コストをいかに抑えるかは、企業にとって もっともプライオリティの高い課題である。し かしながら、内部統制の法制化により、新たな 問題が起こっている。企業の利益は株主の利益 であり、経営者は株主に対して説明責任を負う。 万が一何か起こった場合には、株主からの訴訟 が起こる可能性さえある。そのようななか、「コ ストを優先するあまり、事業継続ができなく なっている企業が多く見受けられます」と、ロー ブライトコンサルティング株式会社 代表取締 役 加藤道明氏は指摘する。これは内部統制の 観点から非常に由々しき問題だ。

　コスト削減は企業にとって最優先事項となっ ているが、コスト面だけで選ぶと事故を起こし て損害をもたらす可能性があることを忘れては ならない。停電が起こったときに事業継続でき るシステムなのかどうか、システムダウンの確 率はどのくらいなのか、確認することなく低コ ストだけを理由に導入してはいないだろうか。 「今は“安かろう悪かろう”になってしまって います。顧客企業の側が見極める目をもたなけ ればなりません」（加藤氏）。

　つまり適正な投資額を考えなければならない 時代がきているのだと、加藤氏は語る。「企業 のセキュリティに対する投資額は、障害対策を 含めて、多いところでIT投資全体の4割となっ ています。多くの企業では2割をセキュリティ にかけており、この2割を下回ると、必要なセ キュリティ対策のうちが何かが欠落してしまう のです」。自社のリスクを考えたうえで、適正 な投資額を見出す必要があるのだ。



そこで企業が注目すべき点は、近年必要性が 指摘されている「事業継続マネジメントシステ ム（BCMS：Business Continuity Management System）」である。事業継続マネジメントシス テム（BCMS）は、情報セキュリティマネジメ ントシステム（ISMS）にかわるキーワードし て今注目を集めている。情報セキュリティマネ ジメントシステム（ISMS）とは異なり、情報 システム部門を越えた、経営層の視点が求めら れる。

　事業継続マネジメントシステム（BCMS）に おいて、地震などの天災やシステム障害など、 企業の事業継続を脅かすような危機が発生し たときでも、事業を継続させ、早期復旧を図る ための対応を示した規格が「BS25999」であ る。2007年11月には第三者認証用規格である BS25999のPART2が発行されている。定期的 に第三者機関によって、事業継続マネジメント システム（BCMS）の整備と活動の有効性を検 証してもらうことが可能となるわけだ。

　財団法人日本適合性認定協会（JAB）と日 本情報処理開発協会（JIPDEC）は、事業継続 マネジメントシステム（BCMS）適合性評価 制度の実証運用を2008年8月に開始しており、 2009年8月の正式運用スタートを目指してい る。これをうけて、2008年後半から2009年に かけて事業継続マネジメントシステム（BCMS） への関心が一層高まるのは確実といえるだろ う。

　事業継続計画（BCP）を策定する上で、必要 不可欠なプロセスとなるのが「ビジネスインパ クト分析（BIA：Business Impact Analysis）」だ。 ビジネスインパクト分析（BIA）とは、不測の 事態によって、業務が中断したりシステムが停 止したりした場合のビジネスへの影響度を分析 すること。売上などの財務上の損失をはじめ、 利用者への影響、風評被害、従業員のモチベー ションの低下など、定量的および定性的な影響 について時系列で整理していく必要がある。分 析をとおして、事業継続に重大な影響をおよぼ すリソースを特定するとともに、優先的に対策 を講じるべき重要な業務や、目標となる復旧時 間、復旧レベルなどを決定していく。

図1：事業継続マネジメントシステム（BCMS）

　「経営に与える影響、損害額をきちんと計算 したうえで、適正な投資額で、セキュリティ対 策を行っていくことが重要です」と、加藤氏は 強調する。セキュリティ対策を焦るあまり、い きなり保護規定やセキュリティポリシーを定め ようとする企業も見受けられるが、これでは順 序が逆だといえよう。ビジネスインパクト分析 （BIA）を行って、事業継続計画（BCP）をつく りセキュリティ対策を行うことが必要なのだ。

　これをうけて、余分な投資をやめる動きがで てきている。これまでやみくもにセキュリティ 対策を行ってきた結果、自社のリスクに対して 投資しすぎていたり、必要でない箇所にセキュ リティシステムを導入していたりという事態に 身に覚えはないだろうか。それを自覚し、余分 なセキュリティ投資をやめる企業が増えている のだという。

　「ところが、必要な投資までやめてしまうケー スが見受けられます。これは大変大きな問題で、 この流れをとめるためには、気付きを与えてい く必要があります」（加藤氏）。

　その視点からもビジネスインパクト分析 （BIA）は有効であると加藤氏は語る。自社のビ ジネスという視点から捉えているため、経営者 にとってわかりやすいというのがその理由の1 つだ。「すでに、ビジネスインパクト分析（BIA） を行ってほしいという引き合いがきています」 と、加藤氏は事業継続マネジメントシステム （BCMS）への注目の高まりを示す。



　上記図1のとおり、ビジネスインパクト分析（BIA） の結果に基づいて事業継続計画（BCP）を策 定していくわけだが、2009年に事業継続マネ ジメントシステム（BCMS）適合性評価制度の 実証運用が正式スタートすれば、ビジネスイン パクト分析（BIA）の結果、莫大な投資が必要 になる企業もあるだろう。単年度では投資でき ない額であれば、結局複数年での投資が必要に なってしまう。「今のうちにできることはやっ ておいたほうがよいでしょう。あらかじめ投資 しておけば、ビジネスインパクト分析後は、差 分の投資だけで済むのです」と加藤氏は指摘す る（図2）。

図2：ビジネスインパクト分析（BIA）と実施後に必要なセキュリティ投資

　また、脆弱なシステムに投資し全体のセキュ リティレベルをアップさせておくことで企業 は、万が一事業継続を危うくするようなセキュ リティ脅威にさらされたときでも、被害を最小 限にとどめることができる。「セキュリティレ ベルの向上は自ずと、ビジネスインパクト分析 （BIA）の結果の改善につながります」（加藤氏）。 セキュリティ製品・ソリューションを今のうち に導入し、セキュリティレベルを高めておくこ とが肝要だ。

　いよいよ事業継続マネジメントシステム （BCMS）の時代が訪れようとしている。事業 継続が大きなテーマになるであろう2009年、 今のうちに投資できるセキュリティ対策につい ては、ぜひ今から検討を始めることをおすすめ する。