「障害復旧」から企業のリスク管理としての「事業継続」へ：ディザスタリカバリで強い企業を作る（2/4 ページ）

[JPCERT/CC，ITmedia]

BCPの策定

1）ビジネスインパクト分析

　BCPの対象範囲は原則として、すべての事業・業務、施設、人員である。しかし、始めからすべてを対象とするのは、リソースのことを考えても困難な話だ。そこで、まずは対象範囲を基幹事業・業務に限るなどという具合に優先順位を付けることを考える。

　この優先順位を付けるために必要となるのが、ディザスタによる事業へのインパクトの分析だ。

　例えば、ウイルスやワームなどへの感染が原因で、ある特定部署のLANなど、情報システムが停止しまった場合を想定してみよう。ここで考えなくてはならないのは、以下のポイントである。

a）その部署の業務の情報システムへの依存度を確認する

　業務遂行に当たっての情報システム（この例でいえばLAN）への依存の度合いを考える。多くの場合、各社員の重要なデータはPC上ではなく、ファイルサーバ上に置かれている。つまりLANが停止すると、その重要なデータにアクセスできなくなることを意味する。

　また、業務連絡を電子メールで行っている場合は、連絡を別の手段で行わなくてはならなくなる。このような状況ではPCはほとんど用をなさなくなり、業務のかなりの部分が停止してしまうといってよいだろう。

　実際にはこの作業は、「情報システムの○○が停止した場合」のように具体的な例に分けて検討する。

b）その部署の業務のRTO（Required Time Objective）を設定する

　会社・組織の事業全体に重大な影響を及ぼさないうちに事業活動を復旧、再開させるための目標時間、RTOを設定する。

　まず、現在想定している部署の業務が停止した場合の影響度を分析する。例えば、顧客への影響度、収益資産影響度、社会的影響度といったポイントで点数化する。

　具体的には、想定している部署が直接顧客とかかわるような部署である場合、その業務の停止は、顧客影響度が極めて高く、かつ社会的影響度も高くなるだろう。またオンラインショッピングのシステム管理部門であれば、直接企業の収益や資産に影響するだろう。逆に総務、人事などの管理部門であれば、いずれの影響度も低いと考えられる。

　このような影響度を測る場合の方法としては、「被害額」を算出してみるのもよい。例えば、以下の資料が参考になるだろう。

企業における情報セキュリティガバナンスのあり方に関する研究会報告書（PDF形式）

http://www.meti.go.jp/report/downloadfiles/g50331d04j.pdf

　実際の被害額の例としては、NPO法人日本ネットワークセキュリティ協会（JNSA）の調査結果である「2003年度情報セキュリティインシデントに関する調査報告書」（PDF形式）がある。この報告書の47ページによると、MSBlasterワームによる被害額として「平均約13百万円」という数字が出ている。

　このような数字を参考にして、業務停止が何時間、または何日まで許容可能かを、事業内のすべての業務について比較・検討し、RTOを設定する。

図2●ビジネスインパクト分析の例

2）リスク分析

　まずは、事業において最も重要な基幹業務（およびそれに直接かかわる業務）から、想定されるリスクの洗い出しを行う。可能な限り、過去の事故報告書や新聞などメディアの記事を収集し、それらを参考にして、どのような脅威が存在しうるかを考え、BCP発動の可能性のあるものをリストアップする。そしてそれらのリスクに対して、BCPの発動基準を明確にしておく。

3）策定

　上記の分析を基に、具体的にBCPを策定する。その際には、RTOを達成するために必要な経費の予算化、人員や機材などリソースの確保も並行して行う。

　また、全社にわたる「基本対応手順」と部署ごとに異なる「個別対応手順」の両方が存在する場合は、相互の依存関係（主従関係）を明確にする必要がある。同時に、手順が重複する場合は無駄のないように効率化することを忘れてはいけない。