IT-BCPの重要性と策定手順の解説

業務でITシステムを使うことは、もはや前提条件になりつつあります。同時に、自然災害による停電やネットワーク切断、ランサムウェアによるシステム停止など、ITが止まる場面も増えています。本コラムでは、いざというときに情報システムを止めないためのIT-BCP（情報システムBCP）について、BCPとの違いから対策、策定手順、参考にできるガイドラインまでを順に整理します。

IT-BCPって何？BCPと何が違うの？

IT-BCPは、情報システムに焦点を絞ったBCPです。BCPが企業活動全体を対象にするのに対し、IT-BCPはサーバー・ネットワーク・データなどITシステムの継続性に絞って計画を立てます。

BCPとIT-BCPの位置づけを表で整理

比較項目	BCP	IT-BCP
対象範囲	事業全体（人・拠点・取引）	情報システムに特化
想定する事象	災害、事故、テロ、パンデミックなど	災害、サイバー攻撃、システム障害
主な担い手	経営層・総務・各部門	情報システム部門＋経営層
関係	上位概念	BCPの一部として整合性が必要

ポイント：IT-BCPはBCPの一部であり、ITシステムに絞った継続計画。両者の整合性を保つことが前提になる。

IT-BCPはなぜ今、必要とされているの？

業務のIT依存が高まり、ITが止まると事業全体が止まる構造になっているためです。災害と並んでサイバー攻撃のリスクも増しており、両方への備えが求められています。

被害を最小化できる

緊急事態が起きた際の動き方をあらかじめ決めておくことで、混乱の中でも判断が速くなり、ダウンタイムを短く抑えられます。事業中断による損失も小さくなります。

取引先・株主からの信頼につながる

IT-BCPがあるという事実そのものが、有事の際の信頼性を示します。取引先や株主への影響を小さく抑えられる体制は、企業価値の維持にも結び付きます。

自社の中核業務が明確になる

IT-BCPを定める過程で「止まると一番困る業務」「最初に戻すべきシステム」が浮き彫りになります。結果として企業の強みと弱みが整理され、経営戦略の見直しにも役立ちます。

ポイント：IT-BCPは被害の最小化、信頼の獲得、中核業務の可視化という3つの価値をもたらす。

災害向けIT-BCPとサイバー向けIT-BCPは何が違う？

同じIT-BCPでも、想定する事象によって設計思想が変わります。災害向けは「ルールベースで切り替える」のに対し、サイバー向けは「自分の意思で止める判断が必要」になる点が大きな違いです。

発動判断のしやすさが違う

災害向けIT-BCPでは、「震度〇以上の地震が発生」「データセンターが被災」など、外形的な条件をトリガーにできるため、発動判断が比較的明確です。一方、サイバー攻撃の被害は外から見えにくく、被害拡大を止めるために自社からシステムを停止させる判断を迫られる場面があります。事業を意図的に止める決断は経営にとって重く、平時から判断基準と権限を決めておくことが欠かせません。

バックアップが同時に被災するリスクがある

災害対策では、本番環境と災害対策環境を遠隔地に分けるのが基本です。ところがランサムウェアの場合、本番環境の暗号化が同期で災害対策環境にも伝わったり、バックアップ自体が破壊されたりする恐れがあります。サイバー向けには、変更不可能な保存形態であるイミュータブルバックアップや、ネットワークから切り離した保管（オフラインバックアップ）の併用が現実的な備えになります。

2つの分析手法を併用すると視野が広がる

• シナリオベース：「大地震」「ランサムウェア感染」など、具体的な事象を起点に被害を想定する
• 結果事象ベース：「基幹システムが72時間停止」など、結果として起きる状態を起点に対応を考える

原因の多様化が進む現在は、両方を組み合わせて被害像を立体的に描く方が、見落としが減ります。

ポイント：災害向けとサイバー向けでは、発動判断・バックアップ設計の前提が異なる。両方を視野に入れたIT-BCPが必要。

IT-BCPに盛り込むべき対策には何がある？

IT-BCPには、平時の備えと有事の動き方の両方を組み込みます。代表的な対策は次のとおりです。

定期的なデータバックアップ（3-2-1-1-0ルールが目安）

顧客データや機密データは定期的にバックアップを取り、消失リスクを抑えます。ランサムウェアにも耐える考え方として、世界的に参照されているのが「3-2-1-1-0ルール」です。

• 3：データのコピーを3つ持つ（本番＋バックアップ2つ）
• 2：保存メディアは2種類以上に分ける
• 1：そのうち1つは遠隔地で保管する
• 1：1つはオフラインまたは改変不可（イミュータブル）の状態で保管する
• 0：バックアップ検証で復元エラーをゼロにする

クラウドストレージや外部データセンターを併用しつつ、改変不可な保管を1セット用意することで、ランサムウェアに暗号化されてもデータを取り戻せる確率が上がります。詳しくは、なぜバックアップから復旧できないのか。ランサムウェアに有効な3-2-1-1-0バックアップとはのコラムでも解説しています。

システムの冗長化

サーバーやネットワーク機器を多重構成にしておけば、片方が止まってももう一方で業務を継続できます。稼働系と待機系を同期させる二重化は、復旧時間の短縮に直結します。

テレワーク環境の整備

災害で交通機関が止まる、オフィスが使えないといった事態を想定し、社員が出社せずに業務を続けられる仕組みを用意しておきます。

緊急時の連絡体制

メール、電話、SNS、チャットなど複数手段を持っておくと、片方が使えない場面でも連絡が取れます。安否確認サービスや一斉メール送信機能の活用も、初動の遅れを防ぎます。

CSIRTの設置

CSIRT（Computer Security Incident Response Team）は、セキュリティインシデントに対応するチームです。原因究明と二次被害の防止に向けて動き、平時には予防策の立案も担います。小規模な組織では「情報システム担当＋総務＋経営層」の兼務チームでも機能します。

緊急時の駆けつけ・復旧支援体制

社内に専任のITスタッフを置きづらい組織では、トラブル時に駆けつけて初動を支援してくれる外部サービスとの連携も選択肢になります。ALSOK ITレスキューのような、ITトラブルの現場対応を担う仕組みを使えば、夜間や休日に発生したシステム停止にも初動の人手を確保しやすくなります。

ポイント：バックアップ・冗長化・連絡体制・CSIRT・外部支援の組み合わせで、止めない仕組みと戻せる仕組みを両立させる。

IT-BCPはどう作る？策定の手順

IT-BCPは思いつきで作ると形骸化しがちです。次の流れで段階的に整えると、実効性のある計画になります。

1. 危機的事象の特定

自然災害、サイバー攻撃、システム障害、情報漏えいなど、ITシステムの停止につながる事象を洗い出します。事象ごとに必要な備えが変わるため、抜け漏れなく挙げることが出発点です。

2. 被害状況の想定

「大地震でオフィスが使えない」「電力供給が止まる」「サーバーが暗号化される」など、被害を具体的に描きます。数字で見積もると判断材料がそろいやすくなります。

3. 復旧優先度の設定（RTO・RPOで数値化する）

システムダウン時に全システムを同時に戻すのは現実的ではありません。事前に優先順位を決め、社内で共有しておきます。判断軸としてRTO・RPOの考え方を使うと、目標が明確になります。

• RTO（Recovery Time Objective）：何時間以内に復旧させるかという目標時間
• RPO（Recovery Point Objective）：どの時点までのデータを戻せばよいかという目標時点（データ損失の許容度）

たとえば「受発注システムはRTO4時間・RPO1時間」と決めておけば、必要なバックアップ頻度や冗長構成が逆算できます。

4. 必要な構成要素の整理

復旧の優先順位に沿って、業務継続に必要なPC、サーバー、クラウドサービス、回線、認証基盤などを整理します。誰がどの端末・どのアカウントを使うかまで決めておくと、有事の動きが速くなります。

5. 事前対策計画の作成

現状と目標とのギャップを洗い出し、ギャップを埋めるための行動計画に落とし込みます。設備投資、契約見直し、訓練計画などを盛り込みます。

6. 非常時対応計画の検討

緊急時の体制、役割分担、指揮系統を決めます。指示を正しく届ける伝達役は、判断力と組織内の影響力を持つ人材を据えるのが現実的です。

7. 維持改善計画の検討

IT-BCPは作って終わりではありません。教育訓練を通じて運用に乗せ、結果を踏まえて定期的に見直します。新しいシステムが入ったタイミングや、脅威の傾向が変わったタイミングでの更新が要点です。

ポイント：策定は「事象の特定→被害想定→RTO/RPOで優先度設定→構成整理→事前/非常時/維持改善」の流れで進める。

重要インフラ事業者にとってのIT-BCPは何が違う？

情報通信、金融、交通、電力・ガス、医療、物流などの重要インフラは、停止が社会全体に影響するため、IT-BCPの位置づけがより重くなります。

こうした分野では、自社の事業継続だけでなく、社会的責任の観点から計画の水準と運用品質が問われます。所管省庁や業界のガイドラインに沿った継続計画と、定期的なアセスメントの実施が求められる点が、他業種との大きな違いです。

ポイント：重要インフラ事業者は、社会的影響度の高さからIT-BCPの要求水準が上がる。業界ガイドラインの参照が前提となる。

参考にしたいIT-BCP関連のガイドライン

IT-BCPの策定では、公的なガイドラインを下敷きにすると、抜け漏れを防ぎながら進められます。代表的なものを紹介します。

重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針（サイバーセキュリティ戦略本部）

重要インフラ事業者向けのガイドラインで、「経営層に求められる行動」や「定期的な情報セキュリティアセスメントの実施」など、IT-BCPに関わる具体的な指針が示されています。
https://www.cyber.go.jp/policy/group/infra/siryou/index.html

政府機関等における情報システム運用継続計画 ガイドライン（内閣官房 国家サイバー統括室）

政府機関の情報システム担当者が、IT-BCPの策定・実施・維持改善を行うために用いる手引書です。政府機関以外でも、策定の参考資料として活用できます。
https://www.cyber.go.jp/policy/group/general/itbcp-guideline.html

ITサービス継続ガイドライン（経済産業省）

民間企業や組織のBCPのうち、IT部分の実施策を具体化した経済産業省のガイドライン。セキュリティ事故が発生する前提で、情報システム利用者の事後対策の具体例が中心になっています。
https://www.bousai.go.jp/kyoiku/kigyou/keizoku/sk.html

ポイント：内閣官房 国家サイバー統括室( NCO)と経済産業省のガイドラインを土台にすれば、策定の道筋が明確になる。

まとめ

よくある質問（FAQ）