🏢 Phase2：組織と管理（Day14）｜事業継続計画（BCP）と情報セキュリティの関係｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

---

前回の記事

---

1. セキュリティの目的は「止めない」こと

情報セキュリティというと、

守る
防ぐ
遮断する

というイメージが強いかもしれません。

しかし本質は、

事業を止めないこと。

ここで登場するのが、BCPです。

---

2. BCPとは何か？

BCP（Business Continuity Plan）とは、

重大な事故や災害が発生しても
重要業務を継続・早期復旧させるための計画。

対象は：

• 地震
• 火災
• サイバー攻撃
• システム障害
• パンデミック

つまり、

“起きる前提”で設計する計画です。

---

3. 情報セキュリティとBCPの関係

情報セキュリティは、

• 機密性（Confidentiality）
• 完全性（Integrity）
• 可用性（Availability）

の3要素（CIA）が基本でした。

BCPはこのうち、

可用性（Availability）を守る活動。

データが漏れていなくても、
システムが止まれば事業は止まります。

---

4. BCPの基本構造

BCP設計の流れ：

① 重要業務の特定
② 影響度分析（BIA）
③ 復旧目標時間（RTO）設定
④ 復旧目標時点（RPO）設定
⑤ 代替手段の準備

この流れは試験でも頻出です。

---

5. RTOとRPOの違い

ここは重要。

RTO（Recovery Time Objective）
→ どれくらいで復旧させるか

RPO（Recovery Point Objective）
→ どの時点までデータを戻せればよいか

例：

RTO：24時間以内
RPO：1時間前まで

意味を取り違えないこと。

---

6. バックアップはBCPの一部

バックアップは重要ですが、

それだけではBCPではありません。

必要なのは：

• 代替拠点
• 代替システム
• 緊急連絡体制
• 役割分担

計画と訓練があって初めて機能します。

---

7. 試験で問われるポイント

✔ BIA（事業影響度分析）の目的
✔ RTOとRPOの違い
✔ 可用性との関係
✔ 災害対策とセキュリティ対策の区別

特に、

“優先復旧業務の選定”

は頻出論点です。

---

8. サイバー攻撃とBCP

近年多いのが、

ランサムウェアによる業務停止。

データが暗号化され、

業務が完全停止。

このとき重要なのは：

• オフラインバックアップ
• 復旧手順書
• 役割分担
• 広報対応

情報セキュリティとBCPは切り離せません。

---

9. 経営視点での理解

BCPは現場だけの話ではありません。

• 復旧優先順位の決定
• 投資判断
• 許容停止時間の設定

すべて経営判断。

試験でも、

“トップマネジメントの関与”

は重要キーワードです。

---

10. よくある誤解

❌ バックアップがあれば安心
→ 復旧手順がなければ意味がない

❌ 災害対策だけがBCP
→ サイバー事故も対象

❌ 一度作れば終わり
→ 定期訓練が必要

---

11. 情報セキュリティとの統合的理解

ここまで学んできた内容を整理すると：

内部不正 → 完全性の脅威
アクセス制御 → 機密性の保護
ログ監査 → 説明責任
BCP → 可用性の確保

すべてCIAの延長線上にあります。

点ではなく、構造で理解しましょう。

---

12. 今日のアウトプット課題

考えてみてください。

• 自社の最重要業務は何か
• 何時間止まると致命的か
• バックアップはどこにあるか
• 復旧手順は文書化されているか

答えられれば、管理視点は完成に近づいています。

---

13. 今日のまとめ

✔ BCPは「止めない」設計
✔ 可用性の確保が核心
✔ RTOとRPOを区別する
✔ バックアップは一部
✔ 経営判断が不可欠

---

🏢 Phase2 完了

ここまでで、

• ISMS
• リスク対応
• 委託先管理
• 共有責任モデル
• アクセス制御
• ログ監査
• BCP

管理の土台が完成しました。

次回からは Phase3。

Day15｜マルウェアの種類と感染経路を整理する

いよいよ技術理解へ進みます。

---