BCPとは何か? 地震への対応力強化とセキュリティ対策の重要性
- INDEX
-
BCPはセキュリティインシデントや地震などの自然災害発生時、事業活動を迅速に復旧、再建するために必須の要素です。BCPがどのようなものか理解し、前もって地震を含むさまざまな状況を想定した上で、緊急時に適切に対処できるようにしておきましょう。
今回はBCPに関する基礎知識、そして地震やその他の自然災害、セキュリティインシデント発生時に想定しておくべき防犯対策についてお話します。
BCPに関する基礎知識
はじめにBCPに関する基礎知識について簡単に説明します。
BCPとは
BCPとは「Business continuity planning」の略称であり、事業継続計画を意味します。具体的には、セキュリティインシデントや地震などの自然災害発生によって、企業や組織における事業の継続が難しくなった場合に復旧や復元を迅速に行えるよう計画することです。
BCPによって何かあった場合に対応策を講じておくこと、特に地震を含む自然災害やセキュリティインシデントを想定しておくことで、迅速に事業活動を復旧・継続できるようになります。
また、BCPは計画を立案して終わりというものではありません。実務担当者や管理者、経営陣や利害関係者を含めて、実際に災害が発生した時の訓練を行います。いわゆる火事や地震の避難訓練と同様に、企業や組織として災害から身を守るためにBCPは必須と言えます。
自然災害も含めてセキュリティインシデントは他人事ではないということ
地震などの自然災害やセキュリティインシデントは対岸の火事、他人事のように感じてしまうことがあります。自分自身には起こらないという根拠のない自信によって、防災の備えを疎かにすると、将来何かあった時にいろいろなものを失うことになりかねません。
例えば東日本大震災が発生した際、多くの企業や組織、または自営業者が事業を継続できず廃業しました。復旧には多くの時間とお金のコストを要しましたが、まだまだ完全に復旧しているとは言えず、元の暮らしや仕事に戻れていない人のほうが多いでしょう。
企業や法人組織は人の集まりです。事業を継続していくことで、従業員とその家族の生活を守ることにつながっています。同時に顧客やユーザーなど、サービスや商品を求めている人たちに対しても、災害以前と同じように提供することが、企業や法人組織としての使命や責任であることを考えると、BCPに真剣に取り組むことが非常に大切であることがわかります。
バックアップを遠隔地に保存およびコピーできる仕組みの重要性
企業や組織における事業活動では、情報資産である電子データの保存や保管がBCPの鍵といえる存在になっています。地震などの災害が発生し、通常稼働しているサーバーが停止しても、他の場所にバックアップがあれば、システムやデータを復元できるためです。もし、バックアップが何もない場合、顧客情報や機密情報が失われてしまい、復旧も復元も再建もできなくなってしまいます。
そのため、バックアップを一ヶ所に集中させるのではなく、遠隔地や比較的安全な場所に保存および保管しておくと、災害時にすべてを失わずに済みます。定期的なバックアップとともに、データやシステムのロールバックも可能な仕組みを導入しておけば、自然災害だけでなく、防犯対策が必要なセキュリティインシデントが発生した際も非常に強みになるでしょう。
セキュリティインシデントや自然災害発生時に想定しておくべき対策
次にセキュリティインシデントや自然災害発生時に想定しておくべき対策について解説します。
初動や公式に発表するための手順や責任区分の可視化・明確化
事前にBCPにおいて、初動や公式に発表するための手順、責任区分の可視化や明確化を行いましょう。いざという時にすぐに動けるようにしておくこと、誰の判断で実行するかも含めて決めておくということ、そして地震などの災害時に備えることが重要です。
また、自然災害やセキュリティインシデント発生時が、必ずしも営業時間内や営業日であるとは限りませんし、地震や津波などの自然災害も同様です。そのため、責任者と連絡が取れない、判断ができないということになりがちです。非常時に備えて、連絡体制を整えることが防災対策の一環です。ひとりに責任や判断をさせるのではなく、複数人に責任や判断、指示ができるよう権限を割り振っておくのがおすすめです。
被害状況の把握や被害拡大を防止するための対応策
自然災害やセキュリティインシデントは「情報の誤り」が致命的になることがあります。可能な限り、被害状況を正確に把握し、被害拡大を防止するという意識を持ちましょう。また、社内や組織内の人間だけでなく、関わりのある人間も含めてパニックになることも考えられます。
落ち着いてもらうためにも、公式としてしっかりとアナウンスすること、わからないことはわからないと明確に伝えることも時には必要です。アナウンスをしないまま、もしくは状況を把握しないままですと、二次的な被害におよぶ恐れもありますので、ネガティブな状況であるにせよ、積極的な情報収集と、誠意のある状況説明を実行することが大切です。
バックアップと復旧に関する対策
被害状況を調査し、何がダメで、何ができるのか把握したら、次はセキュリティ対策としてバックアップから復旧や復元する手順に沿って行動する必要があります。そのため、前もって災害対策として復旧や復元の手順を決めておくこと、必要な範囲の人材に訓練しておくことが重要です。
可能であれば複数のバックアップ先の確保、そして復旧できる人材の分散化、もしくはシステム復旧や復元に強いベンダーとつながっておくなど、地震対策として再建する手段をいくつか作っておくことをおすすめします。
業務を正常に再稼働させるための具体的な手順およびマニュアル
バックアップから復旧や復元が済んだ後、本稼働の前にまずは業務が再稼働できるかを確認する必要があります。そのための具体的な手順およびマニュアルを作成し、実務で作業する現場の従業員に周知しておきましょう。また、復旧作業などと同様に再稼働するための訓練も行っておくべきです。
いざという時に人間自身がいつも通りに動けるとは限りません。だからこそ、マニュアルを作成しておくこと、マニュアル通りに訓練しておくこと、その結果に応じて改善し続けることなど、常日頃から当事者意識を持つようにしましょう。
通常通りの作業・業務・営業が再開できるまでの流れを想定
業務や作業が再稼働できる状態に戻ったら、次は通常通りの作業や業務、そして営業が再開できるかを確認しましょう。社内や組織内での調整が終わり、顧客やユーザーにサービスや商品を提供できる段階です。重要なのは「復旧したから、大丈夫だろう」ではなく、「いつも通りに営業できるかどうか」です。
もちろん、デバイス面でもシステム面でも完璧に復旧するまでは時間がかかります。だからこそ、何が課題や問題なのか、解決していない、もしくは不足している部分を分析しつつ、改善していくことが求められます。
セキュリティインシデントや自然災害が発生したタイミングから復旧・再建するための流れを想定しておくこと、同時に課題や問題を解決するための意思決定や判断などの体制を整えておくことをおすすめします。また、地震や津波などの災害時における防災対策を検討しておくことも重要です。
まとめ:最悪の事態を想定しつつも迅速に対応できるよう準備しておこう!
今回はBCPに関する基礎知識、そして地震やその他の自然災害、セキュリティインシデント発生時に想定しておくべき対策についてお話しました。
日本は地震大国であり、先進国の中でもIT技術が普及している国のひとつです。地震などの自然災害やサイバー攻撃が発生しやすい環境にあります。何か起きた時のために、地震対策やマニュアルを用意しておくことは、企業や組織としても重要な責務だと理解しておきましょう。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、セキュリティインシデントの検知や原因特定がスムーズになります。同時に、セキュリティインシデントが起こりにくい環境が整いますので、ぜひともこの機会にご相談、お問い合わせください。