ITサービス継続マネジメント (ITSCM)
掲載:2008年10月02日
用語集
ITSCMとはBCMの一環として、情報システムに関わる業務継続を担保するための仕組みです。
ITSCMとは情報システムに関わる業務継続(BC)の仕組み
経済産業省発行の『ITサービス継続ガイドライン』には、ITSCMを「事業継続マネジメントの中からIT の要素を取り出したもの」と定義しています。
具体的には、企業が重要な事業活動を遂行する上で必要不可欠な情報システムについて、大規模な事故・災害によってその利用ができなくなった場合でも、組織として許容可能な時間内に、許容可能なレベルまで復旧できるようにするための仕組みのことを言います。
なお、ここで言う「情報システム」とは、コンピュータシステム、ネットワーク機器、アプリケーションや通信機器といった情報システムそのもののみならず、これら情報システムを適切に稼働させるために必要な人・モノ・情報・金(技術者や委託業者など)といった間接的なリソースも含んだものを指します。
言い替えると、ITSCMとは、ディザスターリカバリプラン(DRP:情報システムを許容可能な時間内に、許容可能なレベルまで復旧させるための災害・障害復旧計画書)が常に有効に機能するために行う一連の活動(方針を定め、分析を行い、戦略を立て、文書化し、実装化し、訓練を行い、見直しを行うこと)である、とも言えます。
重要な業務を継続するために必要な対策を考えるITSCM
分かりやすくするために簡略化した例で説明します。
例えば、「自動車販売」を重要な事業とする企業を想定しましょう。
この企業の「自動車販売」という事業を支える重要な業務の1つが「自動車の製造」であるとします。ITSCMでは、この「自動車の製造」という業務を継続するために必要な情報システムが停止した場合でも速やかに復旧できるような対策を考えることになります。
分析を行った結果、この業務を行うために必要な情報システムの1つとして「生産管理システム」が特定できました。従って、この「生産管理システム」が停止した場合の復旧計画を定める必要があることが分かりました。
なお、このときこの企業では、業務上の要件から「生産管理システム」が何らかしらの問題(例:火災、地震)により損壊した場合に、下記条件で復旧させることを目標として設定するべきであることが分かりました。
この目標を実現するために下記に挙げる3つの選択肢を検討し、2を復旧計画としました。
また、上記対策について口頭で決めておくだけでは、いざというときに迅速に動けない可能性が高いため、DRPとして文書化しました。また、作成した計画に漏れや欠陥がないことを確認するために、検証(=エクササイズ(演習))を行い、漏れや欠陥が発見された箇所については修正をしました。
こうした一連の活動全てがITSCMという仕組みで定められた動きになります。
ITSCMを正しく運用するためには、この仕組みをしっかりと定着させることが重要です。そのためには、上記のような活動を継続的に実施することが肝要になります。
例えば、「自動車販売」を重要な事業とする企業を想定しましょう。
この企業の「自動車販売」という事業を支える重要な業務の1つが「自動車の製造」であるとします。ITSCMでは、この「自動車の製造」という業務を継続するために必要な情報システムが停止した場合でも速やかに復旧できるような対策を考えることになります。
分析を行った結果、この業務を行うために必要な情報システムの1つとして「生産管理システム」が特定できました。従って、この「生産管理システム」が停止した場合の復旧計画を定める必要があることが分かりました。
なお、このときこの企業では、業務上の要件から「生産管理システム」が何らかしらの問題(例:火災、地震)により損壊した場合に、下記条件で復旧させることを目標として設定するべきであることが分かりました。
- 許容可能な時間: 48時間以内
- 許容可能な復旧レベル: 100%(データ閲覧や読み書きの機能が実施できる状態)
この目標を実現するために下記に挙げる3つの選択肢を検討し、2を復旧計画としました。
1.被災時には、自動で代替施設にあるバックアップ生産管理システムに切り替わるように予め構築しておく。
2.被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をあらかじめ社内に用意しておく。
3.被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をベンダー契約で確保しておく。
2.被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をあらかじめ社内に用意しておく。
3.被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をベンダー契約で確保しておく。
また、上記対策について口頭で決めておくだけでは、いざというときに迅速に動けない可能性が高いため、DRPとして文書化しました。また、作成した計画に漏れや欠陥がないことを確認するために、検証(=エクササイズ(演習))を行い、漏れや欠陥が発見された箇所については修正をしました。
こうした一連の活動全てがITSCMという仕組みで定められた動きになります。
ITSCMを正しく運用するためには、この仕組みをしっかりと定着させることが重要です。そのためには、上記のような活動を継続的に実施することが肝要になります。