ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2013年06月18日

【連載】変わるBCP、危機管理の最新動向

統合マネジメント・システム(IMS)とレジリエンス・マネジメントの違い

現行のBCP(事業継続計画)フレームワークは激甚災害や災害の大型化、企業・自治体の経営を取り巻くリスクの多様化・複合化するリスクに対処するフレームワークとしては甚だ不十分であることが判明した。しかし、既存のBCPの欠陥や改良点を指摘し、嘆息しているだけでは展望は開けてこない。むしろ、こうした時にこそ、あるべき次世代BCPの具体的なモデルを、机上の論理ではなく、社会・産業界・行政の各セクターに受容可能な形態で提示していくときである。そうした問題意識に立脚し、前回に引き続き、レジリエンス・マネジメント(レジリエンス=回復力)に焦点を当て、レクチャーの記録を再構成したスタイルで紹介する。

執筆:ストラテジック・リサーチ 森田 進

 前回も紹介したレジリエンス・マネジメントについてレクチャーするのは、次世代BCPとレジリエンス・マネジメント双方に詳しい、リスクマネジメントのシニアコンサルタントのD氏である。

CERTにおけるレジリエンス・マネジメント・モデル(CERT-RMM)の策定

連載一覧
D氏:まずはじめに、レジリエンス・マネジメント・モデル(CERT-RMM)が策定された経過についてざっと説明しておきましょう。

 CERTにおいてレジリエンス・マネジメント・モデル(CERT-RMM)の策定が開始されたのは2003年頃に遡ります。その後、2010年5月にCERT-RMM第1.0版が、また、同年12月には第1.1版が出版され、これが最新版となっています(CERT-RMM v1.1のPDF(英語))。

 このCERT-RMM最新版は、企業におけるさまざまなリスクのうち、特に運用リスクに焦点を当てたレジリエンスとなっています。具体的には情報セキュリティ、事業継続およびIT運用を収斂させたレジリエンス・マネジメント・モデルをその対象としています。

 一方、組織のレジリエンス活動の有効性評価に係るガイドライン(測定基準)などの策定も進められています。しかし、これらだけでレジリエンス・マネジメント・モデルの発展が止まってしまうことはないでしょう。なぜなら、レジリエンス・マネジメント・モデルは現在進行形で今もなお絶えず改良が加えられ、今なお進化し続けるモデルだからです。

聴講者A:すみません。CERT-RMMとBCP/BCMS(事業継続マネジメントシステム)の関係について説明を加えていただけますか?

D氏:はい。ご質問されたように、CERT-RMMとBCP/BCMSとは互いに密接な関係にあります。しかし、CERT-RMMはBCP/BCMSに包摂されるものではありません。そうではなく、CERT-RMMはBCPをレジリエンス活動の一要素に位置づけています。

 CERT-RMMにおいて、レジリエンス活動とは、主要な運用リスクマネジメント活動を体系立てて包括することを目的としたものであり、実践的な見地から次の項目を重要な対象要素としています。

セキュリティ
事業継続
情報(又は他の資産)の保護
その他組織のレジリエンス態勢やプログラムを支援する適切な行動及び活動に関連するもの

聴講者B:CERT-RMMとBCP/BCMSの関係についてざっと示していただきましたが、ミッション・クリティカルな資産管理のシステムとレジリエンス・マネジメントの関係についてはどうでしょうか?

D氏:そうですね。BCP/IT-BCPがそうであるように、CERT-RMMは、組織や組織が持つ情報インフラの脆弱性分析、インシデント管理、サービス継続などのプロセスを検証し、課題点を改善することで、いわゆる高度なミッション・クリティカルな資産管理のシステムとして活用できるようになります。

 CERT-RMMには「成熟度モデル」と呼ぶ機能が備わっていますので、これを活用すれば、たとえばストレス下にある運用テスト、リスク状況下の予測可能性の測定に利用できるようになるからです。

 レジリエンス・マネジメントとは受け身の防災、事業継続管理だけでなく、より包括的にインフラやリスクマネジメントを運用するためのフレームワークといえるでしょう。そしてCERT-RMMは、必然的に「統合マネジメント・システム」と重なり合い、共通する部分が多いといえるでしょう。

統合マネジメント・システム(IMS)とレジリエンス・マネジメントの比較

聴講者C:統合マネジメント・システム(IMS)とレジリエンス・マネジメントの関係についてはどうでしょうか?

D氏:現在、我が国で運用されている統合マネジメント・システム(IMS)は、以下に挙げるいくつかのISOを統合したものとなっています。

ISO 9001(品質マネジメント・システム)
ISO/IEC 27001(情報セキュリティ・マネジメント・システム(ISMS))
ISO/IEC 20000(ITサービス・マネジメント・システム)
ISO 22301(事業継続マネジメント・システム:BS 25999)

 当然のことながら、これらのマネジメント・システムはそれぞれの領域において首尾一貫した定義とシステム維持のための方法論を提示しています。そして統合マネジメント・システム(IMS)はこれらをまとめあげ、会社という組織を対象として、マネジメント・システムの全体最適化を図ることが目的とされています

 上記で説明したように、統合マネジメント・システム(IMS)には事業継続マネジメント・システムのBS 25999がISO 22301として取り込まれ、制定されようとしています。私は今後、ISO/IEC 27001など他のISOとの統合・拡張がなされていくのではないかと予想しています。

 言うまでもありませんが、統合マネジメント・システム(IMS)はISO規準に基づいたマネジメント・システムであることから、ISOに関する審査機関である財団法人日本品質保証機構(JQA)の審査を受けることができます。一定の規準を充たしていることが認められた場合にはIMS運用証明書が与えられ、満足しうる品質管理を導入している会社組織として一定のお墨付きが与えられています。

聴講者C:CERT-RMMとはある意味ではBCP/BCMS、情報セキュリティ・マネジメント・システム(ISMS)、ITサービス・マネジメント・システム(ITSMS)を上部構造・広範囲に統合を果たそうとしていると理解してよいのでしょうか? また、レジリエンス・マネジメントはISOをベースとした統合マネジメント・システム(IMS)を置き換えたり、代替させることは可能なのでしょうか?

【次ページ】レジリエンス・マネジメントはIMSを代替できるのか

国際標準化 ジャンルのトピックス

一覧へ

関連キーワード

連載変わるBCP 変わるBCP

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング