もしもの時のために備える。
業務を止めないためのIT-BCP対策

◆この記事の要約

企業活動におけるITへの依存度が高まる中、システム障害やランサムウェア被害による企業活動へのリスクが増加しています。これらのITリスクは業務の停止につながり、延いては金銭的損失、情報漏洩、企業ブランドの毀損を招くため、ITの停止が即業務の停止につながらないように、IT-BCPの整備が急務となっています。多くの企業では、BCPを策定していますが、ITリスクを想定した計画の実効性や運用は十分とはいえません。効果的なBCP策定には業務影響分析や代替手段の確立、組織全体での連携強化が不可欠です。ポイントは下記のとおりです。

  • IT依存の高まりでシステム障害・ランサムウェア被害が増加
  • 基幹システムの移行トラブルやランサムウェア被害が企業リスクの象徴例
  • 内閣府調査でBCP策定率は大企業76.4%、中堅企業45.5%に増加
  • 多くのBCPは自然災害中心、ITリスク対応は不十分な現状
  • IT-BCPの策定・実装・訓練が企業のレジリエンス強化に不可欠
  • レイヤーズがBCP策定から運用支援まで一貫サポート
近年、企業活動におけるITへの依存が高まる中、システム移行におけるトラブルやランサムウェア被害が増加し、システムが停止することによる業務の停止や、それにともなう信頼の失墜といった深刻な影響を企業活動に及ぼしています。内閣府調査によると、BCPの策定率は大幅に上昇する一方で、多くは自然災害への対応に重きが置かれており、ITリスクを想定したIT-BCPへの対応は十分とはいえません。企業はITリスクも想定した実効性あるIT-BCPの整備と運用に向けた準備が急務であると考えます。

システム障害やサイバー被害等による経営リスク

近年、企業経営においてITへの依存度が高まる中で、システム移行時のトラブルやランサムウェアによる被害が増加傾向にあります。これらのリスクは、単なる一時的なトラブルにとどまらず、業務の停止につながり、その結果として金銭的損失、情報漏洩、さらには企業ブランドの毀損といった深刻な影響をもたらす可能性があり、企業経営にとって看過できない問題となっています。

その象徴的な事例として、食品製造販売企業で発生した基幹システム移行トラブルが挙げられます。同社はERPパッケージへのシステム刷新を進めていたものの、本稼働直前に深刻な障害が発生し、生産ラインの一部停止、製品の出荷遅延、さらには一部製品の回収という事態に発展しました。この障害は、単なるシステム移行のトラブルにとどまらず、企業の信頼性・業績・ブランドイメージにも多大な影響を及ぼしました。

また、市民生活に大きな影響をもたらした事例として、高速道路におけるETCシステムの障害が挙げられます。この障害は広域的なETCシステムの移行時における障害に対する速やかな復旧体制が確立できなかったことから、原因特定に時間を要し、発生から応急復旧までに38時間かかることになりました。また、システム改修時に広域的な障害が発生することを想定した備えがなかったことも復旧に時間がかかった要因とされています。

さらに、サイバー攻撃の中でも特に被害が深刻化しているのがランサムウェアによる攻撃です。日本国内におけるランサムウェア被害件数は、2020年上期の21件から2024年上期には114件へと急増しており、その被害規模も年々拡大しています。2024年には、ランサムウェア被害を受けた法人組織の平均損害額が約2億2千万円に達するという報告もあります。中でも医療機関を標的とした攻撃が顕著で、2025年2月にはとある病院がランサムウェアの被害を受け、最大で30万人分の個人情報が流出した可能性があると発表されました。この事態を受け、病院はサーバーをインターネットおよび院内ネットワークから遮断し、診療や健診などの業務を一部停止せざるを得ない状況が続いています。

ITリスクに備えるBCPの再構築

システム障害やランサムウェアによるシステム停止で被害が深刻化する中、企業にとってこのようなITリスクに備えた事業継続計画(BCP)の整備と、迅速な復旧体制の構築は喫緊の課題となっています。
特に、自然災害等の大規模災害対策に重点を置いたBCPだけでなく、ITリスクの被害を想定した“IT-BCP”の重要性が高まっています。内閣府が隔年で実施している「企業の事業継続及び防災の取組に関する実態調査」によると、2023年時点でBCPを策定済みの企業は、大企業で76.4%、中堅企業で45.5%に達し、2007年の初回調査と比べて大幅に増加しています(大企業+57.5ポイント、中堅企業+33.1ポイント)。BCPに対する意識は着実に高まりつつあるといえるでしょう。

しかしその一方で、多くの企業のBCPは依然として大規模災害への対応を中心に設計されており、移行等によるシステムの障害やサイバー攻撃といったITリスクに焦点を当てたIT-BCPを十分に整備している企業は限られます。内閣府の同調査でも、BCPを策定している大企業のうち、ITリスクを想定している割合は約半数にとどまり、中堅企業ではそれ以下という結果が示されています。今後は、従来型BCPに加えて、ITリスクへの対応を含む、実践的なIT-BCPの策定と運用が求められます。

【図1】BCP策定において重視しているリスク

実効性のあるIT-BCPで企業を守る

IT-BCPは、大規模災害、重大なシステム障害、サイバー攻撃などの緊急事態に直面した際でも、企業が重要業務を中断させることなく維持し、迅速に復旧するための基盤となる取り組みです。災害や障害が発生し、システムの継続利用が困難になった場合、システム停止後にどの程度の時間(RTO、目標復旧時間)でシステム障害前のどの時点(RPO、目標復旧時点)に対してどのレベル(RLO、目標復旧レベル)で最低限復旧されるべきかの基準と手順の整備が重要となります。IT-BCPの策定においては、単なる文書化にとどまらず、事業への影響度分析、重要業務の優先順位付け、代替手段や復旧プロセスの明確化、関係部署や外部パートナーとの連携体制の整備といった、実効性をともなう仕組みの構築が必要不可欠です。

しかしながら、現実には多くの企業において、IT-BCPが「形だけ」の存在にとどまり、実際の危機対応力に乏しいケースが少なくありません。企業としてその重要性を社内に十分に伝えきれておらず、現場レベルでの浸透や実践が行われていない状況も見受けられます。特に大きな課題となっているのが、訓練やシミュレーションの未実施または形骸化です。IT-BCPは策定しただけでは機能せず、定期的な訓練やリハーサルを通じて、手順の有効性や実施体制の問題点を洗い出し、システム環境や業務プロセスに即した改善を行うことが不可欠です。これを怠ると、システム更改等にあたって障害が発生した事例でもみられるように、実際の障害発生時に適切な対応ができず、復旧に時間を要し、結果として事業停止時間が長期化するリスクが高まります。IT-BCPは「備えているつもり」で機能しないことが最大の落とし穴です。

このような背景を踏まえ、レイヤーズでは、IT-BCPの策定だけではなく、実運用を見据えた訓練・シミュレーションの設計・実施までを包括的に支援いたします。企業の業務実態や組織構造に即した、現実的かつ実行可能なIT-BCPを構築し、実地訓練を通じて現場の対応力を高めることで、真に機能するIT-BCPの実現を目指します。将来の不測の事態に備える確かな手立てとして、当社の知見と経験を是非ご活用ください。

【図2】IT-BCPの基本①

【図3】IT-BCPの基本②

ソリューションに関するオンライン相談ソリューションに関するオンライン相談 最新情報をお届け!メルマガ登録最新情報をお届け!メルマガ登録

この記事の執筆者

お仕事のご相談や、ご不明な点など、お気軽にお問い合わせください。
セミナー開催予定など最新ニュースをご希望の方はメルマガ登録をお願いいたします。