SAAJ近畿支部第150回定例研究会報告 (報告者:上村 智幸)

by .

会員番号 1627 上村 智幸

1.テーマ   IT-BCPの実効性を高める訓練・演習とその監査
2.講師    日本システム監査人協会近畿支部会員 松井 秀雄 氏
(近畿支部 BCP研究プロジェクトメンバー)
3.開催日時  2015年1月16日(金) 19:00~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要

2015011601当講演では、IT-BCPが有事の際に機能する「実効性」を高めるためにISO22301・ISO27031・IT-BCPガイドラインなどで求められている事項を紹介していただいた。訓練・演習に実機を使うタイプと机上で行うタイプの両方を紹介され、各々の長所・短所が明らかにされた。さらに、机上訓練の手法として一部の業界で採用されているDIG (Disaster Imagination Game)をIT-BCPへ応用した事例も紹介され、また、訓練・演習に取組んでいる組織に対する監査の要点について、システム管理基準を踏まえた説明がなされた。

(1) IT-BCPの実効性を検証・向上するための推奨事項

 ・ISOでの要求事項は、「事業継続マネジメント ISO22301」、「IT-BCMに関するISO27031」などに訓練・演習・テストが記載されている。
・各種ガイドラインにおける推奨事項は、「ITサービス継続ガイドライン・改訂版」(経済産業省 平成24年)、「地方公共団体におけるICT部門の事業継続計画(BCP)策定に関するガイドライン」(総務省 平成20年)などにテスト・訓練が記載されている。
・「ITサービス継続ガイドライン・改訂版」では、テストの種類として、机上チェック、ウォークスルー、シミュレーション、ロールプレイング、実機訓練の5種類が挙げられている。

 (2) IT-BCP訓練・演習の実施状況

・民間企業における訓練・演習の実施状況は、
「本番機の停止を伴う訓練を実施しているか?」→「実施したことはない」が83%
「ユーザー部門などを巻き込んで訓練を実施しているか?」→「実施したことはない」が63%
を、それぞれ占めている(いずれも回答企業数30社)。
・自治体における訓練・演習の実施状況は、
「関係事業者を含めた大規模な実地演習実施」→都道府県(26団体中)0%、市区町村(188団体中)3.7%
「全庁で実地演習実施」→都道府県(26団体中)0%、市区町村(188団体中)4.8%
である。
・BCP訓練・演習未実施の理由としては、「負担が多く実施できない」が78%、「やり方がわからない」が15%となっており、心配な状況であるが、「実施の必要性はない」が0%であったことは一つの救いである。

(3) 実機テストで得られる気付きと改善

・実機テストにより発生した主な事象は、手順書の不具合(メーカー提出、自社作成の両方)、作業員の経験不足によるミス、システムの不具合であり、それぞれ、手順書の見直し、作業員の経験の蓄積、システムの不具合修正につなげている。

 (4) 机上訓練で得られる気付きと改善

・有効な机上訓練実施方法としてIT版のDIGを考案した。DIG(Disaster(災害)Imagination(想像力)Game(ゲーム))とは、1997年に開発された、一般市民が独力でも企画・運営できる簡易型の防災図上訓練ノウハウである。
・DIGの基本的な流れは、「①自然条件の確認→②都市構造の確認→③人的・物的防災資源の確認→④災害に対する強さ弱さの理解」であり、それをITに応用したIT版DIGの流れは、「①外部インフラの確認→②内部インフラの確認→③適用業務単位に人的資源・バックアップ用IT資源の把握→④災害に対する備えがあるもの・ないものの理解」となる。
・IT版DIGの利点は、①外部インフラを含むシステム環境全体を可視化することで、詳しい知識がない人でも参加可能 ②手軽、簡単に実施できる ③「正解」がないため、色々な意見が出やすい などであり、注意点は、①確認できる内容に限界がある ②IT版DIG不参加者への情報共有が難しい などである。
・「実機訓練」では、①本番機の稼働に悪影響を及ぼす危険性 ②テスト機での手順が本番機で使えるとは限らない ③訓練のためのシステム停止が難しい場合あり などのリスクを伴うが、「机上訓練」はそのリスクを低減できるため、先ずは机上訓練実施を推奨している。
・訓練・演習への取り組み方として、①先ずはIT版DIG ②次にテスト機、予備機を使った訓練 ③最終的に本番機を使った訓練を提案している。

 (5) IT-BCPの実効性に関するシステム監査の視点

・IT-BCPの実効性に関してシステム監査の際に確認すべき事項としては、「組織体の長の承認」、「従業員の教育訓練」、「関係各部に周知徹底」、「見直しと更新」などが挙げられる。

 (6) IT-BCP「想定外」への備えは可能か?

・「想定」とは、物事を検討する範囲として仮に設けた制約事項である。
・「想定外」は起こり得ないのではなく、確率は低いながら起こる可能性がある。
・訓練の段階的高度化として、ステップ1では「手順書の内容に従って、作業が正しく完了できることを確認」し、ステップ2では「予め設定された手順の途中で条件が変更されても、正しく作業を完了できるかどうかを確認」する。これは、前記(1)テストの種類で述べた5種類のテストの4段階目「ロールプレイング」で訓練途中にテストシナリオに変更を加えて参加者に臨機応変の対応力を養う事が述べられているのに通じる話である。

6.所感

私はシステム監査業務に携わっており、コンティンジェンシープランについては、策定状況ならびに訓練実施状況を点検していますが、計画にはどこまで記載されていればよいのか、演習・訓練はどの程度やれば良しとするのか、大きな声では言えませんが、点検する側も懸念を抱きながら実施している部分がありました。また、訓練については実機を使用せず机上のみで済ませている企業もあり、その有効性には甚だ疑問を感じながら良しとしている部分もありました。しかし、本番環境の使用の難しさや机上訓練の利便性に改めて気付き、段階的に実施していくことの重要性を痛感しました。
講師とは、以前に仕事をご一緒させていただいたことがあって、その誠実さが非常に印象に残っていますが、今回の講演も興味深い話の進め方で、失敗談や時折ジョークを交えた本音トークなどもあって非常にわかり易く、参考となるものでした。

以上