経営者の皆様、こんにちは。「ITのちからで地域に貢献したい」でお馴染みの、『わかるラボ』中島です。

今日は、情報システム業務継続計画策定のステップ「リスクアセスメント」についてお話したいと思います。

リスクアセスメントで行うこと

リスクアセスメント(脅威の分析)は、以下の3点を整理します。

  1. 事業や業務の脅威を洗い出し影響範囲を特定すること
  2. 被害の規模を算定すること
  3. 復旧の許容時間と優先順位を定めること

その前に、以下の点が整理できていることを確認してください。この記事は、以下の点が整理されている前提での情報システムの業務継続計画を説明しております。

  • 事業全体の継続計画である「事業継続計画」が出来ていること。
  • 自社におけるIT資産(情報システム、ネットワーク、パソコン・サーバ等の機器設備、IT要員)の棚卸し
  • 自社における情報セキュリティ」管理基準の策定

もし未整理でしたら、今後別の記事にて手順をご説明したいと思いますので、そちらを参照して頂き、整理に取り組んでいけたらと想います。まず以下を読み進めて頂ければと存じます。

事業や業務の脅威を洗い出し影響範囲を特定する

自社が利用している情報システムにどういったリスクがあるのかを特定しておきます。自然災害、テロ、サイバー攻撃、パンデミックetc.、これらは個社ごとにリスクにばらつきがあると想いますが、まずあらゆる自体を想定して書き出します。

経済産業省「情報システム管理基準」での整理の着眼点は以下のとおりとなっています。

① 自然災害は、すべて想定するとともに、テロ等による破壊及びサイバー攻撃も含めていること。

② 被災の規模は、業務の継続が困難となる規模を含めて想定していること。

③ 被災の想定は、地理的、組織的、物理的及び業務的視点から検証していること。

④ 想定した影響範囲について、将来を考慮していること。

⑤ 事業継続に関わる情報セキュリティ基準の該当事項を参照し確認すること。

引用元:経済産業省 2018年4月20日 「情報システム管理基準」VIII.事業継続管理

影響範囲の洗い出しの際、自社でサーバーを保有して稼働しているものだけでなく、クラウドやサービス利用しているシステムについても考慮が必要です。

⑤について補足しておきます。

緊急時にはどうしても通常の方法ではない形でデータを取り扱う可能性があります(データベースから直接データを抽出したり、メールに添付して取引先に送付したり)。しかし緊急時であれど、情報の価値は変わりがないため、セキュリティの三要素である「機密性」「完全性」「可用性」をどう維持するのか、事前に自社にて「情報セキュリティ基準」として定義しておき、その定義内容を参照して下さい。

もし情報セキュリティに関する規定がない場合は、こちらも早々に整理が必要となります。経済産業省が2016年に情報セキュリティに関する基準を公開しておりますので、そちらを参照して作成されてもよいかと想います。(その中に「事業継続マネジメントにおける情報セキュリティの側面」という項目もあります。)緊急事態の際の、自社の持つ情報管理のレベルを定義しておくことが必要ですので、情報セキュリティに関して十分考慮しなければなりません。

以下にリンクを張りますので、まず何が書かれているか確認をお願い致します。(17項「事業継続マネジメントにおける情報セキュリティの側面」)

情報セキュリティ基準(経済産業省)

被害の規模を算定する

情報システムの停止や縮退運転[note]縮退運転:情報システムの一部の機能や性能を落として、運用を継続する状態のこと[/note]時に、組織が受ける損害を試算します。

この後、被災した情報システムの復旧の重要性や緊急性を明確にする際に用います。報システム部門・担当者だけでなく、利害関係者を入れて算定する必要があります。着眼点では以下のとおりです。

① 情報システムの停止及び機能縮退によって組織体が被る損失を分析する対象範囲には、影響を受ける業務を網羅していること。

② 利害関係者の合意を得ること。

③ 損失の分析は、組織体の損害及び社会的損害を明確にしていること。

④ 業務の復旧の重要性及び緊急性を明確にしていること。

⑤ 事業継続に関わる情報セキュリティ基準の該当事項を参照し確認すること。

引用元:経済産業省 2018年4月20日 「情報システム管理基準」VIII.事業継続管理

この作業には利害関係者の参加が不可欠であり、かつ合意を得ることが肝心です。利害関係者の中には、当然に経営者レベルも含むものとなります。

復旧の許容時間と優先順位を定める

情報システム停止や縮退運転により、業務がストップする可能性があります。この被害を最小限にとどめ、効率的に復旧するために、業務の復旧許容時間と復旧優先順位を定めます。

複数の情報システムが動いている場合、システムベンダーを含めたIT担当がどのシステムを優先して復旧作業を行うのかを事前に決めておくことで、混乱せず効率よく作業を行うことが出来ます。

これがない中で、あれをやれこれをやれとIT担当に直接要請することは、混乱を招くだけでなく、本来優先すべき作業に手を付けられず、全体視点で損害を大きくしてしまうことに繋がりますので大変重要なポイントとなります。

着眼点は以下のとおりです。

① 復旧許容時間及び復旧優先順位の設定は、業務の重要性、緊急性、影響範囲及び他の業務との整合性及び実現可能性を考慮していること。

② 復旧許容時間及び復旧優先順位の設定理由を明確にしていること。

③ 復旧許容時間及び復旧優先順位を関係者が合意していること。

④ 事業継続に関わる情報セキュリティ管理基準の該当事項を参照し確認すること。

引用元:経済産業省 2018年4月20日 「情報システム管理基準」VIII.事業継続管理

ここでも、復旧許容時間と復旧優先順位について利害関係者が合意していることが大切です。業務継続計画を発動する際、IT担当が混乱なく動けるように、事前に利害関係者と合意形成をしておくことで、混乱を最小限に食い止めることが可能です。


以上3つの手順で、まず自社における情報システム利用のリスクアセスメントを実施して頂ければと存じます。必ず利害関係者とともに整理し、結果について経営者レベルを含めた合意形成を怠らないことが肝要です。

次回は「業務継続計画の管理」についてご紹介致します。


私中島も、情報システムの運用に携わっていた時、数々の災害に直面してまいりました。この時、特にエンドユーザーである利用部門(当然、その先にはお客様がいる)から、あれをお願いこれをお願いと、要請が殺到してきました。その時にどれを優先して実行するかの拠り所として、業務継続計画の策定が必要であり、その計画の根幹をなすのがリスクアセスメントと復旧許容時間、復旧優先順位でした。

経営者の皆様には、自社の情報システムの利用状況、情報システム利用におけるリスクと事業への重要性については、日頃より把握に努めていただきたいと思います。

しかし、複雑さや多様性を増す今日、整理するのも大変なのも実態です。「わかるラボ」では、緊急時の情報システム安定運用において業務継続計画を用意しておくお手伝いが可能です。ぜひ一度お問い合わせいただければと存じます。問い合わせフォームやTEL 050-3553-7653 (土日祝除く10:00-17:00)でご連絡をお待ちしております。

本日もブログをご覧いただきましてありがとうございました!

最終更新日:2018年12月20日