IT-BCPは、組織の主要な事業を支える情報システムを、災害や非常時にも継続あるいは早期復旧させるための計画である。必要な事前対策や教育・訓練、非常時の行動手順などで構成される。これまで国内では、地震などの災害を想定してBCPを策定してきたこともあり、IT-BCPも物理的な対策が重視されてきた。サイバー攻撃を想定した場合、何が変わってくるのか。
写真を拡大

そもそもBCPの出発点はIT対策だった。ITBCPの構築支援を手掛ける富士通エフサスシニアBCアドバイザーの小友修氏によると、1960年代にデータ・リカバリー・プランと呼ばれていたものがBCPの前身にあたる。データ・リカバリー・プランは、主に物理的な災害や事故から重要なデータを守るファシリティマネジメントと、費用的な手当てをする保険の2つの考え方から成り立っていた。1970年代から80年代には、より災害にフォーカスをしてディザスター・リカバリープランと呼ばれるようになった。この頃になると緊急対応(エマージェンシー・レスポンス)や、被害後の対応となるCP(コンテンジェンシー・プラン)、ビジネス・リカバリー・プランが含まれた概念になり、1990年代から、この考え方を情報システムだけでなく、広く組織全般に当てはめて「重要な事業を重点的に守る」考え方に発展し、BCPと呼ばれるようになった。欧米では2001年9月11日の米国同時多発テロで、金融系の企業がBCPを発動し、被災した世界貿易センターから代替オフィスに移動して事業を継続したことで大きな脚光を集め、BCPへの取り組みは大企業を中心に一気に加速した。

一方、国内は、内閣府や経済産業省が中心となり、地震対策としてBCPを推進。そのような中で、IT-BCPの概念は、災害に対して重要な情報システムを継続または早期復旧させるための準備態勢として使われるようになり、サイバー攻撃など情報セキュリティの問題とは、必ずしも一体的な議論がされてこなかった。