BCPの運用と訓練
BCPの運用と訓練
BCPは策定するだけでは意味がありません。定期的な訓練と見直しによって初めて実効性が担保されます。「計画は作ったが、棚にしまったまま」という状態は、計画がないのとほぼ同じです。
BCPテストの種類
| テスト種類 | 内容 | 参加者 | 所要時間 | 実施頻度 |
|---|---|---|---|---|
| 机上演習(Tabletop Exercise) | 災害シナリオに基づき、対応手順を口頭で確認。実際の操作は行わない | 関係者(5〜15名) | 2〜4時間 | 年2回 |
| ウォークスルーテスト | 手順書を見ながら、各担当者が自分の役割を手順に沿って確認 | 各担当者 | 半日 | 年1〜2回 |
| シミュレーション訓練 | 実際のシステムを使って部分的な復旧作業を実施 | IT担当+関連部署 | 半日〜1日 | 年1回 |
| 全体訓練(Full-Scale Exercise) | 全社参加で災害発生から復旧までを実際に近い形で実施 | 全従業員 | 1日 | 年1回(理想) |
ポイント:いきなり全体訓練を実施するのはハードルが高いため、まずは机上演習から始めましょう。「今、大地震が発生してオフィスが使えなくなったとします。まず何をしますか?」という問いかけから始めるだけでも、大きな気づきが得られます。
机上演習の進め方
- シナリオの準備:「金曜15時に震度6強の地震が発生。オフィスは立入禁止。サーバールームの状況は不明。停電中」など、具体的で現実的なシナリオを作成
- 参加者の選定:経営層、各部署の責任者、IT担当者を最低限含める
- 進行:ファシリテーターがシナリオを段階的に提示し、各参加者に「自分は何をするか」を回答してもらう
- 議論:回答内容について参加者間で議論し、BCP手順との整合性を確認
- 記録:発見された課題や改善点をすべて記録
📋 具体例
机上演習のシナリオ例(ランサムウェア編):
時刻0分:月曜朝、複数の社員から「ファイルが開けない」と報告
時刻15分:ファイルサーバー上のファイルが暗号化されていることを確認
時刻30分:身代金要求メッセージを発見。要求額は300万円
時刻1時間:バックアップサーバーも暗号化されていることが判明
各段階で「誰が」「何を」「どの順番で」実施するかを確認します。
シミュレーション訓練の実施
IT部門が主導するシミュレーション訓練では、実際にシステムの復旧作業を行います。
シミュレーション訓練の例
- バックアップリストア訓練:テスト環境にバックアップからデータを復元し、データの整合性を確認
- DR環境切替訓練:クラウドDR環境にフェイルオーバーし、業務アプリケーションの動作を確認
- ネットワーク切替訓練:回線障害を想定し、バックアップ回線への切り替え手順を確認
- 安否確認訓練:安否確認システムからテスト発報し、全従業員の回答を確認
訓練結果の評価と改善
訓練後は必ず振り返りを行い、課題を抽出して改善につなげます。
| 評価項目 | 評価基準 |
|---|---|
| 復旧時間 | 目標RTO内に復旧できたか |
| データ整合性 | 復旧データに欠損や不整合がないか |
| 手順書の正確性 | 手順書どおりに作業を進められたか、不明確な箇所はなかったか |
| 連絡体制 | 関係者への連絡は迅速・正確に行われたか |
| 参加者の習熟度 | 各担当者は自分の役割を理解し、適切に行動できたか |
| 未想定事象 | 訓練中に想定外の問題が発生しなかったか |
PDCAサイクルによるBCPの改善
- Plan(計画):BIAとリスクアセスメントに基づきBCPを策定・更新
- Do(実行):BCPに基づく対策の実施、訓練の実施
- Check(評価):訓練結果の評価、監査、実際のインシデントからの教訓
- Act(改善):評価結果に基づくBCPの修正・改善
ポイント:BCPは「完成」するものではなく、「継続的に改善」するものです。組織の変化(人事異動、システム変更、オフィス移転)があるたびに見直しが必要です。最低でも年1回の定期見直しをスケジュールに組み込みましょう。
年次見直しで確認すべき事項
- 組織変更の反映:担当者変更、組織再編、連絡先の更新
- ITシステムの変更:新規システムの追加、既存システムの廃止・変更、クラウド移行
- 外部環境の変化:新たな脅威の出現、法規制の変更、取引先の変化
- 訓練結果の反映:前回訓練で発見された課題の対策状況確認
- RTO/RPO目標の妥当性:ビジネス環境の変化に応じた目標値の見直し
- 予算と投資計画:次年度に必要なBCP関連投資の計画
⚠️ 注意
BCPの見直しを怠ると、計画と現実の乖離が拡大します。よくある問題は「退職した担当者の名前がBCPに残ったまま」「廃止したシステムの復旧手順が記載されたまま」というケースです。BCPの見直しは形式的なものにせず、実質的な内容更新を行いましょう。
ひとり情シスの視点:BCPの訓練を社内に定着させるには、経営層のコミットメントが不可欠です。「BCPは経営課題である」という認識を持ってもらうため、他社の被災事例(特に同業種・同規模の企業)を定期的に情報共有し、当事者意識を醸成しましょう。訓練の実施結果は経営会議で報告し、改善策を経営判断として承認してもらうプロセスが重要です。
✅ 完了済み