内閣官房情報セキュリティセンターより今年の3月に「中央省庁における情報システム運用継続計画ガイドライン」が発行されました。
これはIT-BCP(ITシステムの継続性)にフォーカスした府省庁向けのガイドラインであり、策定手法を記述した手引書と計画文書のサンプルとなる雛形から構成されています。
IT-BCPに特化した府省庁向けガイドライン
これまでIT-BCPに関する主なガイドラインとしては、BS25777(BSI,2008年発行)、ITサービス継続性ガイドライン(経済産業省、2008年発行)、地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン(総務省、2008年発行)、ISO27031(2011年発行)などがあります。本手引き書は“府省庁向け”となってはいるものの、先のIT-BCPガイドラインと比較しても、構築、運用の流れについての本質的な考え方・アプローチの仕方は同じであるということができます。
9つのステップからIT-BCPを策定
手引書では、IT-BCPの策定について以下の9つのステップからBCPを策定する手法を解説しています。策定については平成19年に発行された「中央省庁業務継続ガイドライン」と併用して策定を進めることを前提としています。
例えば「5.重要システムの復旧優先度」のステップでは、他のIT-BCPガイドラインの例に漏れず、あらかじめ復旧優先業務が洗い出されていることを前提としています。仮に復旧優先業務が特定されていない場合には、「中央省庁業務継続ガイドライン」を参考(他のBCPガイドラインを参考にすることを否定するものではありません)にした要件の明確化を行うよう求めています。
各システムを重要度に応じて6段階にグループ分け
本手引書の肝となる部分が、システムの関する分析手法と対策です。策定ステップでは「5.情報システムの復旧優先度の決定」「6.情報システムと構成要素の関連整理」「7.事前対策計画の検討」「8.非常時の対応計画の検討」にあたる部分です。まず「5.情報システムの復旧優先度の決定」システムを6段階にランク付けし、このランクによって対策を決定していきます。
| 復旧優先度ランク | 情報システムに求められる目標復旧時間 |
|---|---|
| S | 0~3時間内に復旧が必要な情報システム |
| A | 3~1日以内に復旧が必要な情報システム |
| B | 1日~3日以内に復旧が必要な情報システム |
| C | 3日~1週間以内に復旧が必要な情報システム |
| D | 1週間~2週間以内に復旧が必要な情報システム |
| E | 2週間を超える停止が許容できる情報システム |
なお、この作業を行う際、本手引書ではシステムを6つの構成要素に分解した上で、「それぞれの構成要素に対して、ランク付けされた目標復旧時間を満たすにはどのような対策を打つべきなのか」、という観点から対策を検討するアプローチをとっています。
【システムの構成要素】
- ハードウェア
- システム領域(OS,ソフトウェアなど)
- データ領域
- 施設
- 情報通信ネットワーク
- システム運用体制
- ベンダの事業継続能力
【ハードウェアの対策レベル】
| 復旧優先度ランク | 対策目標(例) |
|---|---|
| S | ホットスタンバイ用ハードウェアの確保 |
| A | ウォームスタンバイ用ハードウェアの確保 |
| B | コールドスタンバイ用ハードウェアの確保 |
| C | |
| D | 遠隔地にバックアップ用ハードウェア準備なし |
| E |
【データセンターへの移設を検討する際の対策レベル】
| 復旧優先度ランク | 対策目標(例) |
|---|---|
| S | データセンターへの移設 |
| A | |
| B | |
| C | |
| D | データセンターへの移設なし |
| E |
本手引き書のメリットを生かしつつ他のIT-BCPガイドラインと上手な併用を
これまでに挙げたいくつかの例からもご理解いただけるとおり、“中央省庁”と銘打たれた手引き書ではあるものの、民間企業を敬遠するような解説に終始していないという点で、業種業態の垣根にとらわれない汎用性を十分に兼ね備えたものである、ということができます。その一方で、本手引き書は、具体的な策定手法と対策の例を記述し、かつ、計画文書の雛形を用意しており、この点については他のIT-BCPガイドラインに比べても評価できる部分です。
民間・非民間であるか、IT-BCP構築済み企業・見構築企業であるかを問わず、どれか一つのIT-BCPガイドラインに固執するのではなく、本手引き書や他のIT-BCPガイドラインの良い部分を参考にしつつ、IT-BCPの構築や見直しを進める、ということが賢明な活用方法であると考えます。
