前回に引き続き、IT版のBCP(事業継続計画)について、お話します。
前回は全体の大きな流れと現状および課題確認、基本方針についてお話しました。もう少し、この内容について説明します。
基本方針
基本方針とはITツールに対する業務の依存度を把握したうえで、どれくらいの期間で復旧させるかの目標を考えることです。
言葉を換えるとITサービス継続のための要件定義ということになります。基本は、いつまでに、どの程度のデータを用いて、どのくらいの業務レベルに戻すかということを考えていきます。
難しいのはネットワークや共有サーバーのように複数の業務に影響を与えるものは優先度を高くして復旧する必要がありますが、その復旧方法のレベル感はいろいろあるということです。
例えば、一時的にパソコンだけで稼働する状況を作り出すとか、外部の被害にあっていないネットワークを利用するといった代替手段によって、復旧のしやすさが大きく変わります。
対象がクラウドサービスの場合は、サービス提供会社の規程に依存するため、復旧時間等は決めにくいということもあります。さらにクラウドサービスの提供会社が国外の場合、日本では何ともならないと制約があるかもしれません。
また、外部サービスの場合は、サービス終了というリスクもあります。通常は事前予告をしてもらえることが多いので、対応はしやすいですが、サービス提供会社の規模によっては、突然といったこともゼロではありません。発生頻度は低いながらも考慮しておいた方が間違いないと思います。
とはいえ、こちらも類似サービスへの変更やエクセル等での代行入力(後でシステムへ挿入)、紙ベースでのやりとり等代替手段によって、復旧できるレベル感を決めていくことになります。
システム的要因、人的要因
現状分析では、その点を明確にするため、システムが要因で起こる情報漏えいや標的型攻撃のような犯罪、システムのアップデートミスといったものだけでなく、人的な要因である入力ミス・設定ミス、不適切な入力によるものも考慮に入れてリスクを考えていきましょう。
つまり、通常の事業継続計画における自然災害や電気・通信等のインフラ障害といった外の要因以外にも目を配って必要があるということです。
リスクは単体でなく、複合的に起きること(地震が津波を誘発し、停電も起きる)も少なくないですが、まずは単体のリスクで書き出してから、複合部分を検討するといった進め方をしてください。
リスク評価は俯瞰的に
このようなリスクを洗い出したのち、その規模や影響範囲、業務停止による損害の大きさを評価していきます。いわゆるリスク評価です。これらは通常の事業継続計画策定時にも同様のことを行っているはずなので、同じ評価軸で行っておくと整合性がとりやすいと思います。
担当者の操作スキルレベルや対応のためのIT担当もしくは運用保守業者の対応力といったITならではの評価軸もあるので、同じ評価軸というわけではありませんが、ベースになると思います。
損害の大きさは金額で表せることが望ましいですが、算出が難しいことも多いため、ある程度仮定をして、概算で算出するか、定性的な表現と大中小のような3段階評価で行ってもいいです。
ここに時間をかけすぎて、全体の計画策定が遅れるより、まずはおおよその評価をして、優先順位や対策のレベル感を決めておき、計画策定後に状況によって見直すといったほうがいいです。
計画を立てることで、先ほどお話した複数のリスクを一体的に考えたほうがいい場合も見えてくるので、改めてリスク評価を見直すということも少なくないからです。
それよりもリスク評価が評価者によってバラツキが出て、優先度が高いはずのリスクが低い評価を得てしまわないように、評価の相互チェックは行うことをお勧めします。