2011-09-01

Chaotic Next Stage                 　　　　　第２４号

                                                  発行責任者  稲崎義明

ＩＴＩＬについて（７）

災害や事故など不測な事態が発生した場合でもＳＬＡに合意された時間以内にＩＴサービスを確実に復旧させるための継続計画を策定するのがＩＴサービス継続性管理プロセスです。継続計画の有効性を維持するためにテストやトレーニングを実施します。事業の継続性を維持する仕組みとしては事業継続性管理（BCM:Business　Continuity Management）がありますがITサービス継続性(ITSCM:IT Service Continuity Management)はBCMのうちITサービスに関する継続性の管理を担うものであり、今日のように事業がITに依存している状況では最も重要な要素となっています。事業を復旧させるためには重要な業務から優先度を持って段階的に復旧させる必要があり、そのために各業務の停止がどれだけ事業の継続にインパクトをもたらせるかを分析する手法としてビジネスインパクト分析(BIA:Business Impact Analysis)があり、事業継続の上で重要となる業務を特定するとともに復旧を設定することができます。ITサービス継続性管理プロセスは「事業継続性管理の開始」、「要件分析と戦略策定」、「導入」、「運用管理」から構成されます。事業継続性管理の開始では、事業継続性の計画や範囲を明確にし、費用やスタッフを決定してプロジェクトを結成します。要件分析と戦略策定ではビジネスインパクト分析を行い、事業存続上特に重要な業務を特定し、停止した場合のビジネスに与える影響を分析した上で対応すべきリスク及び許容できるリスクを特定します。導入の段階では事業継続性戦略に基づきリスク低減手法を導入します。管理運営ではITサービス継続性計画や実行手段の定期的な教育や訓練を実施します。ITサービス継続性に対する意識は確実に高まりつつありますが、費用対効果を立証することが困難であることからどこまで対策すべきか判断できないという状況です。このことからこういった判断を行うには経営トップ自らが積極的にプロジェクトに関与し適切な意思決定を行う必要があります。ITサービスはビジネスを運営するための必要条件ではありますが、十分条件ではありません。ITサービスを維持するためにバックアップセンターなどの対策だけではなく、要因や業務を行うためのファシリティの確保として代替オフィスや業務復旧手順の整備なども必要となります。

事業リスクの管理活動の一環として全ての情報セキュリティを首尾一貫した方針に基づき効果的に管理するのが情報セキュリティ管理プロセスです。情報セキュリティには「機密性」、「完全性」、「継続性」の3要素から構成され、セキュリティ対策としては、「予防処置」、「抑制処置」、「検知処置」、「無効化処置」、「強制処置」の5種類があります。情報セキュリティ管理プロセスの活動は活動の指針となる「情報セキュリティポリシー」の策定とそれを実行する「情報セキュリティマネジメントシステム(ISMS)」から構成されています。情報セキュリティポリシーは経営トップ自らがその内容を理解・承認し、全社員に周知・徹底が求められる企業の情報セキュリティに対する企業としての取り組み姿勢を記述した文章です。一方ISMSは情報セキュリティを組織的、体系的に管理するためのシステムです。ISMSはコントロール、計画、導入、評価、維持の活動から構成され、このPDCAサイクルによって継続的に改善される仕組みとなっています。莫大な費用をかけて対策を講じても人為的なミスや新たなセキュリティ脅威の出現などセキュリティ対策には完璧ということはありません。このような状況に対応していくためにもISMSのPDCAサイクルを確実かつ継続的に回すことが重要になります。意外にもモニタリングや監査の評価がおざなりになっていることがあります。モニタリングや監査の評価などにより緊張感を持続させることも必要と考えられます。　（次回へ続く）