ISO/IEC20000改定のポイント、震災を機に高まるICT継続の必要性と国際標準規格の最新動向
記事をお気に入りリストに登録することができます。
東日本大震災を機に、ICTサービスの品質管理を規定する「ISO/IEC20000」や、情報セキュリティ管理を規定する「ISO/IEC27001」、ICT業務継続計画を規定する「ISO/IEC27031」など、企業のICT継続や事業継続関連の国際標準規格に改めて注目が集まっている。「国際標準規格について、腰を据えてしっかりと取り組めば、企業にとって戦える武器やツールになるという声も多い」と語るのは、国際標準規格の認証取得を支援するヒルアビットの黒崎寛之氏だ。同氏は、世界で初めてISO/IEC27031の認証を受けた地方自治体などの事例を交えて、事業継続におけるインシデント管理の概要と活動の流れについて解説した。
ISO/IEC20000-1:2011では、重大インシデントの取り扱いを強化
代表取締役
黒崎寛之 氏
ISO/IEC20000では、ITサービスの品質を維持・管理するために、企業が最低限すべきことを国際標準規格(要求事項)としている。この中には、サービスに対する計画外の中断や品質低下といった重大インシデントの取り扱いについて、「インシデント管理」「サービス継続及び可用性管理」「問題管理」「情報セキュリティ管理」というプロセスが中心となり対応し、その影響を最小化する事項が記載されている。ここで特に継続性に効くプロセスが『インシデント管理』と『サービス継続及び可用性管理』だ。
重大なインシデントの取り扱いの変更では、「インシデントの優先順位付け」や、「重大なインシデントについての定義を文書化して顧客と合意を得る」「文書化された手順に則って分類・管理する」などの要求事項が追加された。
(出典:ヒルアビット,2012)
現場のみならず、経営陣に対しても「重大なインシデントの通知」「旗振り役となる管理責任者の確実な指名」「重大なインシデントのレビュー」などが明記されている。またサービス継続性及び可用性管理についても同様に、リスクを評価して文書化したり、それをベースに要求事項の特定やサービス継続計画を策定するなど、ITを復旧させるために必要な情報を利用可能にしておくことが求められている。
「さらに計画を立てたら、実際に演習(試験)を行い、いざというときのために使える体制を整えておくことも重要です。」(黒崎氏)
震災を機に高まる事業継続とICT継続の必要性
事業中断を引き起こす脅威は、技術上の問題から、災害、サイバーテロ、公共事業の障害、伝染病までさまざまだ。自社の事業が止まってしまうと、ビジネス上の損害はもとより、社会的な信用を失墜したり、風評被害にあうこともある。実際に企業規模に関わらず、ほとんどの重要業務がIT上で稼働しており、もしICTサービスが中断すれば、組織の打撃は計り知れないものがある。
「自社のデータセンターが止まったが、他社も止まっているということであればまだしも、他社のデータセンターは動いているのに、自社だけ停止してしまった、という話になれば、マスコミや取引先に相当叩かれることを覚悟する必要があるでしょう。そういうことがないように準備しておく必要があるのです。」(黒崎氏)
事業継続とICT継続の必要性は国際的にも認知されてきた。2011年には情報セキュリティ規格群のISO/IEC27000シリーズの1つとしてISO/IEC27031が誕生した。
事業継続、ICT継続の必要性に関する国際的な認識
ISO/IEC27031にはICT継続計画、すなわち「IT-BCP」という表現はなく、代わりに「事業継続のための情報通信技術の準備態勢」として「IRBC」(ICT Readiness for business continuity)という言葉が使われている。
IRBCとは
「BCP活動の1つにIT継続があるのではなく、業務継続を支援するために必要不可欠な能力、すなわち中断による影響に抵抗・防御する組織能力(レジリエンシー)としてICTをとらえている点がポイントです。絶えず変化するリスク環境への対応や、重大な事業運営の継続性を確保するために、その運用方法が大きな評価基準になります。」(黒崎氏)
これまではICT継続計画よりも災害対策マニュアルに重点をおいてきた企業が多いかもしれない。しかし、ICT継続計画では、防災だけでなく、経済的被害の低減という目的が盛り込まれている。対象範囲も場所に限定されず、事業、製品・サービス、業務プロセスを支えるICTサービスまで含まれる。したがってICT継続マネジメント活動では、まずICT継続の目的・適用範囲を仮決定したあと、ビジネスインパクト分析(BIA)を行うことになる。BIAでは、通常時あるいは有事の際のICT構成環境を押さえ、最大許容停止時間(RTO)や目標復旧レベル(RPO)、復旧の優先順位などを決めておく。
「実はこの自治体では、ちょうどIRBC導入の準備を進めていた直前に大震災があり、認証審査も計画停電の真っ最中に行われました。そのため本当の意味でリアルな評価になったが、インシデントが発生しても業務を停止することはありませんでした。」(黒崎氏)
自治体の場合は、総務省・厚生労働省の要請によって想定脅威が定めらている。1つは大地震で、休日または夜間に震度6以上の地震が発生し、一般庁舎が停電した場合。もう1つは新型インフルエンザで、40%以上の職員が登庁不可能になった場合だ。
これらを想定してICT継続計画は策定される。想定脅威では、システム故障が発生しないという前提だが、先般の大地震でもシステムが壊れることはなかった。むしろ人が行けないため運用ができない、あるいは電気が止まって稼働できないという副次的な影響が大きかった。
実際の対策では、災害時に一般庁舎が停電する可能性が高いことから、システムセンター内に緊急時事務エリアを準備したという。重要業務をBIAから洗い出し、最低限必要な端末を決めた。また万一に備え、同一システムを採用する他の自治体と災害時のシステムバックアップ相互協力体制も整えた。そして年に1回、共同演習も実施したそうだ。
「業務は人が運用するものです。ISO/IEC27031認定の準備にあたって、担当者が普段どういうオペレーションを行っているのか、人に紐づいた業務の切り口から整理・検索できる体制が求められているのです。」(黒崎氏)
このように、いざという事態に備え、事業継続を担保できる仕組みを準備しておくことが重要だ。もはや日本では大地震が絶対に来ないと高をくくれるような状況にないのは誰の目から見ても明らか。いつ何があっても対処できるように、企業も自治体も日頃からの準備をしっかり整え、より事業継続力を高めていかなければならない。そのとき、ISO/IEC27031といった国際標準規格が大きな指針となるはずだ。
「自社のデータセンターが止まったが、他社も止まっているということであればまだしも、他社のデータセンターは動いているのに、自社だけ停止してしまった、という話になれば、マスコミや取引先に相当叩かれることを覚悟する必要があるでしょう。そういうことがないように準備しておく必要があるのです。」(黒崎氏)
事業継続とICT継続の必要性は国際的にも認知されてきた。2011年には情報セキュリティ規格群のISO/IEC27000シリーズの1つとしてISO/IEC27031が誕生した。
(出典:ヒルアビット,2012)
ISO/IEC27031にはICT継続計画、すなわち「IT-BCP」という表現はなく、代わりに「事業継続のための情報通信技術の準備態勢」として「IRBC」(ICT Readiness for business continuity)という言葉が使われている。
(出典:ヒルアビット,2012)
「BCP活動の1つにIT継続があるのではなく、業務継続を支援するために必要不可欠な能力、すなわち中断による影響に抵抗・防御する組織能力(レジリエンシー)としてICTをとらえている点がポイントです。絶えず変化するリスク環境への対応や、重大な事業運営の継続性を確保するために、その運用方法が大きな評価基準になります。」(黒崎氏)
これまではICT継続計画よりも災害対策マニュアルに重点をおいてきた企業が多いかもしれない。しかし、ICT継続計画では、防災だけでなく、経済的被害の低減という目的が盛り込まれている。対象範囲も場所に限定されず、事業、製品・サービス、業務プロセスを支えるICTサービスまで含まれる。したがってICT継続マネジメント活動では、まずICT継続の目的・適用範囲を仮決定したあと、ビジネスインパクト分析(BIA)を行うことになる。BIAでは、通常時あるいは有事の際のICT構成環境を押さえ、最大許容停止時間(RTO)や目標復旧レベル(RPO)、復旧の優先順位などを決めておく。
ISO/IEC27031の基準を世界で初めて満たした某地方自治体の事例
このようなIRBCは、一般企業のみならず、地域住民の生命や安全を確保する地方自治体でも、社会的責任として求められている。実際に某地方自治体では、世界で初めてISO/IEC27031の認証をとって注目を浴びた。ただしISO/IEC27031は、あくまでガイドラインであるため、本来であれば認定という形はない。しかし今回の認証は、BS25777の認証スキームを提供するBSIグループジャパンが、ISO/IEC27031の指針を要求事項に読み替え、独自に認証したものだ。「実はこの自治体では、ちょうどIRBC導入の準備を進めていた直前に大震災があり、認証審査も計画停電の真っ最中に行われました。そのため本当の意味でリアルな評価になったが、インシデントが発生しても業務を停止することはありませんでした。」(黒崎氏)
自治体の場合は、総務省・厚生労働省の要請によって想定脅威が定めらている。1つは大地震で、休日または夜間に震度6以上の地震が発生し、一般庁舎が停電した場合。もう1つは新型インフルエンザで、40%以上の職員が登庁不可能になった場合だ。
これらを想定してICT継続計画は策定される。想定脅威では、システム故障が発生しないという前提だが、先般の大地震でもシステムが壊れることはなかった。むしろ人が行けないため運用ができない、あるいは電気が止まって稼働できないという副次的な影響が大きかった。
実際の対策では、災害時に一般庁舎が停電する可能性が高いことから、システムセンター内に緊急時事務エリアを準備したという。重要業務をBIAから洗い出し、最低限必要な端末を決めた。また万一に備え、同一システムを採用する他の自治体と災害時のシステムバックアップ相互協力体制も整えた。そして年に1回、共同演習も実施したそうだ。
「業務は人が運用するものです。ISO/IEC27031認定の準備にあたって、担当者が普段どういうオペレーションを行っているのか、人に紐づいた業務の切り口から整理・検索できる体制が求められているのです。」(黒崎氏)
このように、いざという事態に備え、事業継続を担保できる仕組みを準備しておくことが重要だ。もはや日本では大地震が絶対に来ないと高をくくれるような状況にないのは誰の目から見ても明らか。いつ何があっても対処できるように、企業も自治体も日頃からの準備をしっかり整え、より事業継続力を高めていかなければならない。そのとき、ISO/IEC27031といった国際標準規格が大きな指針となるはずだ。
関連資料
関連タグ
