近年、自然災害・サイバー攻撃・パンデミック・地政学リスクなど、企業を取り巻くリスクは多様化・深刻化しています。
こうした中で、事業継続計画(BCP)はもはや単なる危機管理ではなく、経営の前提条件といえる存在です。
特に情報システムとデータへの依存度が高まる中、情報セキュリティの視点はBCPの中核として見直される必要があります。今回はそうした視点に焦点をあてています。
1.情報セキュリティをBCPの視点で捉える
情報セキュリティは、往々にして「リスク対策=コスト」と見なされがちです。しかし、これをBCP(事業継続計画)の文脈で捉え直すと、その意味は大きく変わります。
BCPとは、単なるトラブル対応の手順ではなく、「自社にとって守るべき価値は何か」を見極める行為に他なりません。
例えば、BCPの策定では「災害やインシデントが発生した際に、何を最優先で守るのか」を検討する必要があります。
それは言い換えれば、「自社のビジネスの中核は何か」「何を止めたら事業が継続できないのか」という、ビジネスの本質を問い直すプロセスです。
このようにBCPを通じてビジネスの優先順位を明確化することで、情報セキュリティへの投資も単なる“コスト”ではなく、“価値を守るための選択”として意味を持ちます。
逆にいえば、「すべてを守る」のではなく、「本当に守るべきものに集中する」ことこそが、限られたリソースを有効活用するために重要なのです。
BCP自体は事業プライオリティや財務、人事など全社活動によって行われるプロセスであり、通常情シス部門が主管することは希だと思われます。しかし、BCPにおけるセキュリティの強化に情シス部門がかかわることで、全社視点での貢献することになるのです。
2.情報資産の分類と影響度評価
BCPとしての情報セキュリティ対策を検討する際、最初に取り組むべきは、自社が保有する「情報資産」の棚卸しと、その重要性・リスク影響度の評価です。
対策はすべての資産に等しく施すのではなく、優先順位をつけてメリハリを持たせる必要があります。そのための基盤として、分類と評価の作業は欠かせません。
情報資産とは、単に電子データだけを指すのではありません。業務に必要な帳票や契約書類などの紙資料、業務知識を持つ人材、共有フォルダの構成、業務システムそのものなど、業務の継続に不可欠な要素全体を含みます。
これらを業務分類や部署単位で洗い出し、「どの業務において、何の資産が重要なのか」を明らかにする作業が求められます。
そのうえで、各情報資産が万が一使えなくなった場合に想定される「業務停止の影響」「法的・社会的な信用リスク」「顧客や取引先への影響」などを軸に、影響度を段階的に評価します。
このプロセスを通じて、経営判断にもとづいた「守るべき資産」と「容認できるリスク」の線引きが可能となります。
すべてを完璧に守るのではなく、重要資産にリソースを集中させ、効率的で現実的なBCP・情報セキュリティ体制を構築することが目的です。
なお、こうした資産分類や影響度評価は、一度実施して終わりではありません。
業務の変化や新たなリスクの出現に応じて、定期的に見直していく必要があります。
情シスはこの作業を主導する立場として、現場部門とのコミュニケーションを図りながら、全社的な可視化とルール整備を推進する役割が期待されます。
| 情報資産名 | 分類 | 業務停止時 の 影響度 |
保管場所/システム | BCP上 の 優先度 |
|---|---|---|---|---|
| 顧客情報データベース | 顧客情報 | 高 | CRMクラウド | 最優先 |
| 会計システム | 財務情報 | 高 | ERPシステム | 高 |
| 人事給与システム | 人事情報 | 中 | HRシステム | 高 |
| 業務マニュアル | 業務ドキュメント | 中 | ファイルサーバ | 中 |
| サーバ構成図 | IT構成情報 | 中 | ファイルサーバ | 中 |
| メールサーバ | 通信インフラ | 高 | Exchange サーバ | 最優先 |
| 営業支援システム(SFA) | 営業情報 | 高 | SFAクラウド | 高 |
| 商品マスタ | 商品情報 | 中 | ERPシステム | 中 |
| 社内ポータル | 社内情報 | 中 | イントラネット | 中 |
3.重要システムの復旧戦略と代替手段の整備
BCPにおいて、計画の中核をなすのが「いかに事業を継続・復旧させるか」というリカバリーの視点です。
地震や台風、サイバー攻撃、インフラ障害など、様々な事象によって情報システムが停止した場合、企業活動にどのような影響があるかを想定し、それに備えることが求められます。
情シス部門はこのリカバリー戦略の立案と実行において、不可欠な役割を担います。
まず、重要システムに対しては「RTO(目標復旧時間)」と「RPO(目標復旧時点)」を設定し、必要な復旧レベルと対応スピードを明確にします。
例えば、受発注システムや基幹会計システムは、停止時間が長引けば事業に深刻な影響を及ぼすため、短いRTO・RPOが求められます。
一方、バックオフィス系の一部業務システムでは、比較的緩やかな復旧要件が許容される場合もあります。
こうした復旧要件に応じて、各システムのリスクと対策を洗い出します。
クラウド利用が進む現代では、DR(ディザスタリカバリ)機能を備えたクラウドサービスの選定や、オンプレミス環境におけるバックアップ体制の強化、データレプリケーションの実施などが重要です。
また、単一のネットワークや回線に依存せず、VPNやインターネット回線の冗長化も考慮すべき要素です。
復旧戦略の中には、ITによる復旧が難しい場合の「代替手段」も含まれます。
例えば、業務マニュアルを紙でも保持しておく、クラウドアクセスが困難な状況でも最低限の業務が行えるように、ローカル環境での運用手順を準備しておくといった対応です。
これは「テクノロジーが使えないときに何ができるか」を事前に考えておくという視点であり、情報セキュリティや業務継続において欠かせない観点です。
さらに、システムのリカバリーは技術的な準備だけでは不十分です。
復旧作業を担うメンバーの役割分担や連絡体制、判断フローの整備など、人的・組織的な整備も同時に行う必要があります。
いざという時に、手順やルールが定まっていなければ、復旧の遅延や混乱を招く可能性が高まります。
情シスはこのようなリスク評価と復旧策の検討において、他部門と連携しながら、現実的かつ実効性の高い復旧戦略を設計する役割を担います。
単なる「システムの保守」ではなく、「ビジネスの継続」を見据えた復旧体制の構築こそが、BCPにおける情シスの真価といえるでしょう。
4.訓練とシナリオプランニングで鍛える対応力
BCPが「紙に書かれた計画」で終わってしまっては意味がありません。
実際に有事が発生した際、想定どおりに人もシステムも動けるかどうかが事業継続の成否を分けます。
そこで重要になるのが、「訓練」と「シナリオ」による対応力の強化です。
災害や障害は予告なく、複合的な形で発生します。
例えば、「地震で本社が使えなくなった」「そのタイミングでクラウドサービスにアクセスできない障害が発生した」「主要メンバーが出張中だった」――といった複合的なシナリオを想定し、実際にどう対応するかを検証することが、BCPの現実性を高めるために不可欠です。
この訓練において、情シスは以下のような役割を担います。
●システム障害時の対応フローの明確化
復旧手順の文書化、代替手段の確認、アクセス権限の管理など、事前に定義された対応フローがあるかどうかで、混乱の度合いは大きく変わります。
訓練では実際にこの手順を踏んでみることで、曖昧な点や想定外の状況を洗い出せます。
●情報伝達訓練の企画・実施
インシデント発生時の第一報の伝達方法、意思決定者への連絡経路、社内外への状況報告――こうした「伝える」動きも、ITインフラに深く依存しています。
緊急時でも機能する情報伝達手段(例:電話網、グループウェア、SMS代替)をあらかじめ試すことが重要です。
●シナリオ策定の主導
「このサーバがダウンしたらどうなるか?」「この業務担当者が不在だったら?」といったifシナリオを考え、発生頻度と影響度のバランスを見ながら優先順位をつけます。
これは情シスが持つ「全体構造を俯瞰する力」だからこそ可能なアプローチです。
さらに、訓練には「事後のフィードバック」が欠かせません。
実際にどこがうまくいき、どこに課題があったのか、参加者全員で確認し、次回の計画や対応手順に反映させていくことが、「生きたBCP」を育てる鍵です。
これはPDCA(計画・実行・評価・改善)サイクルの実践そのものであり、BCPの成熟度を高める重要な工程です。
情シスは、こうした訓練の設計・実施・評価に関わることで、単なるIT対応部門を超えて「組織の対応力を高める中核的存在」となれます。
有事の際、最前線に立つのは現場ですが、その裏で動作する仕組みと情報の流れを支えるのが情シスです。
こうした役割を自覚し、計画を「動かせる」ものへと変えていくことで、情シスはBCPの実効性を大きく左右する存在となるのです。
5.日常業務に活かすBCP視点
BCP(事業継続計画)というと、多くの人は「災害や緊急事態に備える特別な対策」として捉えがちです。
しかし、BCPの本質は“例外対応”だけでなく、“平常時における持続可能な業務のあり方”を見直す視点にあります。
情シスはこの考え方を、日常の業務設計や改善活動の中に組み込んでいくことができます。
例えば、以下のような日常業務にBCPの視点を取り入れることが可能です。
①「属人化」対策としてのドキュメント整備
ある担当者しか内容を把握していない業務、手順が口頭でしか伝えられていない作業――こうした“属人化”は、有事の際に業務継続を困難にします。
情シスがプロジェクト支援時やツール導入時に、マニュアルや手順書、設計書の整備を働きかけることで、平時からのレジリエンス(回復力)を高めることができます。
②「冗長化」と「切り替え性」の設計
システム障害時に備えたバックアップや冗長構成、あるいはデータセンターやクラウドのリージョン分散なども、BCP視点で考えるべき日常業務です。
また、業務フローにおいても、代替手段や一時的な手動対応など「スイッチの切り替え」が可能な設計を意識することで、有事におけるダウンタイムを短縮できます。
③「意思決定ルート」と「情報伝達」の明確化
障害やインシデント発生時、誰が判断し、誰に伝え、どのような情報を基に動くのか――こうした“指揮系統”の整理は、IT導入やワークフロー設計と深く関係しています。
情シスは、システムに組み込む形でこの構造を整備し、緊急時にも迷わず動ける土台を作ることができます。
④「日々の小さなトラブル」からの学び
BCP視点を取り入れるというのは、大規模災害だけを想定することではありません。
日々のシステムトラブル、操作ミス、連携の不備など、軽微な事象を都度レビューし、「何が弱点か」「どう備えるべきか」を見極めて改善に活かす――この“日常のフィードバックループ”こそが、実効性のあるBCPにつながるのです。
6.情シスが“BCPを内在化した業務設計者”になる
情シスは、ただITインフラを維持するだけでなく、「この業務はどこで止まりやすいか」「リスクを最小限にするにはどうするか」といった視点で業務そのものを再構築できる立場にあります。
BCPを特別な活動として切り離すのではなく、業務改善・ツール導入・運用ルール整備といった日常業務の中に自然と組み込んでいく――。
それこそが、全社的なレジリエンス向上に直結し、結果として有事にも動じない組織作りにつながります。
BCPは「やるべきこと」ではなく、「やっておいてよかった」と感じられる備えです。
情シスがその実現に日々の業務から貢献することで、組織の信頼と強さを支える存在となれるのです。
おわりに ~ご意見お聞かせください~
本コラムの主旨は単に情報やノウハウを伝えることではなく、読者の方からのフィードバックを受けて各テーマの解像度を高め、実践を積み上げていきたいというものです。
皆様の組織ではどのような課題を持っていますか、解決した事例はありますか。コラムの中で是非ご意見を紹介させてください。
▼是非こちらのフォームよりご意見、ご感想をお寄せください。▼
■著者紹介■
村松 真(むらまつ まこと)
出身:東京都稲城市
ひとこと:情シスの皆様に寄り添うコラムをお届けします
Microsoft Top Partner Engineer Award 2023年 受賞
エンジニアとしてのキャリアに加え、経営や組織開発、文書管理、Microsoft の製品知識、情報セキュリティなど幅広い視点で、中堅中小企業のお客様を支援。
大学に入学した1982年からコンピューターにさわりはじめ、社会人になってからはプログラマー、SE、開発管理などソフトウェア開発全般を経験しました。その後日本マイクロソフト社の有償サポートのマネージャを経てソフトクリエイト社に入社しました。
ソフトクリエイト入社後はサーバー構築やクライアントのドメイン移行や運用支援など、インフラ構築系案件のプロジェクトマネージャーとして経験を積んできました。
2019年に中小企業診断士の資格を取得し、コンピューターシステムだけではなく、経営視点や組織開発、文書管理、情報セキュリティなど様々な角度からお客様のソリューション支援を行っています。
長年情シスのお客様と接していて、頑張っているのになかなか報われない姿をみてどうやったら応援できるだろうかと考え続けてきました。
DXによる変革と、AI活用による業務変革がすべてのお客様に求められる現代において、情シスの価値が爆上がりするチャンスが到来しました。
この機を捉えてブレイクする情シスに寄り添うコラムをお届けしたいと思います。
