――リスクを正しく認識していないと。
多くの場合、形から入ってしまうんですね。私も昔は経済産業省の情報システム部門にいたのですが、やはり形から入ってしまうんです。本当は、優先順位があるはずです。守らなくていいものにまでコストをかける必要はありません。どうしても守らなければならないものが危険にさらされるとしたら、どのような状況が考えられるのかという発想から入らないといけません。
どういう手口で入られるか、内部の不正で取り出されるケース、脅迫されるケースもあり得ますよね。たとえば、パスワードで守られているといっても、テロによって家族を人質にして情報を搾取させるケースも考えたら、パスワードでは守られていることにはなりません。
それは事業継続についても同じです。バックアップセンターを持つなど、形から入ってはだめです。何を継続させなければならないのか、なくなってもいいものは何かなど、事業として松竹梅の棚卸しをしておかなければならない。しかし、業務部門は「どこも大切」と言うんですね。本当に1日も止められない業務は何か、それはIPAにおいても特別相談窓口などセキュリティの関係の届出とセキュリティの注意アラートの仕組み、それに情報処理技術者試験、止めてはいけないものはそのくらいです。
それ以外にコストをかけて事業継続しなければならないことはほとんどありません。ただ、検討すること自体にはお金がかかりませんから、すべての業務に対して洗い出しをするよう指示しています。
参考例としては、可用性やサービスレベルだと思います。それを松竹梅(High、Mid、Low)に分けていきます。そうすると、止めてもいい時間と最大復旧時間までのレベルをざっくりと分けて、稼働率を設定し、これを実際の業務に当てはめたらどうかという試行ができます。
他にIPAで言えば、この建物自身が首都直下型の地震が来たときに耐えられるかどうかがわからないので、一番大切なものについては地方にバックアップ拠点を設けなければなりません。今は試行的に一部の業務で始めていますが、この棚卸しをした上で分散させていこうと考えています。
サービスカタログの利用分類と方針
サービスカタログとサービスレベル
