IT-BCPとはBCP(事業継続計画)の一つで、ITシステムのBCP対策を指す。緊急時にもビジネスに必要なITシステムの運用を維持することを目的として策定される。近年ITシステムの導入が進んだことにより、災害やパンデミック、サイバー攻撃などのインシデント発生時にITシステム観点での事業継続を考慮する必要が高まっており、IT-BCPの策定、策定した計画の訓練を行う企業が増えている。
一般的に「災害リスクに対するBCP」と「サイバー攻撃等のITリスクに対するIT-BCP」は、事業継続を図るうえでどちらも欠かせないものであり、重要度に優劣をつけるべきではない。ただし、同様に捉えることはできない面もあるため、その違いを明確にして対策を検討することが必要となる。
一例として、サイバー攻撃をはじめとしたITリスクは目に見えない事象が多く、被害の大きさが把握できないため、どの段階で何を基準にインシデントと判断しBCPを発動するのか、BCPの発動判断が難しいという特徴がある。その一方、判断に時間をかけてしまうと、場合によっては被害が拡大し、より深刻化してしまう可能性がある。
特にサイバー攻撃等を考慮したIT-BCPの場合、以下の視点を考慮しながら検討することが必要となる。
- ある程度の発生の予防が可能である
- 発生に気付かない可能性がある
- BCP発動の判断が難しい
- 代替機を使用してデータ復旧するだけでは、再度被害にあう可能性がある
- 原因を特定しないと容易に復旧が出来ない
- 情報漏えい、改ざんの被害状況の把握が必要
- 情報漏えいに対する賠償費用や、改ざんからの復旧費用がかかる可能性がある
これらの特長、視点を踏まえながら、災害リスクに対するBCPと同様に、情報システム部門だけでなく社内の関係部門を含めてIT-BCPの検討・策定が必要となる。
