【専門家が解説】IT-BCPとは？対策方法や策定手順、ガイドラインを紹介

ある朝、基幹システムが突然停止。受注処理ができず、物流が止まり、顧客からの問い合わせが殺到。ランサムウェアによるサイバー攻撃が原因で、復旧に1週間以上を要した事例は、決して特別なものではありません。地震・台風などの自然災害に加え、日々高度化するサイバー脅威に直面する現代企業にとって、「事業継続の鍵」はITに直結しています。

あなたの会社は、ITシステムが突然停止したとき、事業中断からの早期復旧・事業継続ができますか？

近年、企業活動はITシステムへの依存度を高めており、システム停止は売上損失だけでなく、顧客信頼の喪失や市場シェアの低下といった長期的な経営リスクをもたらします。しかし、多くの企業ではIT-BCPの策定が後回しになり、緊急事態に直面して初めてその重要性に気づくケースが少なくありません。

本記事では、多くの企業のIT-BCP策定を支援してきた弊社ナレッジリーンが、IT-BCPの基本概念から具体的な策定手順、成功のポイントまでを解説します。この記事を読むことで、あなたの会社に最適なIT-BCPの枠組みが理解でき、万が一の事態に備えた強固な事業継続体制の構築に役立てることができるでしょう。

IT-BCPとは？定義と目的をわかりやすく解説

IT-BCPとは、Information Technology Business Continuity Planの略で、情報システムに特化した事業継続計画のことです。具体的には、ITシステムが地震や台風などの災害リスク、あるいはランサムウェアなどのサイバー攻撃によって機能停止した場合でも、重要業務を継続または迅速に復旧するための具体的な対策と手順を定めています。

IT-BCPを適切に策定・運用していない企業は、緊急事態発生時に長期間のシステム停止やデータ漏洩といった深刻な被害を受け、売上の大幅な減少や顧客からの信頼喪失など、事業継続に関わる重大なリスクに直面する可能性が高まります。そのため、IT-BCPの策定は企業の危機管理における必須要素といえるでしょう。

BCPとIT-BCPの違いとは

BCPは「事業継続計画」を意味し、災害や事故などの緊急事態が発生した際に、企業全体の事業を継続するための包括的な計画です。これには人員の安全確保、代替オフィスの手配、サプライチェーンの維持など、事業運営の全側面をカバーする広範な対策が含まれます。

一方、IT-BCPは情報システムに特化した事業継続計画であり、システム障害やサイバー攻撃発生時にデータやシステムを保護・復旧するための具体的な手順と対策を定めています。つまり、BCPが企業活動全体の継続を目指すのに対し、IT-BCPはその中でも特に情報システムという重要インフラの継続性を確保することに焦点を当てており、BCPの一部としても位置づけられるのです。

関連記事：BCPとは｜策定する目的や作成方法など基礎知識を詳しく解説

IT-BCPが注目されている背景

IT-BCPが注目されている背景は以下3つです。

• ランサムウェア攻撃・サイバー攻撃が増加しているため
• 自然災害の頻発とITインフラの脆弱性のため
• システム停止による業務停止リスクがあるため

ランサムウェア攻撃・サイバー攻撃が増加しているため

近年、企業を標的としたランサムウェア攻撃やサイバー攻撃が急増しており、IT-BCPの必要性が著しく高まっています。特にランサムウェアによる被害は深刻化しており、国内だけでも年間200件を超える被害報告がなされています。これらの攻撃を受けた企業の多くは業務継続に大きな支障をきたし、システム復旧に1ヶ月以上を要するケースも少なくありません。

被害企業は、データ喪失による業務停止だけでなく、身代金の支払いや顧客情報漏洩による信頼低下など、複合的な損害を被ることになります。こうした状況において、サイバー攻撃を想定したIT-BCPの策定は、企業の事業継続を確保するための必須条件となっているのです。

引用：令和６年におけるサイバー空間をめぐる脅威の情勢等について｜警察庁サイバー警察局

自然災害の頻発とITインフラの脆弱性のため

日本列島は地震や台風、集中豪雨などの自然災害が頻発する地理的条件下にあり、企業のITインフラに対する物理的な脅威が年々増大。特に近年は気候変動の影響により、これまでの想定を超える規模の災害が発生するケースが増加しており、データセンターの浸水被害やサーバールームの損壊など、ITシステムの物理的な破壊リスクが高まっています。

こうした状況下では、主要なサーバー設備の耐震対策や防水対策だけでなく、地理的に離れた場所へのバックアップ体制の構築、クラウドサービスの活用による分散配置など、自然災害に備えたIT-BCPの整備が企業の事業継続を確保するために不可欠となっています。

システム停止による業務停止リスクがあるため

企業のビジネスプロセスは情報システムへの依存度が高まっており、わずか数時間のシステム障害であっても、受注処理の中断や生産ラインの停止、顧客対応の遅延など、事業運営に深刻な影響をもたらします。特に基幹システムの停止は、直接的な売上損失だけでなく、取引先との信頼関係の毀損や市場シェアの低下など、長期的な事業影響に発展するケースも少なくありません。実際、2024年にIT-BCPの整備が不十分であった電子機器製造業の会社が、ランサムウェア攻撃により、従業員や取引先の個人情報、社内文書などが漏洩。これにより、受発注システムや修理依頼の停止、新商品の販売延期などが発生し、約1週間もの間、事業が中断しました。

こうした背景から、システム停止の影響を最小限に抑え、迅速に復旧させるための具体的な計画としてIT-BCPの重要性が広く認識されるようになりました。企業は単なる障害対策から一歩進んだ、事業継続の視点からIT環境を設計・運用することが求められています。

引用：水害被害（風水害・土砂災害）｜内閣府
名古屋港コンテナターミナルのサイバー攻撃におけるインシデント対応について｜国土交通省

IT-BCPがカバーすべき範囲

IT-BCPがカバーすべき範囲は以下3つです。

• 社外向けシステム（ECサイト、オンラインバンキング等）
• 社内向けシステム・業務アプリケーション
• ネットワークインフラ（WAN、VPN、クラウド環境）

社外向けシステム（ECサイト、オンラインバンキング等）

社外向けシステムとは、顧客や取引先が直接利用するECサイト、予約システム、オンラインバンキングなどです。これらのシステムの停止は、企業の売上や顧客満足度に直結するため、わずかな停止でも重大な経営リスクです。特にオンラインバンキングや決済システムの障害は、社会インフラの混乱を引き起こしかねません。

さらに長時間の障害は企業の信頼性を著しく低下させ、ブランドイメージの毀損につながります。そのため、IT-BCPでは社外向けシステムを最優先で対策すべき対象として位置づける必要があります。

社内向けシステム・業務アプリケーション

社内向けシステムとは、従業員が日常業務を遂行するために必要不可欠な基幹システムや業務アプリケーションなどです。具体的には、会計システム、人事給与システム、生産管理システム、在庫管理システム、グループウェアなどが該当します。これらのシステムが停止すると、社内業務の遅延や停滞を引き起こすだけでなく、その影響は社外にも波及します。たとえば、受発注システムの障害は商品出荷の遅延を招き、生産管理システムの停止は製造ラインの停止につながり得ます。

さらに、顧客情報を管理するCRMシステムの障害は、顧客対応の質の低下や機会損失を招くため、IT-BCPではこれら社内システムの復旧優先順位や代替手段を明確に定義しておく必要があります。

ネットワークインフラ（WAN、VPN、クラウド環境）

ネットワークインフラとは、企業の情報システムを支える通信基盤で、インターネット接続、社内LAN、拠点間を結ぶWAN、リモートアクセス用のVPNなどが含まれます。

現代のビジネスでは、これらのネットワークインフラが停止すると、社内外のシステム間通信が途絶え、クラウドサービスへのアクセスができなくなる恐れがあるため注意が必要です。特に複数拠点を持つ企業やクラウドサービスに依存した業務プロセスを持つ企業では、ネットワーク障害が即座に事業全体の停止につながります。そのため、IT-BCPではネットワークの冗長化や代替通信手段の確保など、ネットワークインフラの継続性を確保する対策を盛り込む必要があります。

IT-BCPに盛り込むべき主要対策

IT-BCPに盛り込むべき主要な対策は以下の5つです。

1. データの定期的なバックアップを取る
2. システム・ネットワークインフラの冗長化を行う
3. CSIRT（シーサート）を設置する
4. リモートワークを活用する
5. 緊急時の連絡体制を構築する

（１）データの定期的なバックアップを取る

IT-BCPにおいて最も基本的かつ重要な対策が、データの定期的なバックアップです。システム障害やランサムウェア攻撃が発生した際、適切に保管されたバックアップデータがあれば、業務の迅速な再開が可能になります。

ただし、バックアップを取得するだけでは十分ではありません。バックアップデータの復元テストを定期的に実施し、緊急時に確実に復元できることを検証することが不可欠です。こうした検証なしでは、いざという時にバックアップが使用できない事態に陥る危険性があります。

また、クラウドバックアップサービスを活用することで、物理的に離れた場所にデータを保管でき、自然災害などによる本社設備の損壊時にもデータを守ることができるでしょう。

（２）システム・ネットワークインフラの冗長化を行う

IT-BCPにおいて重要な対策のひとつが、システムとネットワークインフラの冗長化です。

ネットワークインフラの冗長化とは、たとえば通信回線やルーター、スイッチといったネットワーク機器を複数系統用意し、一部の回線や機器に障害が発生しても、自動的に別の系統に切り替えることで通信を継続できるようにする仕組みのことです。特に効果的な方法は「マルチホーミング」と呼ばれる、複数の異なるプロバイダからインターネット回線を契約する手法です。たとえば、A社の光回線とB社の光回線を併用することで、A社の回線に障害が発生しても、自動的にB社の回線に切り替わり、オンラインサービスやメールなどの重要な通信を途絶えさせることなく継続できます。これにより、ネットワーク障害による業務停止リスクを大幅に軽減できるでしょう。

システムの冗長化においては、メインサーバーに障害が発生した場合に自動的に切り替わる予備サーバーの設置やクラウドサービスの活用も有効な方法です。冗長化を行うことで、システム障害発生時の業務停止リスクを大幅に軽減し、事業継続性を高めることができます。

（３）CSIRT（シーサート）を設置する

IT-BCPにおいて組織面で重要な対策の一つが、CSIRT（Computer Security Incident Response Team）の設置です。CSIRTとは、サイバー攻撃やシステム障害などの情報セキュリティインシデントが発生した際に、迅速かつ適切に対応するための専門チームです。平常時には、セキュリティ監視や脆弱性の特定・対策といった予防活動を行い、インシデント発生時には被害状況の調査・分析から初動対応、復旧作業の指揮、さらには警察や監督官庁などの外部機関との連携まで一元的に担当します。

効果的なIT-BCPを構築するためにも、CSIRTのメンバー構成や各担当者の役割分担、緊急時の連絡体制、インシデント対応の具体的な手順などを決めておきましょう。特にランサムウェアなどの高度なサイバー攻撃が増加している現在、専門知識を持ったCSIRTの存在は、被害の最小化と迅速な事業復旧を実現するための重要な要素となっています。

（４）リモートワークを活用する

IT-BCPにおいてリモートワークの活用は重要な対策の一つです。大規模災害やパンデミックにより事業所への立入が制限される事態が発生した場合でも、あらかじめ従業員が自宅から業務を継続できる環境を整備しておくことで、事業の停滞を最小限に抑えることができます。

具体的には、IT-BCPにリモートワーク環境の構築方法、VPNなどの接続手段、情報漏洩を防ぐためのセキュリティ対策、機密データへのアクセス権限の設定など、実施手順を詳細に明記しておきましょう。

Zoom、Microsoft Teams 、Chatwork 、Google Workspaceなどの情報共有や共同作業を行うコラボレーションツールの導入により、場所を問わず必要な情報にアクセスできる環境を整えることも効果的です。さらに、平常時から計画的にリモートワークを部分的に導入し、従業員に経験させておくことで、緊急時にスムーズに移行できる体制を構築できます。

（５）緊急時の連絡体制を構築する

災害やサイバー攻撃などの緊急事態発生時には、適切な初動対応が被害の拡大を防ぎ、迅速な復旧につながります。そのためには、「誰が」「誰に」「どのような手段で」連絡するかを明確に定義したコミュニケーションフローを事前に策定することが必須です。具体的には、システム障害の検知から経営層への報告、技術者の招集、顧客への通知に至るまでの連絡系統と、各担当者の具体的な役割・責任を文書化しておきましょう。

また、大規模災害時には通常の通信インフラが機能しない可能性も考慮し、固定電話や携帯電話に加えて、衛星電話、業務用無線、SNS、専用の緊急連絡アプリなど、複数の代替連絡手段を確保しておくことが大切です。これらの連絡手段は定期的に動作確認を行い、いざという時に確実に機能することを検証しておくことで、危機発生時の混乱を最小限に抑えることができます。

IT-BCPの策定方法【4ステップ】

以下4ステップを踏むことで、迅速な事業再開につながるIT-BCPを策定できます。

• STEP1：リスクシナリオと被害の想定
• STEP2：復旧優先度の決定（RTO/RPOの設定）
• STEP3：復旧に必要な人・モノ・情報の整理
• STEP4：IT-BCPの文書化と共有・保存

STEP1：リスクシナリオと被害の想定

IT-BCPの策定においてまず行うべきは、以下のような企業のITシステムに影響を与えうる緊急事態を具体的に想定することです。

• 自然災害（地震、台風、洪水など）
• サイバー攻撃（ランサムウェア、DDoS攻撃など）
• システム障害（ハードウェア故障、ソフトウェアバグなど）
• 人為的ミス（設定ミス、誤操作など）

次に、各シナリオにおいて予想されるシステムダウンの期間（数時間〜数ヶ月）、データ損失の規模（全損失か部分的か）、業務停止による損失額といった具体的な被害状況を数値化して評価します。この段階で被害想定を明確にすることで、次のステップでの復旧優先度の決定に役立ちます。

STEP2：復旧優先度の決定（RTO/RPOの設定）

IT-BCPの策定において、すべてのシステムを同時に復旧することは現実的ではありません。そのため、事業への影響度に基づいてシステムの復旧優先度を決定する必要があります。顧客対応や売上に直結する基幹システムは最優先で復旧すべきであり、この際に重要となるのがRPO（目標復旧時点）とRTO（目標復旧時間）の設定です。RPOは「どの時点までのデータ復旧が必要か」を示し、たとえば「1時間前までのデータ復旧」ならRPOは1時間となります。RTOは「システム障害発生から復旧までに許容される時間」を示し、たとえば「4時間以内に復旧すべき」ならRTOは4時間です。

一方、社内の研修システムなど、一時的な停止が事業継続に直接影響しないシステムは、復旧優先度を下げることで、限られたリソースを効果的に集中させられます。

STEP3：復旧に必要な人・モノ・情報の整理

IT-BCPを効果的に策定するためには、システム復旧に必要なリソースを洗い出すことが不可欠です。まず、サーバーやネットワーク機器などのハードウェア、業務アプリケーションやデータベースなどのソフトウェア、そしてそれらを接続するネットワーク環境の構成情報を整理します。

また、バックアップデータの保管場所や復元手順、ライセンス情報なども明確に準備しておく必要があります。人的リソースの面では、復旧作業を担当する社内技術者のスキルや知識を把握し、必要に応じて外部ベンダーやサポート事業者の連絡先リストを作成します。特に緊急時の対応では専門的なスキルが求められるため、各システムの復旧に必要な技術者の確保方法や、24時間対応可能な体制についても検討しておくことが重要です。

STEP4：IT-BCPの文書化と共有・保存

ここまでのステップで検討してきた内容を計画書として文書化します。IT-BCPの計画書では、復旧手順や緊急時の対応フローを図やフローチャートで視覚的に表現し、混乱時でも直感的に理解できるよう工夫しましょう。

また、各プロセスにおける担当者の役割と責任を明確に定義し、緊急連絡先リストを最新の状態で記載することが重要です。計画書にはシステム構成図やネットワーク図、データバックアップの保存場所や世代管理の詳細、さらには復旧作業に必要なライセンスキーや管理者アカウントの認証情報なども含めます。完成した計画書は、クラウドストレージへの保存と紙媒体での印刷など、複数の形式で保管し、災害時にもアクセスできる環境を整えることで、実効性のあるIT-BCPとなります。

IT-BCPの策定に役立つガイドラインとチェックリスト

IT-BCPの策定に役立つガイドライン・チェックリストは以下の通りです。これらのガイドラインは多岐にわたるため、自社の事業規模、業種、取り扱う情報の種類、そして直面する可能性のあるリスクに応じて、関連性の高いものを優先的に参照し、必要に応じて専門家のアドバイスを得ることも有効です。

•  ITサービス継続ガイドライン
• 政府機関等における情報システム運用継続計画 ガイドライン
• 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
• サイバーセキュリティ経営ガイドライン
  
• 【参考】「ICT-BCPチェックリスト」及びその概要について

IT-BCPを成功させる4つのポイント

IT-BCPを成功させるポイントは以下4つです。

1. 経営層も巻き込んでIT-BCPを策定する
2. BCPとの整合性を保つ
3. 定期的にIT-BCPの教育・訓練と見直しを行う
4. IT-BCPの策定支援サービスを利用する

（１）経営層も巻き込んでIT-BCPを策定する

IT-BCPを成功させるには、経営層の積極的な関与が不可欠です。システム障害やサイバー攻撃は単なる技術的な問題ではなく、売上の損失や顧客からの信頼低下など、企業経営全体に深刻な影響を及ぼす重大リスクです。そのため、これらのリスクを定量的に経営層に示し、IT部門の個別課題ではなく全社的な経営課題として認識してもらうことが重要です。

特に緊急時には、システム復旧の優先順位決定や追加投資の判断など、迅速な意思決定が求められます。平常時から対応フローにおける経営層の具体的な役割と責任を明確に定義し、経営層自身にもIT-BCP策定・訓練に参加してもらうことで、計画の実効性を体感的に理解し、必要な改善点を把握できるようになります。経営層の理解と支援があってこそ、適切な予算配分や組織体制の構築が可能となり、より効果的なIT-BCPが実現するのです。

（２）BCPとの整合性を保つ

IT-BCPを成功させるためには、全社的なBCPとの整合性を維持することが不可欠です。IT部門が独自に計画を立てても、会社全体の事業継続方針と不一致があれば、いざという時に機能しない恐れがあります。たとえば、IT部門が想定する復旧期間が全社BCPの事業再開目標より長いと、会社としての復旧活動に支障をきたします。そのため、全社BCPで定められた重要業務の優先順位や、災害シナリオ、目標復旧時間（RTO）と一致したIT-BCPを策定することが重要です。

また、定期的に全社BCPとIT-BCPの整合性を確認し、組織変更やビジネスモデルの変化に応じて両者を同時に更新することで、緊急時における会社全体としての一貫した対応が可能となります。

（３）定期的にIT-BCPの教育・訓練と見直しを行う

IT-BCPを実効性のあるものにするためには、定期的な教育・訓練と見直しが不可欠です。特にシステム障害やランサムウェア攻撃などを想定した復旧訓練を年に1〜2回は実施し、計画通りに復旧できるか検証する必要があります。これにより、実際の緊急時における対応力が向上するだけでなく、計画の不備や課題を早期に発見することが可能となります。

また、新たなサイバー脅威の出現やクラウド環境への移行といったシステム環境の変化、さらには組織体制の変更に合わせてIT-BCPを定期的に更新することも重要です。こうした継続的な改善サイクルを回すことで、常に実効性の高い事業継続計画を維持し、いざという時の迅速な復旧と事業継続を確保することができるでしょう。

（４）IT-BCPの策定支援サービスを利用する

IT-BCPの策定には高度な専門知識と多くの工数が必要となるため、外部の専門サービスを活用することが効果的です。コンサルティング会社やITベンダーが提供するIT-BCP策定支援サービスでは、業界標準のフレームワークに基づいたリスク分析から、システムごとの復旧優先順位の決定、詳細な復旧手順の策定まで一貫したサポートを受けることができます。

これらの専門家は豊富な企業支援実績を持つため、自社だけでは気づきにくいリスクや対策の盲点を指摘してもらえる利点もあります。さらに、策定後の訓練実施や定期的な見直しのサポートまで含めたサービスを選ぶことで、継続的にIT-BCPの実効性を高めることが可能となるでしょう。

よくある質問（FAQ）

Q1: 「BCPとIT-BCPは両方必要ですか？」

BCPとIT-BCPは両方必要です。BCPは企業全体の事業継続を包括的に計画し、IT-BCPはその中で情報システムに特化した対策を定めます。現代のビジネスはITに大きく依存しているため、システム停止は事業全体に深刻な影響を与えます。リソースに制約がある場合は重要システムから優先的に対応し、段階的に拡充していくことも一つの方法です。

Q2: クラウドサービスを活用していてもIT-BCPは必要？

必要です。クラウドは耐障害性に優れる一方、構成ミス・認証不備・サプライヤ障害といった別のリスクが存在します。クラウド特有のBCPリスクにも対応する必要があります。

Q3: 「IT-BCPを策定する際の最低限のガイドラインは？」

IT-BCPを策定する際の最低限のガイドラインとしては、経済産業省の「ITサービス継続ガイドライン」や内閣サイバーセキュリティセンターの「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」を参考にするのがおすすめです。

Q4: 総務省・経済産業省・NISCの基準は全部守る必要がある？

全ての基準を網羅的に遵守する必要はありません。自社の事業特性やリスク状況に応じて、関連性の高いガイドラインを選択的に参照し、自社に最適なIT-BCPを策定することが重要です。

まとめ：IT-BCPで企業の事業継続を強固に（総括）

ランサムウェアなどのサイバー攻撃や自然災害によるシステム停止は、現代企業の事業継続に深刻な脅威となるため、IT-BCPの策定が求められています。効果的なIT-BCPを構築するには、データの定期的バックアップやシステム冗長化といった技術的対策に加え、CSIRTの設置や緊急時連絡体制の整備などの組織的対応が不可欠です。

さらに、計画の実効性を高めるためには、経営層の積極的な関与、全社BCPとの整合性確保、そして定期的な訓練と見直しが重要となります。これらの取り組みを通じて、企業は緊急事態発生時にも重要業務を継続し、迅速な復旧を実現することで、顧客からの信頼維持と競争力強化につなげることができるのです。

弊社ナレッジリーンではこれまで、製造・物流・官公庁など多くのIT-BCP策定・訓練支援を実施してきました。ご要望に応じて、以下のようなサポートが可能です 。お気軽にご相談ください。

• BCP・IT-BCP整合性診断
• 策定・チェックリスト支援（テンプレート提供）
• CSIRT訓練・初動対応シミュレーション実施
• 経営層向け啓発セミナー（対面/オンライン）