まずは「BCP」「IT-BCP」の違いを理解しよう

　BCPとは、組織が自然災害や大火災、テロ攻撃などの緊急事態に遭遇した場合に備え、平常時に実施すべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことを指す。

　サイバー犯罪を含めた外部、内部からの攻撃や情報搾取への備えは、BCPの構成要素である「IT-BCP（CP）」対応リスクの一類型として既に整理されている。また、BCPで対象とするリスクについては、金融情報システムセンター（FISC）のCP策定ガイドラインや金融検査マニュアルなどで定義されている。

　ただし、可視化された状態での整理がないため、「BCPがどこまで、CPが何をカバーするリスクなのか」といった部分でさまざまな解釈が生まれている。

　以下の図は、NTTデータ経営研究所で定義したBCP、IT-BCP、さらにはサイバーセキュリティ対策手順の構造である。


　BCPが有事の際の金融機関全体の行動基準や手順を定めた計画文書、および手順書であるのに対して、IT-BCP（もしくはCP）はBCPで想定するリスクのうち主にシステムリスクを対象とした行動手順を定めた手順書として位置付けられる。

　さらに、サイバー攻撃などへの対応手順は、IT-BCP（CP）で定義する対応手順の1つとして定義されると理解できる。

　他方、金融機関の対応状況を点検すると、BCPは存在しているものの、IT-BCP（CP）に該当するものが存在していなかったり、中には「システム復旧マニュアル」で代替している場合もある。システム復旧マニュアルにしても、システムエンジニアしか読み解けないようなコマンドが羅列されたシートしか用意されていないケースもあり、外形的な手順書として整備されていない金融機関もある。

　ただ、金融機関の多くが基幹システムをアウトソーシング、もしくは共同利用している現状において、システム対応手順の策定も委託先ベンダーに依存しているケースが多いことだろう。

　必ずしもそのような対応が誤りだとは言えないまでも、有事に際しては迅速な判断が求められ、判断の拠り所となるマニュアルの需要が高いはずだ。また、手順書などを構造化して整理しておかない限り、更新作業もままならず、さらにはBCP訓練やサイバーセキュリティ演習を実施しようにも難しいだろう。

そもそも金融機関のBCP構造はどうあるべきか

　BCPの実装手法としては、「シナリオベース」と「リソースベース」の2パターンが存在する。

　シナリオベースとは、異なる発生事象をリスクごとにパターン化・モデル化し、それぞれを起点に対応手順を紐付けて定義する策定手法である。リスクごとに異なるシナリオを策定する必要があるものの、初動からの対応手順を詳細化しやすい。

　ただし、たとえば、大地震を特定リスクとして取り上げた場合、「どこで起きるのか」といった視点で、リスクの発生ケースを網羅的に捕捉し、シーンに分解定義する必要がある。また、リスクごとに手順書を分冊化する必要があるなど、ドキュメントの策定量が増加する傾向がある。

　リソースベースでは、「本店」「システムセンター」「電力」などインフラや特定リソースが利用不可となった場合を起点に、対応手順を定義するBCPの策定手法だ。主に英国などを中心に発展してきたモデルである。リスクごとに複雑化する被災パターンを数多く想定する必要がなく、対応手順を定義しやすいのが特徴だ。

　ただし、「何かが壊れた」「何かの機能が損なわれた」といったリソースに影響が生じた時点から対応手順が定義される例が多く、本来必要となる情報収集段階などのシーンにおける初動部分の手順定義が漏れる傾向がある。

　たとえば、「地震は発生したが重要な設備は壊れていない」「地震が発生し、重要な設備が使えなくなる寸前」「地震が発生したが、重要な設備が完全に壊れたかどうか分からない」など、リソース自体が直接の影響を受けていない場合や、損壊程度を把握するための事前対応手順が定義されない、といった例がみられる。


【次ページ】BCPのドキュメント構造とIT-BCP（CP）との連携