週間〜1ヶ月未満 | 約27% |
| 1ヶ月〜2ヶ月未満 | 約18% |
| 2ヶ月以上 | 約23% |
復旧に1週間以上を要した企業は約77% にのぼり、ランサムウェア被害では長期間の復旧期間を想定する必要があります。
- 楽観的すぎるRTOの危険性
- 実現不可能なRTOを設定すると、実際の被害発生時に計画が機能しません。現実的な復旧期間を踏まえ、代替手段による業務継続を重視した計画を策定することが重要です。
代替手段の確保
システム代替手段
ランサムウェア被害でシステムが使用不能になった場合の代替手段を事前に準備しておくことが重要です。
- 手動オペレーション(紙運用)
- システムが復旧するまでの間、紙ベースや手作業で業務を継続する方法です。受発注の電話・FAX対応、紙の伝票処理、手書きの記録など、デジタル以前の業務プロセスを復活させます。事前に手順書を作成し、必要な帳票を準備しておくことが重要です。
- 代替システム(クラウドバックアップ環境)
- 本番環境とは別に、クラウド上に代替システム環境を準備しておく方法です。平時はバックアップとして機能し、有事には代替システムとして切り替えます。ネットワーク的に隔離されていることが重要です。
- 外部委託(一時的なアウトソーシング)
- 一部の業務を一時的に外部に委託する方法です。給与計算、経理処理、コールセンター業務などを外部業者に依頼します。事前に委託先との契約や情報共有の準備が必要です。
コミュニケーション代替手段
メールシステムが停止した場合のコミュニケーション手段を確保しておくことも重要です。
| 用途 | 代替手段 | 準備事項 |
|---|---|---|
| 社内連絡 | 個人携帯電話、SMS | 緊急連絡網の整備 |
| 社内チャット | 個人向けチャットツール | バックアップアカウントの準備 |
| 社外連絡 | 電話、FAX | 主要取引先の連絡先リスト |
| 対外発表 | ホームページ(別サーバー) | 独立した告知サイトの準備 |
| 顧客対応 | 臨時コールセンター | 外部委託先との事前契約 |
- 連絡手段の多重化
- 一つの連絡手段に依存しないことが重要です。社内システムに依存しない連絡手段を複数確保し、緊急時にすぐに切り替えられるよう準備しておきます。
訓練・テストの実施方法
訓練の種類
IT-BCPは策定しただけでは機能しません。定期的な訓練により、実効性を検証し、改善点を見つけることが重要です。
- 机上演習(テーブルトップ演習)
- 会議室に関係者が集まり、仮想のシナリオに基づいて対応を議論する演習です。システムを実際に停止させることなく、対応手順や意思決定プロセスを確認できます。導入コストが低く、最初の一歩として適しています。
- 実機訓練
- テスト環境を使用して、実際にシステム復旧やバックアップからの復元を行う訓練です。手順書どおりに復旧できるか、復旧にどの程度の時間がかかるかを実測します。本番環境に影響を与えないよう、慎重な計画が必要です。
- 抜き打ち訓練
- 事前予告なしに訓練を実施し、実際の緊急事態により近い状況を再現します。初動対応の迅速性、連絡体制の実効性を検証できます。参加者への負担が大きいため、基本的な訓練を経た後に実施することが推奨されます。
訓練の頻度
| 訓練の種類 | 推奨頻度 | 対象者 |
|---|---|---|
| 机上演習 | 年1〜2回 | 経営層、IT部門、関連部門 |
| 実機訓練 | 年1回以上 | IT部門、復旧担当者 |
| 抜き打ち訓練 | 年1回程度 | 初動対応者、連絡網対象者 |
| バックアップ復元テスト | 四半期ごと | IT部門 |
- 訓練結果の評価と改善
- 訓練後は必ず振り返りを行い、発見された課題をIT-BCPに反映させます。継続的な改善サイクル(PDCA)を回すことで、計画の実効性を高めていきます。
訓練・演習の詳細については、ランサムウェア対応訓練の進め方をご参照ください。
中小企業向けIT-BCPテンプレート
簡易版IT-BCPの構成
中小企業でも策定可能な、簡易版IT-BCPの構成要素を示します。完璧を目指さず、まず基本的な計画を作成することが重要です。
- 1. 対象範囲
- 本計画の対象となるシステム、業務、組織の範囲を明確にします。すべてを網羅する必要はなく、重要な業務・システムに絞って対象を設定します。
- 2. 復旧優先度
- システムごとの復旧優先度を設定します。売上への影響、顧客への影響、法的義務などを考慮して優先順位をつけます。
- 3. 連絡体制
- 緊急時の連絡体制を定めます。連絡網、意思決定者、役割分担を明確にし、連絡先リストを最新の状態に維持します。
- 4. 復旧手順(概要)
- 主要システムの復旧手順の概要を記載します。詳細な手順書は別途作成し、IT-BCPには概要のみを記載します。
- 5. 代替手段
- システム停止時の代替手段を記載します。手動オペレーションの手順、必要な帳票、代替連絡手段などを準備します。
作成のポイント
| ポイント | 内容 |
|---|---|
| 完璧を目指さない | 80%の完成度でも、ないよりはるかに良い |
| まず作る | 作成しながら改善点を見つける |
| 定期的に見直す | 最低年1回は内容を更新 |
| 関係者に周知 | 作っただけでは機能しない |
| 訓練で検証 | 実際に使えるか確認する |
- 外部リソースの活用
- 中小企業庁やIPAが公開しているBCPテンプレートを活用することで、効率的に策定を進められます。また、セキュリティ教育・訓練を通じて、従業員の意識向上も図りましょう。
よくある質問(FAQ)
- Q: 既存のBCPがあれば、IT-BCPは不要ですか?
- A: いいえ、従来の自然災害向けBCPとサイバー攻撃向けIT-BCPは別に策定することをお勧めします。サイバー攻撃では、バックアップサイトに切り替えても被害が及ぶ可能性がある、感染範囲の特定に時間がかかる、など自然災害とは異なる特性があります。既存のBCPを補完する形でIT-BCPを策定することで、より包括的な事業継続体制を構築できます。
- Q: IT-BCPの策定に専門知識は必要ですか?
- A: 基本的なIT-BCPは、IT部門と経営層の協力があれば自社で策定可能です。ただし、より本格的な計画を策定する場合や、業種特有の規制対応が必要な場合は、コンサルタントや専門家の支援を受けることをお勧めします。まずは簡易版から始め、段階的に充実させていく方法も有効です。
- Q: RTOはどのくらいに設定すべきですか?
- A: 業務の重要度と許容できる停止時間によって異なります。ランサムウェア被害の場合、全システムの完全復旧には数週間から数ヶ月かかることを想定する必要があります。重要業務に絞って短いRTO(1-3日)を設定し、その他の業務は長めのRTO(1-2週間)を設定するなど、優先度に応じた設定が現実的です。
- Q: 訓練を実施する余裕がありません。どうすればよいですか?
- A: まずは机上演習(テーブルトップ演習)から始めることをお勧めします。会議室で1-2時間、仮想シナリオに基づいて対応を議論するだけでも、多くの気づきが得られます。システムを停止する必要がなく、少人数で実施できるため、導入コストは低いです。半年に1回程度から始め、徐々に訓練の範囲を広げていくことが有効です。
- Q: クラウドサービスを利用していれば、IT-BCPは不要ですか?
- A: クラウドサービスの利用は事業継続性を高めますが、IT-BCPが不要になるわけではありません。クラウドサービス自体の障害、認証情報の漏洩によるアクセス不能、フィッシングによるアカウント乗っ取りなど、クラウド環境特有のリスクも存在します。クラウドサービスを含めた包括的なIT-BCPを策定することが重要です。
まとめ
ランサムウェア被害からの復旧には長期間を要することが多く、システム復旧を待つだけでは事業継続が困難になります。IT-BCPを策定し、代替手段による業務継続体制を整備することで、被害発生時のダメージを最小限に抑えることができます。
IT-BCPは完璧を目指す必要はありません。まずは簡易版から始め、定期的な見直しと訓練を通じて改善していくことが重要です。フィッシング対策やマルウェア対策などの予防策と合わせて、包括的なリスク管理体制を構築しましょう。
バックアップ戦略と連携したIT-BCPにより、ランサムウェア被害からの早期復旧と事業継続を実現することができます。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- IT-BCPの策定・運用については、自社の状況に応じて専門家にご相談ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- 記載内容は作成時点の情報です
関連リンク
コスト・保険を知る
対策を学ぶ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
