ISO27031は、IT-BCPの策定・維持管理に必要な活動やテクニックについて解説をした国際ガイドラインです。ここでIT-BCPとは、期待されない事象(例:火災やハッキング、オペレーションミスなど)により会社の事業に必要不可欠なITサービスが中断した際に、経営陣が望む時間内に速やかにITサービスを再開・継続させるための行動計画を指します。
ISO27031はIT-BCPの国際ガイドライン
この行動計画(IT-BCP)を、当ガイドラインでは「事業継続におけるICTの備えに関わる計画(IRBC Plan)」または「ICTディザスターリカバリープラン(ICTDRP)」と表現していますが、本稿では分かりやすさを優先し便宜上IT-BCPと呼ぶことにします。
IT-BCPに関する最新解説本
当ガイドラインは、2011年3月1日に正式発行されました。2009年に発行された英国規格BS25777(情報通信技術の継続に関する実践規範)をベースとしており、これに国際的に広く知られたBCP/IT-BCP規格・ガイドラインを加味する形で策定されたものです。とりわけ注目されるのは当ガイドラインが、2011年8月現在ISO版BCPとしての発行が待ち望まれているISO22301(現在、策定が進められており2012年に正式発行される予定)をも参考にしていることです。こうした点からも、ISO27031は過去十数年間にわたるノウハウを取り入れた最新のIT-BCPガイドラインということができるでしょう。ISO27031とBCPガイドラインは相互に補完する関係
そもそもIT-BCPは、BCPのサブセット版ともいうべきものであり、BS25999(イギリス)やNFPA1600(アメリカ)、事業継続ガイドライン(日本;内閣府)など広く一般的に知られるBCPの規格・ガイドラインの中に、ITサービス継続対策を導きだすためのプロセスも包含されています。しかしながら、技術の高度化・複雑化が加速度的に進み、ITそれ自体が大きな1つのテーマとして議論される今日、有効かつ具体的なITサービス継続策を導き、導入し、運用してゆくためには、ITの観点から事業継続を深く掘り下げた実践的なガイドラインの存在が欠かせないのもまた事実です。ISO27031は言わばこの要求に応えたものであり、BCPガイドラインを補完するものです。具体的にはたとえばBCPガイドラインであるBS25999-1:2006では、時系列に「平時の運用」「インシデント対応」「事業継続」「復旧」の4つの対応の段階を念頭におきつつ必要な行動計画を策定するよう示唆しています。これに対してIT-BCPガイドラインであるISO27031では「平時の運用」「発見」「インシデント対応」「復旧」の4つの対応段階を念頭においた整備を示唆しています(下図参照)。
ISO27031において特に「発見」という対応段階が明示された理由は、ITサービスの中断が、目に見えない形の事件・事故(例:ハッキングやネットワークの論理障害など発見までに時間がかかるような事象)によって引き起こされることが少なくないためと思われます。
ISO27031は補完される立場でもあります。IT-BCPでは構築ステップの前半で、ITの復旧要件(何時間以内に○○アプリケーションを復旧させる必要があるのか、など)を特定することを求められますが、その際にはビジネス要件(何時間以内に○○業務を復旧させる必要があるのか、など)が特定(事業インパクト分析:BIA)されていなければなりません。この活動についての解説は、ISO27031からは省略されているため、BCPガイドライン(BS25999やISO22301など)を見る必要があります。
以下の図は、ISO27031で紹介されているものですが、IT-BCPとBCPが相互に補完する関係であるということを示したものであることが認識できます。
以下の図は、ISO27031で紹介されているものですが、IT-BCPとBCPが相互に補完する関係であるということを示したものであることが認識できます。
ITサービス継続ガイドライン vs ISO27031
IT-BCPに関するガイドラインとしては、2005年にISO27001、2006年にPAS77(BSI)と金融機関等におけるコンティンジェンシープラン策定のための手引書(第3版)(FISC)、2008年にITサービス継続ガイドライン(経済産業省)、2009年にPAS77の後継としてBS25777が、そして、2012年3月にこのISO27031が、というようにこれまでに数多くのガイドラインが発行されています。中でも、比較的新しく、かつ、経済産業省から発行されたものであるということで、ITサービス継続ガイドラインが注目されてきました。ITサービス継続ガイドラインは、国内のみならず海外のガイドラインや規格も参考にしているため、ISO27031とで、カバーしている項目に大きな違いはありません。が、解説の詳述度合という観点で大きな差異が見受けられます。
たとえば、ボトルネックの特定(リスクアセスメント)については、ITサービス継続ガイドラインのほうが細かく例示を挙げていますが、ISO27031ではアプローチ方法の例示にとどまります。また逆に、教育・演習については、ISO27031の方がより詳しく解説を行っています。
【ITサービス継続ガイドラインとISO27031のカバー範囲と詳述度の違い】
| BCP/IT-BCP管理の流れ | IT-BCPガイドライン | BCPガイドライン (参考) |
||
|---|---|---|---|---|
| P | 方針策定 | - | 5.7.2 | 4 |
| 重要事業/サービスの特定 | - | - | 6.2 | |
| 重要業務(RTO)の特定 | - | - | 6.2 | |
| 重要リソース(RTO)の特定 | 4.2.1, 4.2.2 | 6.3.2 | 6.4 | |
| ボトルネックの特定 | 4.2.3 | 6.3.3 | 6.5 | |
| 予防低減策/対応策(戦略)の決定 | 4.2.4 | 6.4 | 6.6, 7 | |
| D | 導入 | 4.4.1, 5 | 7.1, 7.2, 7.3 | 8.1, 8.2 |
| 文書化 | 4.3 | 7.4 | 8.3, 8.4, 8.5, 8.6, 8.7 | |
| CA | 教育・演習・テスト | 4.4.1, 5.4.5 | 8.1.3 | 9 |
※ハイライトされた箇所は両者に中で比較してより具体的解説がなされていると考えられるものです
大きな課題解決は構築企業に委ねられたまま
これまで見てきたようにISO27031はIT-BCPを網羅的・体系的にカバーしているため、社内でBCPやIT-BCPを構築する担当者(例:経営企画室、総務部、IT部など)、構築を支援するBCPコンサルタントがアプローチの仕方やその際の留意事項を理解する上で有益な情報源になるものです。ただ一方で、実際にIT-BCP構築者が陥りやすいであろういくつかの項目すべてについて、当ガイドラインがカバーしているわけではないことに注意が必要です。たとえば、「IT部門がビジネス要件を効果的・効率的に特定するためにはどうしたらいいか」といった点や、「ITリソース同士の複雑な依存関係(例:アプリケーションやプラットフォームの依存関係など)の洗い出し・整理をどのように行えばいいか」といった点は、多くの企業が持つ悩みですが、こうしたガイドラインを見ても、明確な答えを得ることができるわけではありません。
また、“情報の分散”という哲学を根底に持つ事業継続対策とは反比例の関係にある情報セキュリティ(機密性;情報の集中)を適切に実現するための活動と、どのようにバランスをとっていけばいいのかといった点についても特に答えが得られるわけではありません。
利用者は、こうしたガイドラインの限界と特性を理解した上で、ISO27031を活用することが肝要です。
