内閣官房情報セキュリティ(現在の『内閣サイバーセキュリティセンター』)が策定した『IT-BCP策定モデル』をご存知でしょうか。
IT-BCP策定モデルは行政向けのIT-BCP対策が書かれた資料ですが、企業がIT-BCPを自社内で策定する上で欠かせない実践的な情報が盛り込まれています。今回はIT-BCP策定モデルの概要とそれぞれのステップについて全2回で解説します。今回はその1回目で、大きく概要と策定の最初のステップである“環境整備”について解説します。
IT-BCP策定モデルの概要
IT-BCPとは『情報システム運用継続計画』の略称であり、では以下のように定義されています。
・正式な名称は「情報システム運用継続計画」である。
・府省庁における事業継続計画(業務 BCP)の情報システムの復旧について書かれた部分をより詳細化した計画である。
・災害や事故等の非常時に情報システムを早期に復旧させ継続して利用するために必要な非 常時の行動手順で構成される計画である。
・IT-BCP には、非常時に適切な対応を取るために必要な事前対策や教育訓練等の平常における実施計画が含まれる。
引用:IT-BCP策定モデル – 内閣官房セキュリティセンター(現内閣サイバーセキュリティセンター)
平時のシステム障害とは異なり、震災などの非常事態下における業務継続に致命的な影響を与える業務に支障を与える情報システムの復旧を検討するものになります。ここでは、IT-BCP策定モデルが求められた背景と、その策定ステップを中心に解説していきます。
IT-BCP策定モデルが求められた背景
このIT-BCP策定モデルが取りまとめられたのは、平成25年6月です。平成23年3月に発生した東日本大震災によって政府機関の情報システムの脆弱性が複数発覚することになり、その結果情報システム運用継続の検討課題とその対応策が議論されたことが契機となります。そこで指摘された大きな課題は以下の2つになりました。
- 現在の対策状況に基づいた運用継続計画となっていない
- ガイドが要求する水準が高く、具体的でない
これらのことから、IT-BCPの策定に参考となる以下の実践的な内容を盛り込んだものがIT-BCP策定モデルとなります。
- 策定手順解説
- 作業場の工夫
- 成果物の詳細な例示
内閣官房情報セキュリティとは
ITが社会の隅々まで活用されている中で、サイバー攻撃や情報漏洩などの問題への対処や情報セキュリティ確保が政府の課題です。この情報セキュリティ問題に関する日本の中核機関が内閣官房情報セキュリティセンター(通称NISC:National Information Security Center)になります。現在は内閣サイバーセキュリティセンターにその名称が変更されています。
内閣官房情報セキュリティセンターの主な機能は以下になります。
- 情報セキュリティ政策に関する基本戦略の立案
- 政府機関の総合対策促進
- 政府機関の事案対処支援
- 重要インフラの情報セキュリティ対策
参照:『内閣官房情報セキュリティセンター(NISC)の設置について』 – 内閣官房情報セキュリティ対策推進室
策定ステップ
IT-BCP策定モデルでは、策定の手順を5つのステップに分けています。このステップは、情報連携に着目してさらに9つの策定手順に分けることができます。
具体的な5つのステップと9つの策定手順は以下になります。
Step1.環境整備
① 基本方針の決定
② 実施・運用体制の構築
Step2.前提の整理
③ 想定する危機的事象の特定
④ 被害状況の想定
Step3.分析、課題の抽出
⑤ 情報システムの復旧優先度の設定
⑥ 情報システム運用継続に必要な構成要素の整理
Step4.計画策定
⑦ 事前対策計画の検討
⑧ 非常時の対応計画の検討
⑨ 教育訓練計画・維持改善計画の検討
Step5.実施(評価・改善)
各ステップの概要や詳細は、次からの各章で説明します。
策定モデルのパターン分類
情報システムの運用継続で必須となるのが、情報システムを利用する業務部門と情報システム部門との部門間の連携となります。そこでIT-BCP策定モデルでは、業務部門と情報システム部門の組織の在り方から2つのパターンを設けています。
パターン1 業務部門の一部 | 情報システム部門が、現場業務を行う部門と同一の部局内に所属し、主に所属部門の業務システムの構築や運用を担当します。 |
パターン2 組織全体の情報システム | 情報システム部門が、現場業務を行う部門とは別の独立した部門に所属し、組織全体の情報システムやネットワーク等の構築や運用を担当します。 |
ステップ1 環境整備
策定モデルの最初のステップが環境整備になります。環境整備に含まれる策定手順は以下の2つになります。
- 基本方針の決定
- 実施・運用体制の構築
このステップで最も求まれるのは、モデル策定と実際の運営を含むIT-BCPにおける対象範囲と基本方針の合意になります。この環境整備の段階においては、情報システム部門が主導的な立場となって、すべての関係者の合意を得ることが重要です。
企業全体の方向性を決める『基本方針の決定』
IT-BCP策定モデルにおける策定手順の最初が、基本方針の決定となります。基本方針とは、非常時における対応方針や継続させる業務活動などを決めることです。具体的には、以下のことを主に決定していきます。
- 対象範囲:非常事態が発生した際に優先して継続させる業務
- 担当者 :継続業務を行うために割り当てるリソース(どの部門が担当するか)
- やりかた:対象業務を実施するタイミングとその概要
言い換えれば、IT-BCPを行う目的を明確にするプロセスとも言えます。ここで決められた基本方針が、実行部門や組織に引き継がれていきます。そのため、この段階で関連する組織や部門へも情報の連携と合意を行うことが求められます。
適切な連携や合意が取れていない事が原因で、策定がとん挫することや策定の実行に支障が出ることがあります。連携の不足は、基本方針の決定や策定において組織間の具体的に連携すべき情報は何かということを明確に決めておくことで防ぐことができます。
プロジェクトを動かすための『実施・運用体制の構築』
プロジェクトを動かす組織は以下の3つに分けられます。
- 情報システム部門
- 業務部門
- その他の関連部門
IT-BCP策定ならびに実際の運用体制の構築のためには、上記3つの部門の適切な情報連携や検討体制の構築が必要になります。
業務部門との連携
連携は、業務部門を第一に考えます。また、業務部門との連携について、前述の組織の在り方によるパターンによって留意すべき点が異なってきます。情報システムが目標復旧時間(IT-RTO)を設定する際に、業務部門からヒアリングして考慮すべき事項は以下になります。
パターン1 | ・業務部門が設定する非常時優先業務の目標復旧時間(RTO) ・業務の復旧優先度 ・手作業などの代替手段の有無 ・代替手段による業務継続が可能な期間 組織全体を動かす情報システム基盤IT-RTOは、組織全体を管轄する 情報システム部門との情報連携必須*です。 |
パターン2 | ・各部門のIT-RTOにおける共通の情報システム基盤の利用段階 ・共通の情報システム基盤の復旧のたたき台を作成し、非常時優先 業務を所管する部門との対応の実現性 |
*情報システム基盤とは、組織全体で活用するネットワークやメールや認証装置などをいいます。
その他の部関連部門との連携について
その他の関連部門とは、以下の4つの項目について連携・検討することが望まれます。
検討体制・組織 | 確認事項 |
①業務継続推進体制 | 非常時の優先順位と初動体制 |
②情報セキュリティ推進体制 | 非常時における情報セキュリティ水準と 対策レビュー |
③組織の最高責任者の決定 | 下記事項における承認権限の決定 ・非常時優先業務 ・優先復旧システム ・対策投資計画 |
情報システム基盤体制 | 非常時における以下の割り当て方法 ・電力 ・ネットワーク ・場所 |
まとめ
今回はIT-BCP策定モデルについての概要と最初のステップである環境整備についてまとめました。次回はステップ2の情報の収集と整理から最終ステップである実施(評価・改善)までを解説しますので、そちらもぜひご確認ください。