事業継続管理と情報セキュリティガバナンス：情報セキュリティガバナンスを確立せよ（5）（2/2 ページ）

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

ステップ2　重大事故発生時の被害想定

　事業のIT依存度の認識ができれば、さまざまな要因で起き得るIT事故とその影響の程度の概要がつかめたことになる。次のステップは、それらのうち重大な影響を及ぼす事故の特定と、その被害をもう少し詳細化して想定することである。個々の事業分野ごとに、フロント／バックのどの機能の喪失／障害が最も大きな影響を与え得るのか、そのような事故を引き起こす可能性のある要因は何かを整理し、最大の影響をもたらす要因を特定して被害シナリオを描いてみるのがよい。従って、この段階から各事業部門の代表者を交えての全社的な検討が始まることになる。

　地震や風水害などの自然災害を最大の影響要因とする場合もあろうし、ビル火災や電源系統の障害、さらには大規模な事故等による主要拠点の機能喪失なども考慮しなければなるまい。さらには、コンピュータウイルスなどによる大規模なネットワーク障害が発生する要因もあるし、自社のシステム構成の問題点（証券取引所で問題になった処理能力の不足や機器故障、ソフトウェア障害など）を要因としなければならない場合もある。さらにいえば、ハッカーや産業スパイなどの脅威、システム運用に携わる要員のミス、情報窃盗や改ざん・破壊、業務妨害などの不正を意図的に行う要員の存在などの人的要因も想定しておかなければならない。

　要因がさまざまにある中で、経営者として対応すべき重要課題としてできるだけ具体的な要因を特定することが、その後の被害想定や取り組みを理解しやすくする。多くの場合、要因は互いに絡み合っているので、その最大のものを取り上げることにより、結果的にほかの要因の検討も含まれることになるので、最初にあまり神経質になることはない。2回目以降の検討の見直しの時点でほかの要因がどの程度カバーされているかを再確認することでも良いだろう。

　要因を特定し、具体的なシナリオを描くことで、受ける影響が想定でき、今の状況での問題点が明らかになることが重要である。すると、事業を継続するうえでのボトルネックはどこにあるのか、被害を最小化するには何をしておかなければならないか、早期に回復し影響を少なくするにはどうすればよいのか、などの答えになる各種施策の候補が見えてくるはずである。

　これらの結果から、事業継続への影響の大きさと対策コストの最大値との関係を経営者は認識しなければならず、事故により失われたIT機能の回復の優先順位について、各事業部門と合意が取られなければならない。

ステップ3　許容中断時間の設定

対策コストと中断コストは相反する

　被害想定ができた段階での経営者の最大の課題は、どれくらいの投資をして被害を低減するかという意思決定にある。その意思決定の中核は、許容中断時間の設定という概念にある。

　中断時間が長引けば被害が急速に拡大し、中断コストは大きくなるが、事前の対策コストは少なくて済む。中断時間が短縮できれば、中断コストは小さくできるが、短時間の回復を可能とする対策コストが急拡大する。従って、どこかにその企業にとっての最適ポイントがある。これを目標復旧時間（RTO）という。

ステップ4　事業継続計画の策定

　経営者にとっての事業継続管理の要点は、IT依存度の認識と被害想定を受けての許容中断時間の意思決定を持って大きな山を越える。これには、中断時間に伴うコストの算定についての合意、すなわち必要な投資額の大枠についての意思決定が伴っていなければならない。

　これらを受けて、次は具体的な事業継続計画（BCP）の策定に移っていく。この部分は、BCPの責任者を任命し、各事業代表者を交えた会議体でBCPの中身を詰めていけばよい。その際には経済産業省のBCP作成ガイドなどを参照するとよい。この段階でも、事業間の優先順位の課題や投資の最適化などに経営者としてのリーダーシップが求められることを意識しておかなければならない。

ステップ5　演習による計画の有効性確認

　BCPを策定しても、その効果を確認しておかなければ、投資が有効に機能するかどうかは分からない。しかし、IT事故はそう簡単に起こる代物でないだけに検証が難しい。定期的なIT事故の演習を行うことは、効果の検証とともに、緊急時の対応の訓練にもなる。

　この演習において、最も大事なのは、事故発生時の意思決定者にどれくらいの情報が集まるか、それらの情報を基に的確な決断が下せるかにある。経営者にとってのこのような演習は意義深いものがある。机上演習でも十分に効果が期待できるものであり、IT部門は、経営者を巻き込んだ演習の企画と実施に積極的に取り組んでもらいたい。

　その結果が、BCPの見直しにつながり、事業継続に対する確固たる見通しが持てるようになることを期待する。

事業継続計画（BCP）と事業継続管理（BCM）

　特にこれらの説明をすることなしに、いきなり情報セキュリティガバナンスにとってのBCMの話を進めてきたが、そのエッセンスはお分かりいただけたであろうか。重大事故には、大量の顧客情報漏えいなどを含めて考え、そのときの危機管理に重点を置く考え方もあるが、情報セキュリティガバナンスの視点からは、IT依存の高まる事業の継続を第一義にとらえるのが最も自然な取り組みであろう。

　これらの取り組みを踏まえて、顧客や取引先、株主などの利害関係者に、事業継続についての的確な取り組みを説明できるようになることが、ガバナンス視点からの要である。市場や社会は、企業にこのような説明責任を果たすことを求めている。

　BCM、BCPについてさらに知りたい方は、経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」を参照されたい。

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問。前職はIBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。

「情報セキュリティガバナンスを確立せよ」バックナンバー

• 情報セキュリティのガバナンスとマネジメント
• 事業継続管理と情報セキュリティガバナンス
• 自社のセキュリティ対策を他社と比較する
• 情報セキュリティ対策レベルの決め方
• Winny事故で問われる企業の情報管理能力
• 情報セキュリティガバナンスの5力とは
• 情報セキュリティはCSRである