本誌では、組織の危機管理担当者らに対して、IT-BCPについて心配している脅威や現状の対策についてアンケート調査を実施した。その結果、情報システムを中断・停止させる災害・事故としては、地震を懸念する意見が最も多いことがわかった。一方、ここ3年程度で実際に組織の情報システムを停止・中断させた災害や事故は、「通信・ネットワーク障害」や「従業員や外部スタッフのオペレーションミス」が比較的に多いことが判明。システムが停止・中断した際の初動体制や目標復旧時間の設定について不安を抱えている組織が多いこともわかった。有効回答数は229件。

情報システムを中断・停止させるリスクで心配なのは何か?

組織の主要な情報システムを中断・停止させるリスクとして、災害や事故の事象ごとに、どの程度心配をしているか聞いたところ、地震については、「かなり心配している」(76.4%)と「少し心配している」(19.7%)を足した数が96.1%と、すべての事象中、最多となった。

「かなり心配している」「少し心配している」を足した数で2番目に多かったのが「通信・ネットワーク障害」(93%)、3番目が「従業員の不祥事による情報漏えい」(92.3%)、次いで「自社システムの障害」(90.7%)の順。

「かなり心配している」だけに絞っても、「地震」は突出して高く、次いで「サイバー攻撃」(54.6%)、「通信・ネットワーク障害」(54.2%)、「自社システムの障害」(51.3%)と続く。

自由意見として「近年、サイバー攻撃などによる脅威が急激に増加している」「地震など突発的な災害はやはり影響が心配」「経営者にサイバーのリスクを理解してもらえない」「顧客とVPN接続しているため、重要データにアクセスされる危険がある」「安易なSNS利用が大きな被害につながる」「ブランドイメージが損なわれる」などの意見も寄せられた。

過去3年で発生した情報システムの中断・停止の要因は何か?

過去3年程度の間で、予期せぬ情報システムの中断・停止を招いた事象があれば、その原因は何か?との問いに対しては、59.8%の回答者が「中断・停止はしていない」と回答した一方で、「自社システムの障害」(21.8%)、「通信・ネットワーク障害」(19.2%)、「従業員や外部スタッフのオペレーションミス」(8.3%)、「外部のシステム障害」(7.4%)などを挙げた人もいた。「その他」では「工場改築時のケーブル誤切断」「落雷による停電」があった。

また、これらのトラブルにより停止した時間についても尋ねたところ、「1時間~12時間未満」が46.1%で最多で、次いで「12時間~24時間未満」(18.3%)、「1時間未満」(14.8%)、「24時間以上」(8.7%)の順となった。

自由回答では、外部のシステム障害によりITシステムが中断したという回答者から、「システム業者に任せきっていた弱さが出た」「通信サービス会社の機器の故障でバックアップが取られておらず100名規模の事業所の業務が滞った」とのコメントが、停電により中断したとの回答者からは「バックアップシステムがうまく立ち上がらずにダウンした」「軽油燃料が調達できなかった」とのコメントが寄せられた。

主要業務を支えるIT資源は明確になっているか?

一方、BCPにおいて、主要業務を継続するために必要なIT資源(システムやネットワーク、データなど)が明確になっているかを聞いたところ、「明確になっているものと、なっていないものがある」(56.8%)との回答が突出して高く、「すべての重要業務について明確になっている」(22.7%)を大きく上回った。一方、「明確になっていない」との回答も14.4%あった。

目標復旧時間は設定しているか?

主要業務を支える情報システムが停止・中断した場合の目標復旧時間を設定しているか、との問いについては、「重要なシステムについては設定している」(40.2%)と、「設定していない」(38%)が突出して高く、「すべてのシステムで設定している」は、わずか3.9%だった。

初動体制やマニュアルは整備しているか?

主要業務を支えるITシステムが停止・中断した場合の初動体制やマニュアルを整備しているか、との問いに対しては「初動体制もマニュアルも整備している」が31.9%で最多だった。が、「初動体制は決めているが、マニュアルは整備していない」(29.7%)、「初動体制もマニュアルも整備していない」(17.5%)の回答も多かった。

また、自由回答では「初動体制もマニュアルも形だけは整備されているが、具体的ではない」「両方とも整備はしているが、不十分」「部分的に整備されている」などの意見があった。

CSIRTの設置状況は?

コンピュータやネットワーク上で問題(主にセキュリティ上の問題)が起きていないかを監視し、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする専門組織となるCSIRTの設置については、「設置していない」が44.5%、「CSIRTは設置していないが、IT部門が兼ねている」(24.9%)、「既に設置している」(13.5%)の順。その他として「グループ会社で整備している」「エスカレーションルールは決めている」との回答があった。

情報システムの継続・復旧のために行っている演習・訓練は?

災害や事故を想定して、ITシステムの継続・復旧のために行った訓練や演習のシナリオを聞いたところ、「複数回行っている」・「一度は行ったことがある」シナリオは、「地震」(計42.6%)や「停電」(計35.6%)、「自社のシステム障害」(計29.5%)が比較的に多く、逆に、「一度も行ったことがないシナリオ」は、「噴火」が最多で、次いで「台風や洪水など水害」「新型インフルエンザなど感染症」「従業員の不祥事による情報漏えい」が多かった。

経営の理解は得られているか?

事故や災害による情報システムのトラブルを起因とする事業中断のリスクについて、経営の理解は十分に得られていると思うか、との問いに対しては、「ある程度は得られている」が46.7%と最多で、「十分得られている」(19.2%)を足すと65.9%で過半数を占めた。「あまり得られていない」は23.1%、「まったく得られていない」は5.2%だった。

BCPにおけるIT対策を進める上での課題は?

BCPにおけるIT対策を進める上で課題については、「知識やスキルを持った人材が不足」が60.7%で最多。次いで「費用がかかりすぎる」(49.3%)、「ITリテラシーを高める社員教育が難しい」(35.4%)、「対策にかける手間や時間がない」(31.9%)が多かった。

「その他」の回答では、「課題ではなく、IT部門と事業部門との連携を重点に進めている」「組織変更などにより対策レベルの異なるシステムを統合する際、方針、方策、予算措置などで苦労する」「具体的にどのような管理をすればいいのか不安」などの回答があった。

一方、BCPにおけるIT対策を進める上でうまくいった事例や工夫については、システム面での工夫や意識啓発の手法まで幅広い意見が寄せられた。

特に恐れている事態は?

最後に、ITトラブルの結果として、特に恐れている事態を聞いたところ、「組織の主要事業が長期間停止してしまう」が78.6%で最も多く、次いで「業務に必要なデータが消失してしまう」(64.2%)、「機密情報が流出してしまう」(59%)、「個人情報が流出してしまう」(56.3%)の順となり、データ消失の方が、機密情報や個人情報の漏洩より、わずかながら大きなリスクとして捉えられている傾向が明らかになった。

 


アンケート調査は、本誌の読者およびメールマガジン購読者を対象に行い、計229 人から回答を得た。内訳は上場企業が31.9%で、非上場企業が52.8%、自治体が4.6%、個人が2.6%など。業種は製造業が24%で最も多く、次いでサービス業(15.3%)、情報通信業(12.7%)の順となっている。