セキュリティ

 

IT-BCP(情報システム運用継続計画)とは?情報システムの停止を防ぐセキュリティの重要性

IT-BCP(情報システム運用継続計画)とは?情報システムの事業停止を防ぐセキュリティの重要性

変化の時代、企業は災害やサイバー攻撃など、事業停止にまつわる様々なリスクに直面しています。そして、テレワークが常態化する中では、それらの対策も遅れがちです。そうした中で注目を集めているのが「IT-BCP」。情報システムの停止を防ぎ、様々なリスクに立ち向かうための概念です。

本記事では、その概要と実践に向けた具体的なステップをご紹介します。

IT-BCP(情報システム運用継続計画)とは

IT-BCPとは、「情報システム運用継続計画」の略称で、ITシステムにおけるBCP対策を指します。緊急時にもビジネスに必要なITシステムの運用を維持することが目的とされており、不測の事態に伴う被害を最小限に抑えることが求められます。

では、なぜ今、IT-BCPが注目されているのでしょうか。

なぜIT-BCPが必要か?IT-BCPが注目される背景

IT-BCPが注目を集める背景には、この数年間で事業停止を招きかねない深刻なリスクが増大していることがあります。例えば、次のような事柄が挙げられます。

巧妙化しているサイバー攻撃

昨今、サイバー攻撃の手口はますます巧妙化しており、その被害も増大し続けています。新たな未知のマルウェアも次々と登場しており、単なるいたずらではなく、企業の資産や金銭狙いの攻撃も増え続けています。

テレワーク化による、セキュリティリスクの増加

新型コロナウイルスの感染拡大に伴い、テレワーク化が進む今、企業のセキュリティリスクは以前よりも増大しています。従業員が分散して働く中で、十分なセキュリティ対策を行えていない企業も極めて多いことが問題視されています。

DX化・ITシステムの利用によるリスク増加

SaaS・PaaS・IaaS など、新しいITシステムの導入が増加する今、常時インターネット接続することは常識といえます。しかし、インターネットに接続されたツールが増えれば増えるほど、サイバー攻撃のリスクも肥大化することを忘れてはいけません。また、ITシステムが業務に必要不可欠なものとなればなるほど、それが停止した場合の損失も大きくなります。

このようなリスクに立ち向かうための対策が「IT-BCP」です。ここからは、その具体的な実現方法を見ていきましょう。

IT-BCPの実現方法

IT-BCPを実現するまでの流れは、内閣官房情報セキュリティセンターが発行した「IT-BCP 策定モデル」で紹介されています。主に次の5つの段階を踏むことが重要です。

STEP.1 環境整備

最初のステップでは、IT-BCP策定の方向性や基本方針、対象範囲などを整理し、必要な体制整備を行います。

実際にIT-BCP策定を行った企業を分析してみると、情報システム部門と「業務部門」や「その他の関連部門」において、IT-BCPの方針決定や各部門の役割分担が不明確であるがゆえに、成果を上げられなかったケースが見受けられます。

こうした事態を回避するためにも、各部門の連携を十分に行うために、基本方針や対象範囲を明確化し、共有することが求められます。

STEP.2 情報の収集・整理

次のステップでは情報を収集・整理しつつ、「何がリスクに該当するのか」「どの程度の被害が想定されるのか」を具体化していきます。

例えば、サイバー攻撃。データなどの情報資産に加え、近年は情報システムやハードウェアへの影響も考えられ、その想定被害も様々です。ある程度具体的な被害を想定しつつ、その想定から外れた場合にも機能する対策の検討に繋げていきます。

STEP.3 分析、課題の抽出

続いて、情報システムの復旧優先度を設定しつつ、運用継続に必要な要素の洗い出し、その課題の特定を行います。その上で、各課題に対する復旧優先度のランク付け、求められる対策レベルの特定を行います。

STEP.4 計画策定

具体的なリスクや対応策に関する復旧優先度の洗い出しを行った次の段階では、事前対策計画の検討に入ります。ここでは、事前に行うべき対策を計画化し、短期と中・長期等いくつかのステップに分けて段階的な対策を行っていきます。

また、非常時の対応を想定し、業務継続に向けた復旧作業の検討を行う他、教育訓練の継続的な実施も計画化します。

STEP.5 実施(評価・改善)

最後に、策定された事前対策計画にのっとり、運用を行うステップです。実際に対策計画と教育訓練計画を実行に移し、適宜各種計画の見直しを行います。また、計画の陳腐化を防ぎ、常に計画の最新化を維持することが求められます。

>>参考ページ:https://www.nisc.go.jp/active/general/pdf/IT-BCP.pdf

このように、IT-BCPではあらゆる事柄を検討し、事業継続のための運用プランを計画・実行していきます。一方で、企業のリソースも有限であるため、優先順位付けが肝となることも事実です。

では、日々巧妙化するサイバー攻撃に対して、どのような対策を行うべきなのでしょうか。

サイバー攻撃による稼働停止を防ぐには?

近年、従来型のセキュリティ製品(アンチウイルス型)では、未知のマルウェアを防ぎきれず、攻撃が成功してしまうリスクがあると指摘されています。最悪の場合には、情報システムの工場設備などの稼働停止も考えられます。

そこで注目されているのが、従来型のセキュリティ製品に対して補完的な役割を担うセキュリティ技術。「OSの正常な動作を守る」「悪意のある攻撃に対して”悪さをさせない”」といったアプローチが注目されています。

DAIKO XTECHがご提供する「AppGuard」は、マルウェアの侵入に対して『OSの正常な動作を守ることによって、デバイスを脅威から守る』という役目を果たすセキュリティソフトです。OSに対する不正なプロセスを遮断し、企業のデータ資産などに対する最終防壁としての役割を果たします。

従来型のエンドポイントセキュリティ製品は、未知のマルウェアに対応できないと言われていますが、「AppGuard」であればOSに対する不正なプロセスを監視・遮断することができるため、未知のマルウェアに対しても効果を発揮することが可能です。

様々なリスクに向き合い、IT-BCPを実現するためにも、ぜひ導入をご検討されてみてください。


PCの正常な動作を守り、IT-BCPを支援するセキュリティソフト「AppGuard」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
DAIKO XTECHに入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
DAIKO XTECH株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    在宅ワークを導入する際に、注意したいセキュリティ課題まとめ

    働き方の多様化で進む、在宅ワーク/リモートワークの導入。昨今で…

  2. セキュリティ 事例

    情報セキュリティ担当者は押さえておきたい! 最新の「情報セキュリティ10大脅威 2021」(後編)

    ニューノーマルの時代、インターネットのトラフィックは以前の倍近くに…

  3. セキュリティ

    セキュリティ対策におけるプロセス監視の考え方

    セキュリティ強化を考えているのであれば、プロセスの監視・隔離という…

  4. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

  5. セキュリティ 事例

    マルウェアの被害事例4選。感染経路や対策もご紹介!

    PCやスマートフォンに対し、悪意のある行動をするのがマルウェアです…

  6. セキュリティ 事例

    ランサムウェアの事例7選|世界的な大規模感染事例から国内事例まで

    悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロック…

お役立ち資料一覧 生産管理部門様向けホワイトペーパー 製造原価管理入門書 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 製造業のDX推進ガイドブック 生産管理システムによる製造業の課題解決事例集 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 納期遵守を実現する仕組みとは 「購買・調達業務効率化」 完全ガイド~購買管理システムのベストプラクティス~ 購買管理部門様向けホワイトペーパー 購買管理のマネジメント力強化ガイドブック 購買・調達部門に贈る、コスト削減に効く3つのTIPS 購買管理システム導入による課題改善事例集 コスト削減のカギは 「集中購買」にあり! 購買管理システム導入による課題改善事例集 10分でわかるAppGuard:仕組み、セキュリティの「新概念」 セキュリティ担当者様向けホワイトペーパー サイバーセキュリティ基本まるごと解説入門 組織の情報セキュリティを強くするための対策のポイント エンドポイントセキュリティ更新時に知りたい基本の「き」 巧妙化し続けるサイバー攻撃&被害事例、セキュリティトラブルを防ぐ、最もシンプルな3つの対策 ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策 「新型脅威への対処」「運用コスト削減」を両立する。セキュリティ防御構造の理想型とは? 経理業務を次のステージへ!DX導入で生まれ変わる財務会計 ペーパーレス化で給与明細書作成の負担を軽減 【導入事例付き】給与明細 / 年末調整の工数・コストを削減。i-Compassとは