ISO 27001 & BS 25999

事業継続を中小企業に導入する意味はあるでしょうか。必要な情報はすべてオーナーの頭の中に入っているのに、事業継続のようなコストのかかるものが必要なのはなぜでしょう。

これは私が最近聞いた話です。ある小さな会社（多数の顧客にさまざまな設備を販売している）が強盗にあったそうです。盗賊は夜のオフィスに侵入し、コンピュータすべてと値打ちのある品物を盗んでいきました。 その会社のオーナーがデータをバックアップしていたのはよかったのですが、問題は、そのバックアップを同じオフィスの別のコンピュータに保存していたことです。 その会社は間もなく倒産しました。単に、事業関係の重要な情報を復元できなかったがために。

これは、中小企業の多くが患っている「まさかウチの会社でそんなことは起こらないだろう」症候群の古典的な例です。

事業継続のフレームワーク

これはつまり、中小企業もコストのかかる可用性の高い設備を持つ災害復旧用の代替地に投資する必要があるということでしょうか。もちろん違います。

必要な情報がすべてオーナーの頭の中にあるので、実際に事業継続が不要な会社もありますが、そのような例は稀です。中小企業の中にさまざまな重要情報をラップトップに保存していない会社がどれだけあるでしょうか。このような情報を災害時に利用する方法を考えること自体が、事業継続のための努力の一部です。

中小企業のオーナーは、事業にとって重要な情報（および他のリソース）はどれか、そのような情報や他のリソースを災害時に利用できることを保証する方法、および、災害時に事業活動を回復するために必要な手順を注意深く考える必要があります。 その手順とは、大企業が事業継続を導入する際に行っている通り、事業インパクト分析、事業継続戦略、事業継続計画を実行することに尽きます。 これらはすべて、事業継続の代表的な規格であるBS 25999-2に記載されています。

準備の方法

中小企業と大企業の違いは、事業継続のために中小企業が行う必要のある準備の複雑さやコストにあります。

• 電子的なデータのバックアップ - 中小企業では、データを即座にコンピュータからクラウドにバックアップするツールを利用できます。もちろん、必要な全データが含まれるように、しかるべき注意を払う必要があります。
• 紙ベースの文書のバックアップ - 中小企業は現在、日常の業務から紙ベースの文書をほぼ完全に排除して、すべてを電子的な形式に移行できる立場にあります。まれに紙ベースの文書が必要な場合には、事業継続のためにスキャンしておけばよいのです。
• オフィスの代替地 - ほとんどの場合、従業員が自宅で業務を継続するだけで十分です。そのための要件は、インターネット接続、ラップトップ/PC、および、パスワードを持っていることです。自宅勤務に向いていない場合、1 時間以内にホテルの部屋を借りることができます。
• ハードウェア - 事業に使っているのが特殊なコンピュータでない限り、代わりのものを見つけるのは極めて簡単です。家庭には普通個人用のコンピュータがありますし、親戚から借りることもできますし、近所のコンピュータ屋で買うこともできます。
• 労働力 – これがおそらく最も調達困難でしょう。他の人が知らない特定の情報（管理者パスワード、重要なプロジェクトで行う必要のある手順など）を知っている従業員がいなくなったときのことを考えてみましょう。そのような場合のための準備は、該当する情報をすべて文書化して、その従業員がいなくても利用できるようにすることでしょう。 もう一つ考えられるのは、いなくなった従業員の仕事を肩代わりする時間やスキルを持った人が他にいない場合です。そのような場合のための準備は、いなくなった従業員の仕事を臨時雇用で肩代わりできるような人を特定しておくことでしょう。ここで重要なことは、もちろん、適切なスキルや資格を持つ人材を特定することです。

結論： 事業継続フレームワークに関しては、大組織と小組織の間に違いはありません。どちらも、災害を乗り越えるために行う必要のある準備を細かく考える必要があります。 違いは準備の程度にあります。つまり、中小企業はごくわずかな投資で準備ができるということです。

—

また、弊社のウェビナー BS 25999-2 Foundations Part 3: Business Continuity Planning（市販トレーニング）もご利用ください。

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

あなたがIT部門にいるからというだけの理由で、経営陣から事業継続を導入する任務を与えられた事はありませんか。なぜ事業継続は情報技術だと一般に思われているのでしょうか。

これはおそらく、事業継続の起源が災害復旧にあり、災害復旧が基本的に情報技術に関する事だからでしょう。 20～30年前は、事業継続（BC）という概念は存在せず、災害復旧（DR）という概念だけが存在していました。その主な関心は、災害が発生したときに、どのようにデータを保存するかでした。その当時は、たとえば地震発生時に、組織のあらゆる重要なデータを保管できるように、高価な設備を購入して遠隔地に配置することが流行していました。データは保管されるだけでなく、元の場所にあったときとほぼ同じように処理できるようになっていました。

けれども、しばらくすると皆気づきました。データを利用する事業が存在しなかったら、そのデータは何の役に立つのかということに。 ここから事業継続のアイデアが誕生しました。その目的は、大きな中断があった場合でも、事業を継続できるようにすることです。

定義

定義を見てみましょう。事業継続が「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断（混乱）に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」（BS 25999-2: 2007）であるのに対し、災害復旧は「天災や人災の後の、組織に不可欠な技術インフラストラクチャの復旧・継続のための準備に関連するプロセス・方針・手順」（Wikipedia.org）です。

定義からわかるように、DRの重点が技術にあるのに対し、BCの重点は事業運営にあります。 したがって、災害復旧は事業継続の一部です。災害復旧は、事業運営を可能にする原動力、あるいは、事業継続の技術的部分だと言えるかもしれません。

けれども、もう一つ気がついた人もいると思います。それは、BCの定義は BS 25999-2（事業継続管理の代表的な規格）から引用されているのに対し、DRの定義はWikipediaから引用されていることです。実際、「事業継続」は規格で認められた正式の用語ですが、「災害復旧」はそうではありません。

導入の意味

では、IT部門が組織全体の事業継続を実施するのは、どうしてよくないのでしょうか。事業継続は、基本的に事業の問題であって、ITの問題ではないからです。IT部門が組織全体の事業継続を実施した場合、事業活動の重要性も情報の重要性も定義できないでしょう。さらに言えば、組織の事業部門が積極的に参加してくれるかどうかも疑問です。

BCの導入を準備する最善の方法は、プロジェクトを事業側に指導させることです。これこそが、組織のあらゆる部門からより多くの認識と承認を得る方法です。 そのようなプロジェクトにおいて、IT部門が演じるべきなのは、中心的な役割の一つである、災害復旧計画の作成です。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 1: Business Impact Analysis（市販トレーニング）もご利用ください。

あなたは、BCMは「不可能」「不要」「大災害時には役に立たない」などと言われた事はありませんか。事業継続管理を導入した人なら、おそらくあるはずです。このような態度はもちろんプロジェクトの邪魔になるので、そのような人に対処する方法をいくつか教えましょう。

「大災害が発生した場合には、どうすることもできない」

これがおそらく最も多い批判でしょう。 この批判は、あなたが実際に起こりうるあらゆるシナリオを想定して、事業継続戦略や 事業継続計画を作成していなければ、正しいかもしれません。しかし、あなたがあらゆるシナリオを想定していれば、どんな災害にでも耐えられるほど距離の離れた代替地を準備していたこと、データのバックアップコピーを作成済みであること、会社のあらゆる従業員に代替要員がいること、重要なあらゆるサービスに代替供給者がいること、などを説明できるでしょう。

「核戦争が起こったら、うまくいかないだろう」

なるほど。でも軍事供給者でもない限りは、問題ではありませんよね。違いますか。 この種の破滅的なシナリオにおいては、あなたの事業はおそらく存在する意味がなくなっているでしょう。

「不必要なのでは」

もう事業継続を利用する必要がないことを祈るだけですね。 9/11やハリケーン・カトリーナのような周知の例を出すまでもなく、こう尋ねれば十分でしょう。「停電を経験したことはありませんか？」あるいは「サーバが故障したことは？」あるいは「重要なデータを保存したPCが故障したことは？」「完全に焼失した建物の話を聞いたことは？」このような事が誰にでも起こりうることを理解するには、新聞の見出しを読めば十分です。

「ウチは審査員を納得されればいいんだ」

優先順位が間違っています。 適切に実施すれば、あなた自身を守り、その結果として審査員も満足するのです。

「あらゆるインシデントを予測することなんかできない」

これは少なくとも最初のうちは真実です。 けれども、適切なリスクアセスメントを実施して、資料やさまざまな経営資源を利用し、評価を定期的にレビューすれば、起こりうるあらゆるリスクを想定することが可能になるでしょう。リスクを想定できれば、それに対する対応を準備することができます。

「人間は非常の際に、仕事よりも家族のことを考えるだろう」

これも真実です。 地震のときにまず家族の無事を確認しない人はいないでしょう。 けれども、インシデント発生後に帰宅してよい人と残って事態の解決を図る人を注意深く割り振って、残らなくてはならない従業員の家族の面倒を（他の従業員に頼んで）見ることにすれば、おそらくこの問題は解決できるでしょう。

「人間は危機的な状況になると不合理な行動をとる」

間違いなく真実です。けれども、従業員（供給者/パートナー）を日常的に訓練し、なおかつ、事業継続計画を実施しておけば、彼らはストレスの多い状況に慣れるので、そのような事態が発生してもおそらく適切に対処してくれるでしょう。

同様なプロジェクトを導入したことがある方なら、意識向上の重要性をご存知でしょう。同僚がプロジェクトの目的を認識していないと、導入時にかなりの困難を経験するはずです。 プロジェクトが完全に失敗するかもしれないことは言うまでもありません。これが意識向上を事前に考慮しなければならない理由です。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。

事業継続管理を導入する際に直面する最大の課題は、おそらく、事業継続計画を書くことです。

事業継続計画を書くことはなぜそんなに難しいのでしょうか。それは、災害（その他の事業活動の中断）が発生し得るさまざまなシナリオを検討して、そのような極めて稀であるが潜在的に破滅的なインシデントを処理する方法を考える必要があるからです。

そのような計画を書く人が一般に直面する問題には、計画に何を加えるべきか（何が主な要素か）、計画をどのぐらい長く（どのくらい詳しく）すべきか、計画にどんな手順を含むべきか、などがあります。

このようなジレンマに対する最善のソリューションは、BS 25999-2規格を使うことです。この規格はBS 25999-1とともに、計画を書くためのフレームワークを定義します。

これらの規格によると、事業継続計画は、(1)インシデント対応計画および(2)復旧計画から構成されている必要があります。 インシデント対応計画は通常、組織全体のために書かれた統一計画で、 インシデントの影響を減らす、救急隊に通報する、建物から避難する、集合場所に集合する、別の場所への移動手段を調達する、などの災害発生の直後に行わなくてはならない事を記述します。

復旧計画は通常、重要な活動ごとに書かれます。復旧計画に記載される手順には通常、次の通りです。さまざまなステークホルダー（従業員・その家族・株主・顧客・パートナー・政府機関・公共メディアなど）に伝える時期と方法、チームを招集する方法、インフラストラクチャを復旧する方法、アプリケーションが機能しているかどうか、および、アクセス権が適切かどうかをチェックする方法、損失したデータや災害によって破損したデータをチェックする方法、データを復旧する方法、復旧が完了して通常営業を開始できる時期を決める方法。

災害復旧計画（ICTインフラストラクチャの復旧計画）には、特定の重要活動の目標復旧時間以内に各システムを実行する方法を記述する必要があるので、注意深く書くべきです。これは通常、復旧する各システムの詳しい復旧計画を書くことにより実現されます。

原則として、このような計画には、その重要活動に従事している人が実行できない場合にも、他の従業員（または外部のスタッフ）が実行できる程度の詳しさが必要です。 したがって、計画を書く際には常識を働かせて、自分だけでなく誰もが理解できるようにしてください。

私の経験では、このような計画を書くときの最大の課題は、従業員がそれまで考えもしなかったような、まったく異なる事態に直面しなくてはならないということです。 そのような問題を乗り越えるには、起こる事やその対処方法に関する見解を共有できるようなワークショップ（モデレータはいてもいなくてもよい）を組織するのが最善です。

実際には、従業員が事業継続について考え始めるという事は、仕事全体の半分に過ぎません。そのようなアプローチをとることにより、事業継続計画の結果は数段向上します。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 3: Business Continuity Planning（市販トレーニング）もご利用ください。

あなたは事業継続管理/BS 25999-2規格の導入を検討中ですね。けれども、大変なコストがかかるという話を聞きましたね。 確かにコストはかかりますが、必ずしもあなたが思っている程ではありません。コストの問題は、すぐれた事業継続戦略があれば解決できます。

事業継続戦略とは、BS 25999-2規格の定義によれば、「災害又はその他大規模なインシデント、若しくは事業中断（混乱）などに直面したときに、組織の復旧及び継続を確実にする、組織によるアプローチ」です。したがって重要なのは、そのような災害が発生したときに、それに対処するための最善の準備をしておくことです。この準備には、組織的方策（計画立案・供給者/パートナーとの契約・演習・レビュー・意識向上など）と設備・インフラストラクチャなどに対する投資などの方策とがあります。

復旧時に極めて重要な要素は時間です。時間内に事業を復旧できないと、顧客や取引自体を失う可能性が高くなります。したがって、事業継続戦略では、重要な活動ごとに目標復旧時間（RTO）を設定する必要があります。RTOは活動ごとに異なる可能性があります。

ここで重要なことが一つあります。 それは、RTOを短くするほど、必要な投資は増えるということです。たとえば、データセンタを1時間以内に復旧するには、元の場所とほとんど同じ設備を持つ代替地に投資する必要があるでしょう。逆に、データセンタを2週間で復旧するために必要な投資ははるかに少なくて済むでしょう。なぜなら、代替地にはバックアップ・テープを保管しておけば十分ですし、必要な設備は2週間あれば調達できるからです。つまり、RTOは長すぎても短すぎてもいけないということです。

RTOの設定が済んだ後も、多少の投資を行う必要があります。けれども、優れた事業継続戦略があれば、投資を抑制しながら、目標復旧時間内で重要な活動を復旧することができます。以下はその例です。

• 代替地には独自のデータセンタが必要とは限りません。多くの国では、そのような場所を専門の企業から賃貸することができます。つまり、インフラストラクチャだけでなく、設備やソフトウェアに対する投資さえ不要な可能性があります。
• 代替地にはオフィスが必要とは限りません。顧客と対面する必要のない従業員は、在宅勤務でもかまいません。
• 別の場所に他の事業部門があって、災害の影響を受けた重要な活動を引き継ぐことができれば、代替地をまったく必要としない可能性もあります。
• RTO以内の設備納品を保証できる供給者を見つけることができれば、設備を事前に購入しなくてよい可能性があります。
• その他。

以上の例はすべて組織の能力向上を必要としますが、お金を節約したいのなら、確実に検討する価値があります。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。

情報セキュリティと事業継続には、一見あまり共通点はありません。唯一似ているのは、どちらもITに関係していることぐらいだと言う人もいるでしょう。

情報セキュリティ管理を定義しているのは国際規格ISO/IEC 27001であり、事業継続管理を定義しているのは英国工業規格BS 25999-2です。したがって、両者を比較したい場合には、この2つの規格の内容を見るのが賢明です。

まずISO 27001でもBS 25999-2でも、ITは重要な部分ではありますが、この2つの規格はいかなる意味でも、ITだけの規格ではありません。その重点は、業務プロセスと資産、および、関連するリスクにあります。データを処理する主なツールがITであることは事実ですが、人間の悪意や無意識の行動に最大のリスクがあるという事実に変わりはありません。 したがって、情報セキュリティや事業継続に関するリスクは、情報技術だけでは解決できません。組織の編成・プロセス・責任を定義することの方がはるかに重要です。

では、情報セキュリティの本質とは何でしょう。 ISO 27001では、それを「情報の機密性、完全性及び可用性を維持すること」と定義しています。 一方BS 25999-2では、事業継続を「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断（混乱）に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」と定義しています。

この両者はそれほど似ているようには見えません。 けれども、この両者に共通するものが一つあります。それは可用性です。 情報セキュリティおよび事業継続が重視しているのは、必要とする人が情報を利用できるようにすることです。その点、ISO 27001の附属書Aで提供しているのは、事業継続専用の管理策です。

またどちらの規格でも、情報に関する潜在的な問題を特定するために、リスクアセスメントを実施することを要求していますし、文書管理、内部監査の実施、マネジメントレビュー、是正措置・予防処置を要求しています。つまり、ISO 27001用の文書があれば、BS 25999-2でも（わずかな修正だけで）同じ手順を利用できるということです。

では両者の差はどこにあるのでしょう。主な違いは、細かさにあります。 ISO 27001の方がはるかに広い領域を扱っているので、事業継続に関する記述はあまり厳密ではありません。一方BS 25999-2では、事業インパクト分析を実行する方法、事業継続戦略を定義する方法、事業継続計画のあるべき内容などを詳細に記述しています。

結論としては、事業継続は情報セキュリティの一部として考えられるというのがポイントです。これを応用すると、事業継続をISO 27001の文脈で導入する際には、BS 25999-2をガイドラインとして使うことが最善だということになります。

—

また、弊社の無料ウェビナーISO 27001 & BS 25999-2: Why is it better to implement them together?もご利用ください。