記事登録
2008年04月22日(火) 17時52分

ITセキュリティの視点から見た BCP/BCM JIPDEC、高取氏インタビュー(1)Scan

 ゼロデイ攻撃や標的型攻撃など、企業の ITインフラへの様々な脅威が指摘される中、これまでは自然災害やテロなどの不測の事態における企業の事業継続のためのものとされていた BCP (Business Continuity Plan: 事業継続計画)や BCM (Business Continuity Management: 事業継続マネジメント) を、ITセキュリティに適用しようという動きが活発化しています。

 そこで今回は、4月22日に開催される「Business ContinuityManagement Conference」にパネリストとして登壇される、財団法人日本情報処理開発協会 (以降 JIPDEC) 情報マネジメント推進センター副センター長の高取敏夫氏に「ITセキュリティの視点から見た BCP/BCM」についてお話を伺いました。

---まず BCP/BCM とは簡単に言うとどのようなものでしょうか?

 それぞれBisiness Continuity Plan、Business Continuity Managementの略語であることが示すように、大規模災害やテロといった企業・組織にとっての不測の事態においても事業そのものを中断することなく、継続するための方針や手続きをまとめたものがBCPであり、またそのような事業継続にあたっての戦略的な運用管理の手法をBCMと言います。

 自然災害などの不測の事態は、いつ起こるか分かりませんし、絶対に避けられるものではありません。そこで事件や事故はどうしても起こってしまうものであるという前提で、企業や組織にとってのリスクを洗い出し、最低限守るべきものは何かを経営戦略的視点で捕らえることがBCPやBCMを考える上で重要となります。

---BCP/BCM の ITセキュリティとの関連は?

 近年の ITの普及により、ITなくして事業の継続はありえないものになっています。そのため、ITセキュリティの問題、すなわち企業の ITシステムに対する脅威は企業全体に対する脅威と言うことができます。

 たとえば、かつての ITセキュリティは、ワクチンソフトやファイアウォールなどを導入することで防御するという考え方が一般的でした。しかし、近年の ITセキュリティを取り巻く状況はより深刻化しており、ボットの蔓延や未知の脆弱性を悪用したゼロデイ攻撃、更に特定の企業や組織を狙った標的型攻撃など、防御が著しく困難になってきています。

 このような中で ITシステムに対する不正アクセスやウィルス感染は、何らかの技術的な手法で完璧に防げるものではなく、自然災害と同様に「起こってしまうもの、避けられないもの」という前提で、起こってしまった後に効果的に対処することで事業の継続性を確保しようという考えからBCP/BCMに ITセキュリティが含まれるようになったのです。

---ITセキュリティに関して、日本ではISMSという規格がありますが、BCP/BCMについても何らかの規格があるのでしょうか?

 BCP/BCMに関しては、既に英国でBS25999という規格があり、またISO化の動きもあります。そのようなこともあって我々JIPDECに対して、ISMSのような規格を別途新たに作ろうとしているのではないかと思われている方がいらっしゃるようですが、それは誤解です。

 BCP/BCMは、先ほど説明したようにITセキュリティと密接に関わっているため、当然のことながらISMSなどの既存のITセキュリティ関連の規格と無関係ではありません。

 そこで、現在我々JIPDECが考えているBCMS(Business ContinuityManagement System) とは、新たな規格ではなく、既にあるISMS(Information Security Management System) やITSMS(ITServiceManagement System) と統合的に導入できるものであり、今までにあるものを有効活用して、「事業継続力」を高めていこうというものなのです。

【取材・執筆: 押田政人】


【セキュリティ用語解説】
ファイアウォール(Firewall)とは
https://www.netsecurity.ne.jp/dictionary/firewall.html
ボット(BOT)とは
https://www.netsecurity.ne.jp/dictionary/bot.html
ゼロデイアタック(Zero-day Attack)とは
https://www.netsecurity.ne.jp/dictionary/zerodayattack.html


【関連リンク】
図:他のマネジメントシステムとの関連
https://www.netsecurity.ne.jp/images/article/bcm_large.jpg
Business Continuity Management Conference
http://www.idg.co.jp/expo/bcm/
JIPDEC
http://www.jipdec.or.jp/


この記事は有料会員制セキュリティ情報サービス Scan のニュースの一部を抜粋し掲載しています。

http://headlines.yahoo.co.jp/hl?a=20080422-00000006-vgb-secu

最新のニュース記事一覧
お問い合わせ