BCMにおけるITサービス継続の重要性

　今回は、BCMにおける「ITサービス継続の重要性」について改めてみていこう。歴史を振り返れば、2007年にBSI（英国規格協会）から発行された「BS25999-2」で事業継続マネジメントシステム（BCMS）が規格化される以前から、実はITサービスおよび情報セキュリティ分野において事業継続を支える「ITの継続性」は非常に重要視されていた。

　2002年6月に米国国立標準技術研究所(NIST) が発表した「SP800-34 Contingency Planning Guide for Information Technology Systems（IT システムのための緊急時対応計画ガイド）」では、ITにおけるBCM戦略について、代替サイトの特徴を表1のようにまとめている。同ガイドは、リカバリ戦略における予算計画についても表2のテンプレートを提供している（原文PDF）。

表１　サイトの種類と特徴
名称	費用	ハードウェア機器の有無	通信機器の有無	稼動開始準備時間	場所
コールドサイト	低	無	無	長	固定
ウォームサイト	中	部分的に有	部分的～全て有	中	固定
ホットサイト	中～高	全て有	全て有	短	固定
モバイルサイト	高	場合による	場合による	場合による	非固定
ミラーサイト	高	全て有	全て有	無	固定
出典：NIST, Contingency Planning Guide for Information Technology Systems,NIST Special Publication 800-34,June 2002

表2　リカバリ戦略における予算計画表テンプレート
対象	種類	ベンダーコスト	ハードウェアコスト	ソフトウェアコスト	旅費/搬送費	労務費/外注費	テストコスト	サプライコスト
代替サイト	コールドサイト
	ウォームサイト
	ホットサイト
	モバイルサイト
	ミラーサイト
オフサイト・ストレージ	商用
	社内
機器交換	SLA
	ストレージ
	既存の利用
出典：NIST, Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34,June 2002

　ITサービス継続マネジメントに関しては、英国規格協会（BSI）より、2006年8月にPAS77（IT Service Continuity Management：ITサービス継続マネジメント）が公開された。これとBCMのマネジメント規格「BS25999-1」との整合性を調整しながら、2008年には「BS25777-1」として公開され、2009年には第三者認証規格「BS25777-2」として公開される予定となっている。こうした流れを受けて、日本でも経済産業省から、2005年には「事業継続計画策定ガイドライン」内閣府から「事業継続ガイドライン」が公開され、さらに2008年9月には経済産業省より「ITサービス継続ガイドライン」が発表されている。なぜBCMのガイドライン策定の後に「ITサービスの継続」が来るのか。それは、内部統制におけるIT統制が重要視されるのと同様、事業継続マネジメント（BCM）を支える基盤として、「ITの継続」と「ITを通じて収集・集積されるデータの活用」が大変重要なものとなってきているからだ。また、ITの活用とデータの重要性が増せば増すほど、情報セキュリティも当然、重要になってくる。まず、実例として、データ活用およびデータの重要性について具体的な事例を交えてご紹介しよう。