事業継続管理と情報セキュリティガバナンス情報セキュリティガバナンスを確立せよ(5)(1/2 ページ)

事業のIT依存度は高まるばかりであり、企業は情報セキュリティガバナンスの一環として、事業継続管理(BCM)に真剣に取り組む必要がある。では、どう取り組めばいいのだろうか

» 2006年08月05日 12時00分 公開
[大木栄二郎,工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

 今回は、事業継続管理の要点をまとめてみたいと思う。まず、なぜ情報セキュリティのガバナンスにおいて事業継続管理を取り上げるのか、企業の経営者がガバナンスの一環として事業継続を考えなければならない理由は何かについて考えることから始めよう。

ステップ1 事業のIT依存度についての認識

 事業継続管理への取り組みを強調しなければならない最大の理由は、事業のIT依存度に対する経営者の認識不足にある。まずは、IT事故が起きた場合に、事業活動にどんな影響を及ぼすことになるのかを、さまざまなケースを想定して理解することが先決である。

 「情報セキュリティの基本は、情報資産をさまざまな脅威から保護することにあり、脅威は何も事故だけではないではないか、ITに関係しない脅威もあるのではないか」との反論も聞こえてきそうな気がする。しかし、深刻な情報セキュリティの事件や事故が事業継続に影響を与えかねない状況になったのは、ひとえにITの発達と普及によるものであり、ITの恩恵を受けて事業が発展した裏に潜む危うさに、まだ目を向け切れていない現実があることを理解しなければならない。IT事故の影響を認識することができれば、事業継続にいま取り組む必要性は十分に認識できるはずである。

 この段階では、次の2つを認識することが目的である。

  • IT事故がどれくらいの事業インパクトを与えるか
  • IT事故に結び付く要因は何か
ALT IT利用を分類してIT事故の影響度を把握する

 これらを理解するためには、ITの利用を大きく「フロント業務」と「バック業務」の2つに分けて考えるとよい。フロント業務とは、外部の顧客が直接インターネットなどを利用して商品の選択や注文、決済、問い合わせなどを行う、顧客と直結した機能であり、バック業務とは社員が担当する業務の効率を高めるために利用するIT機能である。

 フロント業務のIT事故は、直接顧客に影響が及び、利用停止時間がそのまま売り上げなどの業績に直結するという点で、きわめて影響が大きい。この部分のIT事故には、自社の管理が及ぶサーバの処理能力や自社ネットワークの部分と、自社の統制の外側にあるインターネットや顧客側ITなどの部分に分けられる。

 インターネットや顧客側ITの事故による機能停止については、顧客の理解は得られるとしても、売り上げ減少などの影響には手立てを講じておかなければならない。自社管理下のITの事故は、自社だけが影響を受けるため顧客離反などに結び付きやすく、事業への影響が大きい。この部分の機能停止が起きるとすると、どんな原因が考えられるか、どれくらいの時間の機能停止に耐えられるかなどを理解しておく必要がある。事業全体の中で、この部分に影響を受ける割合がどの程度に達しているか、競合他社との比較において自社の弱点とならないかなども検討が必要である。

 バック業務のIT依存もまた進んでいる。この部分でのIT機能は大きく3つに分けて影響を考えるのがよい。それらは、「記録機能」「業務機能」、そして「伝達機能」である。

 記録機能は、顧客データや取引データなどの記録を管理する機能であり、その喪失は企業存続を危うくする。データバックアップなどによる記録の保全はこれまでにも取り組まれてきているが、部門サーバなどが乱立した環境で、事業に必要なデータの保全が的確になされているかの確認が必要である。そのうえで、どんな事故が起きた場合に重要な記録が失われる可能性があるのか、復元できないとするとどんな影響があるのかを把握しなければならない。

 業務機能は、いわゆる適用業務処理機能であり、製造指示など業務活動の統制機能でもある。どんな要因がこの機能を喪失させることにつながるか、その場合どれくらいの影響が発生するのか、用意されている代替手段ではどれくらいの対応ができるのかなどを理解しなければならない。

 伝達機能は、電子メールなどの社員間の情報伝達を支援する機能である。事業継続には大きな影響はしないと見落とされがちであるが、IT事故などの発生時には、この伝達機能が復旧に大きな役割を果たす。平常時にどのように使われているのか、緊急時にどのようにこの機能を確保できるのかを併せて検討しておく必要がある。

 まずは、IT事故がもたらす可能性のある事業への影響の大きさと、そのIT事故を引き起こす想定要因とを、経営者が認識することで、事業継続管理への取り組みが始まる。ここまでは、IT部門が経営者とともに進めることができる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ