BCPはセキュリティインシデントや自然災害発生時、事業活動を迅速に復旧、再建するために必須の要素です。BCPがどのようなものか理解し、前もってさまざまな状況を想定した上で、緊急時に適切に対処できるようにしておきましょう。
今回はBCPに関する基礎知識、そしてセキュリティインシデントや自然災害発生時に想定しておくべき対策ついてお話します。

BCPに関する基礎知識

はじめにBCPに関する基礎知識について簡単に説明します。

BCPとは

BCPとは「Business continuity planning」の略称であり、事業継続計画を意味します。具体的には、セキュリティインシデントや自然災害発生によって、企業や組織における事業の継続が難しくなった場合に復旧や復元を迅速に行えるよう計画することです。
BCPによって何かあった場合に対応策を講じておくこと、想定しておき対応できるようにしておくことで、セキュリティインシデントも含めて自然災害時においても迅速に事業活動を復旧・継続できるようになります。
また、BCPは計画を立案して終わりというものではありません。実務担当者や管理者、経営陣や利害関係者を含めて、実際に災害が発生した時の訓練を行います。いわゆる火事や地震の避難訓練と同様に、企業や組織として災害から身を守るためにBCPは必須と言えます。

自然災害も含めてセキュリティインシデントは他人事ではないということ

自然災害やセキュリティインシデントは対岸の火事、他人事のように感じてしまうことがあります。自分自身には起こらないという根拠のない自信によって、備えを疎かにすると、将来何かあった時にいろいろなものを失うことになりかねません。
例えば東日本大震災が発生した際、多くの企業や組織、または自営業者が事業を存続できず廃業しました。復旧には多くの時間とお金のコストを要しましたが、まだまだ完全に復旧しているとは言えず、元の暮らしや仕事に戻れていない人のほうが多いでしょう。
企業や組織は人の集まりです。事業を継続していくことで、従業員とその家族の生活を守ることにつながっています。同時に顧客やユーザーなど、サービスや商品を求めている人たちに対しても、災害以前と同じように提供することが、企業や組織としての使命や責任であることを考えると、BCPに真剣に取り組むことは非常に大切であることがわかります。

バックアップを遠隔地に保存およびコピーできる仕組みの重要性

企業や組織における事業活動では、情報資産である電子データの保存や保管がBCPの鍵といえる存在になっています。災害が発生し、通常稼働しているサーバーが停止しても、他のところにバックアップがあれば、システムやデータを復元できるためです。もし、バックアップが何もない場合、顧客情報や機密情報が失われてしまい、復旧も復元も再建もできなくなってしまいます。
そのため、バックアップを一ヶ所に集中させるのではなく、遠隔地や比較的安全な地域に保存および保管しておくと、何かあった時にすべてを失わずに済みます。定期的なバックアップとともに、データやシステムのロールバックも可能な仕組みを導入しておけば、自然災害だけでなく、セキュリティインシデントが発生した際も非常に強みになるでしょう。

セキュリティインシデントや自然災害発生時に想定しておくべき対策

次にセキュリティインシデントや自然災害発生時に想定しておくべき対策について解説します。

初動や公式に発表するための手順や責任区分の可視化・明確化

事前にBCPにおいて、初動や公式に発表するための手順、責任区分の可視化や明確化を行いましょう。いざという時にすぐに動けるようにしておくこと、誰の判断で実行するかも含めて決めておくということです。
また、自然災害やセキュリティインシデント発生時が、必ずしも営業時間内や営業日であるとは限りません。そのため、責任者と連絡が取れない、判断ができないということになりがちです。ひとりに責任や判断をさせるのではなく、複数人に責任や判断、指示ができるよう権限を割り振っておくのがおすすめです。

被害状況の把握や被害拡大を防止するための対応策

自然災害やセキュリティインシデントは「情報の誤り」が致命的になることがあります。可能な限り、被害状況を正確に把握し、被害拡大を防止するという意識を持ちましょう。また、社内や組織内の人間だけでなく、関わりのある人間も含めてパニックになることも考えられます。
落ち着いてもらうためにも、公式としてしっかりとアナウンスすること、わからないことはわからないと明確に伝えることも時には必要です。アナウンスをしないまま、もしくは状況を把握しないままですと、二次的な被害におよぶ恐れもありますので、ネガティブな状況であるにせよ、積極的な情報収集と、誠意のある状況説明を実行することが大切です。

バックアップと復旧に関する対策

被害状況を調査し、何がダメで、何ができるのか把握したら、次はバックアップから復旧や復元する手順に沿って行動する必要があります。そのため、前もって復旧や復元の手順を決めておくこと、必要な範囲の人材に訓練しておくことが重要です。
可能であれば複数のバックアップ先の確保、そして復旧できる人材の分散化、もしくはシステム復旧や復元に強いベンダーとつながっておくなど、再建する手段をいくつか作っておくことをおすすめします。

業務を正常に再稼働させるための具体的な手順およびマニュアル

バックアップから復旧や復元が済んだ後、本稼働の前にまずは業務が再稼働できるかを確認する必要があります。そのための具体的な手順およびマニュアルを作成し、実務で作業する現場の従業員に周知しておきましょう。また、復旧作業などと同様に再稼働するための訓練も行っておくべきです。
いざという時に人間自身がいつも通りに動けるとは限りません。だからこそ、マニュアルを作成しておくこと、マニュアル通りに訓練しておくこと、その結果に応じて改善し続けることなど、常日頃から当事者意識を持つようにしましょう。

通常通りの作業・業務・営業が再開できるまでの流れを想定

業務や作業が再稼働できる状態に戻ったら、次は通常通りの作業や業務、そして営業が再開できるかを確認しましょう。社内や組織内での調整が終わり、顧客やユーザーにサービスや商品を提供できる段階です。重要なのは「復旧したから、大丈夫だろう」ではなく、「いつも通りに営業できるかどうか」です。
もちろん、デバイス面でもシステム面でも完璧に復旧するまでは時間がかかります。だからこそ、何が課題や問題なのか、解決していない、もしくは不足している部分を精査しつつ、改善していくことが求められます。
セキュリティインシデントや自然災害が発生したタイミングから復旧・再建するための流れを想定しておくこと、同時に課題や問題を解決するための意思決定や判断などの体制を整えておくことをおすすめします。

まとめ：最悪の事態を想定しつつも迅速に対応できるよう準備しておこう！