【情セキ.010】情報セキュリティの継続(事業継続計画)
佐藤@IT雑貨屋です。
近年では様々な災害が発生しています。本年初頭の能登半島地震も大きな災害で、未だに現地では復興がままならない状況がつづいていると聞いています。
この様な災害時にも、情報セキュリティは維持し、継続させていかなくてはなりません。その為には事前に対応計画の策定も不可欠です。またこの継続は組織全体の事業継続計画(BCP)と整合性を取り、全体的な計画の一環として策定する必要があります。
◆事業継続計画(BCP)
BCP(Bussiness Continuity Plan:事業継続計画)は、組織が事業を継続する上で基本となる計画です。災害や事故など発生した時に、目標復旧時点(RPO:Recovery Point Objective)以前のデータを復旧し、目標復旧時間(RTO:Recovery Time Objective)以内に再開できる様にするために、事前に計画を策定しておきます。
より包括的な管理の事をBCM(Bussiness Continuity Management:事業継続管理)ともいいます。BCMでは事前にリスク分析を行い、対応策を決定しておきます。ちなみにこの事業継続計画にも規格があり、ISO/IEC 22301が規定されていますが、ここでは割愛致します。
◆緊急事態の区分
緊急事態に適切に対応するためには、緊急の度合いに応じて緊急事態の区分を明確に貞江ておく必要があります。例えば緊急時の脅威のレベルにより、レベル1(影響を及ぼすおそれのない事情)、レベル2(影響を及ぼす恐れの低い事象)、レベル3(影響を及ぼす恐れの髙い事象)などに区分をしておく事により、実際に脅威が生じた時の対応を迅速化する事が出来ます。
◆緊急時対応計画
緊急時対応計画(Contingency Plan)とは、サービスの中断や災害発生時に、システムを迅速かつ効率的に復旧させる計画です。
初期の対応計画では、初動で何を行うかなどを中心に計画します。完全な復旧を目指さず、暫定的に対応することもありえます。被害状況の調査手法なども定めておき、迅速に情報を集めて対応することが求められます。
◆復旧計画
緊急時対応の後に事業を完全に復旧させるための計画です。暫定的ではなく恒久的な復旧を目指します。特に地震などの災害からの復旧の場合には、すぐに完全復旧を行うのは難しいので、暫定的な対応を行った後に、順次通常の状態へと復旧させていきます。
◆障害復旧
緊急時、または日常においても、システムに障害が発生した時にはその復旧を行います。日ごろから、データのバックアップ対策を行い、復旧に備えておく事が大切です。
バックアップしたデータをシステムの近くに置いておくと、通常時には復旧を即時に行う事が出来ますが、地震などの大災害時にはバックアップごと被災してしまうリスクもあります。そのため、バックアップデータは遠隔地に保管しておき、大きな災害に備えておく事も大切です。
ここでは主に情報セキュリティの観点から、情報セキュリティの継続について簡単にまとめましたが、実際には組織の事業継続計画の一環として、情報セキュリティの継続もあると理解した上で、そこから組織の事業継続計画への関心を深めていく事も、実はとても大事な事ではないでしょうか。
本年はじめに起きた能登半島地震もありましたが、これからどの様な災害が何時発生するのか、そこは誰にも判りません。そんな事もあるので、組織として関心を持つことは、とても大事な事だと思うのです。