ＢＣＰ策定ガイドラインの概要

METI 経済産業省

２ ０ ０ ５ 年６ 月

経済産業省 商務情報政策局

情報セキュ リ ティ 政策室

METI 経済産業省

本ガイ ド ラ イ ンの位置付け

„ ^{IT事故を主に想定 し た事業継続計画（ BCP）}

„ BCP の構築を検討する企業にと っ て、 考え方の理解を促

すガイ ド ラ イ ン と いう 位置付け

„ ^{基本的な考え方から} 具体的な計画の構築手順を説明

„ ^{基本的考え方、 総論、 策定にあたっ ての検討項目、 個別}

計画の４ つの章と 、 参考資料から 構成

METI 経済産業省

事業継続計画策定ガイ ド ラ イ ンの構成

第Ⅰ章 基本的考え方

1.1. BC P (Business C ontinuity P lan)の必要性 1.2. BC P が求められる背景

1.3. BC P の特性

1.4. 世界と日本の動向

第Ⅱ章 総論（フレームワーク） 2.1. BC P 策定にあたっての考慮事項 2.2. 組織体制について

2.3. ビジネスインパクト分析からBC P 策定までの流れ 2.4. BC P の導入と教育・訓練

2.5. BC P の維持・管理

第Ⅲ章 BC P 策定にあたっての検討項目 3.1. 検討項目の全体像とポイント

3.2. BC P の実施体制

3.3. BC P 発動フェーズにおける対応のポイント 3.4. 業務再開フェーズにおける対応のポイント 3.5. 業務回復フェーズにおける対応のポイント 3.6. 全面復旧フェーズにおける対応のポイント 3.7. リスクコミュニケーションの重要性

第Ⅳ章 個別計画（ケーススタディ） 4.1. 大規模なシステム障害への対応 4.2. セキュリティインシデントへの対応 4.3. 情報漏えい、データ改ざんへの対応 参考資料集

参考１ 各フェーズにおける実施項目

参考２ 対策本部室に備えるべき設備・備品類 チェックリスト

参考３ フェーズ毎の対策本部の役割 参考４ フェーズ毎の各チームの役割 参考５ システム関連BC P一覧表の項目 参考６ 代替手段の検討項目事例

参考７ 総括の項目（システム関連） 参考８ ベストプラクティス：BC P構築事例

METI 経済産業省

1.1. BCP (Business Continuity Plan)の必要性

BCPの一般的な流れ

1.2. BCPが求められる背景

1.3. BCPの特性

1.4. 世界と日本の動向

METI 経済産業省

1.1. BC P の必要性

大震災の発生

火災・ 爆発

大規模なシステム障害

基幹となる 事業の停止

取引先や顧客 の喪失

事業からの撤退

事業の継続を死守するための行動計画が不可欠！

事業の継続を死守するための行動計画が不可欠！

¾ ^{地震、 火災・ 爆発、} 大規模なシステム障害などが相次いでおり 、 その結果、 基幹と なる事業・ 業

務の停止に追い込まれるケースが見ら れる。

¾ ^{近年発生し} ている基幹事業の停止は、 取引先や顧客の事業停止へと 影響が連鎖し ている。

¾ ^{企業経営者は、} 企業存続の生命線である「 事業継続」 を死守するための行動計画であるＢ Ｃ Ｐ

の策定を行なわなければなら ない。 _BCMは「 企業経営のあり 方」 そのも のである。

METI 経済産業省

BCMの運営

¾^{会社としてのＢＣＰ方針の策定}

¾^{組織体制の構築}

¾^{目標復旧時間を設定しその事業体に応じたＢＣＰ作成}

効果検証・ 継続的改善 ＢＣＰの策定

¾^{事業継続にあたってのボトルネック(事業継続上、重要} な箇所・事象)を特定。

¾^{事業継続上、ボトルネック}を守るための対策検討・実施。 ビジネスインパクト分析

ＢＣＰはあくまで計画であり、それをいかに企業内に浸透、戦略的 に活用するかという「マネジメントの視点」（＝BC M）が重要。

維持・管理

【ＢＣＭの一般的な流れ】

ＢＣＰ(Business Continuity Plan) ＢＣＰ(Business Continuity Plan)

ＢＣＭ（Business Continuity Management)

ＢＣＭ（Business Continuity Management) ^{ＢＣＰの策定、運用、見直しまでのマネジメントシステム全体} 企業存続の生命線である「事業継続」を死守するための 行動計画

BC P の一般的な流れ

METI 経済産業省

1.2. BC P の求めら れる背景

¾ ^{企業の事業停止リ スク は近年急激に増大し ている。}

事業活動の変化

生産拠点・物流拠点・取引先等の集約化が、障害発生時の代替手段の 確保を困難にし、結果事業の停止に追い込まれる可能性を高めている。 また、サプライチェーンの発達もあり、その中のボトルネックを解消する 必要がある。

情報システムへの依存増大

予測困難なリ スク の増大

同時多発テロ、ＳＡＲＳの蔓延のような今まで想定していないリスクが 発生している。

地震等自然災害リ スク

Ｂ Ｃ Ｐ の取組みに関する情報開示

METI 経済産業省

1.3. BC P の特性

経営戦略と し ての位置付け

BCMをステークホールダーである株主や取引先へのアピールに活用。 BCMが企業間取引に必要になる時代が到来することが予想される。

経営者と し てのト ッ プマネジメ ント

BCMは事業継続・^{復旧の優先付けを行うなど、重要な経営判断。} また企業として実行性を確保することが求められる。

結果事象による対応方針の整理

BCMとリスクファイナンシング BCM上リスクファイナンス機能も極めて重要 例）保険、災害時発動型融資予約契約、

保険デリバティブ、リスクの証券化 など

METI 経済産業省

1.4. 世界と 日本の動向

¾ ^{英国・ 米国を中心に、 Ｂ Ｃ Ｐ} の世界標準化策定の動きが始まっ ている。

¾ ^{日本においても 、} 内閣府中央防災会議の専門調査会にて業務継続について議論さ れている。

海 外 の 動 向 日 本 の 動 向

英国

米国

世界標準化の 提案を準備

シンガポール

内閣府

・中央防災会議「民間と市場の力を活かした防災力向上に関する 専門調査会」で業務継続について議論

日本銀行

METI 経済産業省

2.1. BCP策定にあたっての考慮事項

2.2. 組織体制について

2.3.ビジネスインパクト分析からBCP策定までの流れ

2.4. BCPの導入と教育・ ^訓練

2.5. BCPの維持・ ^管理

METI 経済産業省

2.1. BC P 策定にあたっ ての考慮事項

BCP策定にあたっての考慮すべき３つのポイント

¾ ^{ビジネスイ ンパク ト 分析から} BCP策定の対象事業・ 業務は原則全てであるが、

¾ ^{リ スク 分析は網羅的に行う 必要があるが、 こ れに}

¾ BCP ^{発動時においては、}

^{れる場合も ある}

■ 対象範囲

対象施設に常勤の正社員、契約社員、派遣社員ならびに協力会社社員等。 対象となる人員

対象施設が被災した場合に、事業・業務の継続が困難となる可能性のある 本社・他の拠点ならびにコンピュータセンターとする。

対象施設

全ての事業・業務、基幹事業・業務など。 対象事業・業務

記述の例 対象範囲

■ BCPと他規程との関係

・平時のリスク管理に関する規程類

情報セキュリティポリシー、プライバシーポリシー、コンプライアンス規程など

・有事のリスク管理に関する規程類 危機管理規程、緊急事態管理規程など

■ 遵守すべき法令・関連法規（行政の目的との整合性確認、法令違反の防止のため） 災害対策基本法、個人情報保護法、各種事業法など

METI 経済産業省

2.2. 組織体制について

BCP責任者（ BCマネージャー） ^の役割

○ BCPプロジェクトの調整、組織管理 ^{○ 教育・ テスト 計画の策定と 指導}

○ 経営陣から の支援の取り 付け ○ 定期的な _{BCPの見直し}

○ プロジェ ク ト 計画の策定と 予算管理

経営陣

BCP責任者責任者

（

（BCマネージャBCマネージャー）ー）

全社的横断組織 全社的横断組織

（タスクフォース）

（タスクフォース） 最 終 的な内容の承認、

辞令の発令

BCPの取りまとめ

人事・ 給与

総務

総務

（施設）

財務・調達

プロジェクトの推進

社内関係部門 社内関係部門 情報提供等への協力、

関連文書整備など

広報 法務

営業・マー ケティング

製造

経営

情報 システム

【BCPプロジェクトの組織体制の例】

METI 経済産業省

2.3. ビジネスイ ンパク ト 分析から BC P 策定までの流れ

ビジネスイ ンパク ト 分析の目的

○ 事業継続、 復旧の優先順位付け

○ ボト ルネッ ク の特定、 事業継続のための対策立案

○ 目標復旧時間（ _{RTO)の設定}

【 ビジネスイ ンパク ト 分析から BCP策定までの流れ】

2. リ スク 分析

2. リ スク 分析

3. 発動基準の明確化

3. 3. 発動基準の明確化 発動基準の明確化

4. BCP策定 ※ 詳細は、 第Ⅲ章にて説明

4. 4. BCP BCP _{策定 策定 ※ 詳細は、 第Ⅲ章にて説明}

1. ビジネスイ ンパク ト 分析

1. 1. ビジネスイ ビジネスイ ンパク ンパク ト ト 分析 分析

１ と 2は、

並行し て行う

METI 経済産業省

2.4. BC P の導入と 教育・ 訓練

¾ BC P を有効に機能さ せるため、 組織のメ ンバーにBC P を周知徹底し 、 不測の事態において確

実に実行できるよう にし ておく 必要がある。

¾ ^{BC P の教育・ テスト は、} BC P についての知識と 理解を深めるために重要なも のであり 、 計画的

な実施が必要。

2. 教育・訓練、テストの準備と実施手順書の作成 2. 2. _教育・教育・訓練、_訓練、テ_テス_スト_トの_の準備と_準備と実施手順書の_{実施手順書の}作成_作成

実施手順書 実施手順書 3. _{教育・訓練、テストの実施}

3. 3. 教育・ _教育・ 訓練、 _訓練、 テ _テ ス _ス ト _ト の _の 実施 _実施

4. 結果の記録、評価

4. 4. _{結果の 結果の 記録、 記録、 評価 評価}

5. 経営陣への結果報告

5. 5. _{経営陣へ 経営陣へ の の 結果報告 結果報告}

１ １ 教育・ 教育・ 訓練、 訓練、 テ テ ス ス ト ト の の 計画 計画

教育・訓練計画 書、テスト計画書 教育・訓練計画 書、テスト計画書

6. 改善・見直し

6.

6. 改善・ _改善・ 見直し _見直し

BCP

対象者（参加の必 要有無）、シナリオ、 確認項目など

METI 経済産業省

2.5. BC P の維持・ 管理

BCPの維持・ ^{管理のポイ ント}

¾ 不測事態において機能するよう 、 日頃から BCPの周知徹底を行っておくと共に、

「正確性」

を維持するための見直し や監査が重要。

¾ ^{自宅保管も 含めた配付先管理も 大切な維持・ 管理活動の一つ。}

＜BCP見直しの契機の例＞

○ テスト結果による_{BCP自体の見直し} ○ システム構成の大幅な変更による見直し

○ 定期的な見直し ○ 新たな脅威の発生（リスク環境の変化）による見直し

○ BCPの前提条件の変更による見直し ^○ 監査の指摘事項による見直し

○ 人事異動や組織の大幅な変更による見直し ○ 準拠すべき法令等の改正による見直し

＜BCP見直しの契機の例＞

○ テスト結果による_{BCP自体の見直し} ○ システム構成の大幅な変更による見直し

○ 定期的な見直し ○ 新たな脅威の発生（リスク環境の変化）による見直し

○ BCPの前提条件の変更による見直し ^○ 監査の指摘事項による見直し

○ 人事異動や組織の大幅な変更による見直し ○ 準拠すべき法令等の改正による見直し

＜_{BCPの適切な維持・}管理のための確認事項の例＞

○ BCPの最新版が定められた場所（^{キーパーソンの自宅保管も含む）に保管されているか}

○ BCPテスト結果に沿って、見直しが行われているか

○ 緊急連絡網を含む各種リストが最新版に更新されているか

○ BCPにおいて想定されている脅威等が評価され、その結果で見直しがされているか

○ 経営陣の承認が得られているか

＜_{BCPの適切な維持・}管理のための確認事項の例＞

○ BCPの最新版が定められた場所（^{キーパーソンの自宅保管も含む）に保管されているか}

○ BCPテスト結果に沿って、見直しが行われているか

○ 緊急連絡網を含む各種リストが最新版に更新されているか

○ BCPにおいて想定されている脅威等が評価され、その結果で見直しがされているか

○ 経営陣の承認が得られているか

METI 経済産業省

3.1. 検討項目の全体像とポイント

3.2. BCPの実施体制

3.3. BCP発動フェーズにおける対応のポイント

3.4. 業務再開フェーズにおける対応のポイント

3.5. 業務回復フェーズにおける対応のポイント

3.6. 全面復旧フェーズにおける対応のポイント

3.7. リスクコミュニケーションの重要性

METI 経済産業省

3.1. 検討項目の全体像と ポイ ント

災害・事故の発生 ＢＣＰ発動 ^{代替手段に} よる業務継続 の拡大

平常運用への 切替開始

（復旧範囲の拡大）

全面復旧

ステップ１

ＢＣＰ発動フェーズＢＣＰ発動フェーズ

ステップ２

業務再開フェーズ業務再開フェーズ 業務回復フェーズ業務回復フェーズ

ステップ４

全面復旧フェーズ全面復旧フェーズ

事故・災害 発生

企業の活動レベル

時間軸 ステップ３

¾ ^{Ｂ Ｃ Ｐ の発動から} 全面回復に至るまでを、 ①Ｂ Ｃ Ｐ 発動時、 ②業務再開フ ェ ーズ、 ③業務回復

フ ェ ーズ、 ④全面復旧フ ェ ーズ、 の大きく ４ つのフ ェ ーズに分けて考える。

¾ ^{各フ ェ ーズにおいては、} 迅速かつ正確な情報収集、 事実認識と 状況判断、 それに基づいた的

確な意思決定、 利害関係者への情報開示が等が検討のポイント と なる。

METI 経済産業省

3.2. BC P の実施体制

社外広報・ＩＲ、社内広報 広報関連本部

広報対応チーム

安否確認、要員配置、労務 人事関連本部

人事対策チーム

システム復旧・保全、業務継続（システム） システム関連本部

システム対策チーム

顧客対応、業務継続（対顧客） 顧客営業本部／業務サポート本部

業務対策チーム

施設の復旧・保全、物資調達、物流 総務関連本部

後方支援チーム

機能 統括部門

チーム

◆ 対策本部の概要（例）

・対策本部は、非常時における最高意思決定機関としてＢＣＰの指揮を行う。具体的には、ＢＣＰの各 フェーズにおける意思決定、ＢＣＰに関する行動の指示、ＢＣＰの実行状況の監督等の役割を担う。

◆ 各対策チームの機能

・各対策チームは、収拾した情報や把握した状況について対策本部への報告を行い本郡の意思決定を支援 するとともに、各チームが連携のうえ決定事項の遂行や現場の支援を行う。

¾ ^{各フ ェ ーズにおいて、} 経営層の的確な意思決定が求めら れる。 緊急時の対策本部や対策

チームはその意思決定をサポート すると と も に、 決定事項を遂行する役割を担う 。

対策本部対策本部 対策本部長（ＣＥＯ） 対策本部長（ＣＥＯ）

業務対策チーム

・顧客営業本部

・業務サポート本部

システム対策チーム

・システム関連本部

人事対策チーム

・人事関連本部 後方支援チーム

・総務関連本部

広報対策チーム

・広報関連本部

対策本部事務局

・経営企画部門

METI 経済産業省

3.3. BC P 発動フ ェ ーズにおける対応のポイ ント

ステッ プ１ ： Ｂ Ｃ Ｐ 発動フ ェ ーズ

¾ ^{災害や事故の発生（ 或いは発生の可能性） を検知し てから 、 初期対応を実施し 、 BCP発動に}

至るまでのフ ェ ーズ。

¾ ^{発生事象の確認、} 対策本部の速やかな立ち上げ、 確実な情報収集、 Ｂ Ｃ Ｐ 基本方針の決定

がポイ ント 。

（６） 基本方針の決定

（７） 対応の優先順位の決定

（８） 復旧目標の決定

（９） 初期対応の実施

（１） 発生事象の確認及び情報伝達

（２） 安全確保、安否確認

（３） 要員の配置

（４） 被害状況の確認

（５） 業務影響の確認

＜検討する項目＞

METI 経済産業省

3.4. 業務再開フ ェ ーズにおける対応のポイ ント

ステッ プ２ ： 業務再開フ ェ ーズ

¾ BC P を発 動 してか ら、 バ ッ クアッ プサ イト ・ 手 作 業 などの 代 替 手 段 により 業 務 を再 開 し、

軌道に乗せるまでフ ェ ーズ。

¾ 代替手段への確実な切り 替え、 復旧作業の推進、 要員などの経営資源のシフ ト 、 BC P 遂行

状況の確認、 BC P 基本方針の見直し がポイント 。

¾ ^{最も 緊急度の高い業務（ 基幹業務） の再開。}

（４） 業務再開とモニタニング

（５） 施設やシステムなどの復旧作業の実施

（６） 運用上の留意事項

（１） 人的資源の確保

（２） 代替オフィスの確保

（３） 物的資源及び物流ルートの確保

＜検討する項目＞

METI 経済産業省

3.5. 業務回復フ ェ ーズにおける対応のポイ ント

ステッ プ３ ： Ｂ Ｃ Ｐ 発動フ ェ ーズ

¾ ^最も 緊急度の高い業務や機能が再開さ れた後、 さ ら に業務の範囲を拡大するフ ェ ーズ。

¾ 代 替 設 備 や 代 替 手 段 を継 続 する中 での 業 務 範 囲 の 拡 大 と なるため、 現 場 の 混 乱 に配 慮

し た慎重な判断がポイ ント 。

（６） 更なる業務縮退の検討、実施

（７） 継続業務の拡大の検討、実施

（８） 復旧作業の実施、復旧目途の確認

（９） 全面復旧のタイミングの決定、資源 再配置の計画

（１０） 復旧後の制限の確認

（１） 業務拡大範囲の見極め

（２） 確実な情報収集

（３） 業務継続の影響確認

（４） 復旧状況の確認

（５） 追加資源投入の検討、実施

＜検討する項目＞

METI 経済産業省

3.6. 全面復旧フ ェ ーズにおける対応のポイ ント

ステッ プ４ ： Ｂ Ｃ Ｐ 発動フ ェ ーズ

¾ ^{代替設備・ 手段から 平常運用へ切り 替えるフ ェ ーズ。}

¾ 全 面 復 旧 の 判 断 や 手 続 きの ミ スが 新 たな業 務 中 断 を引 き起 こすリ スクをは らんでおり 、

慎重な対応が要求さ れる。

（１） 代替設備・手段からの切替の判断

（２） 復旧手順の確認・全面復旧の実施

（３） 資源の再配置

（４） 業務制限への対応

＜検討する項目＞

（５） 総括

−被害状況のまとめ

−利害関係者への影響のまとめ

−再発防止策の検討

−_{BCPの見直し}

−サービスレベルアグリーメントの見直し

−利害関係者への事後処理の実施

−業績への影響の見極め

−経営計画の見直し

METI 経済産業省

3.7. リ スク コ ミ ュ ニケーショ ンの重要性

全面復旧を安全に果たすための情報共有と、復旧後の業務影響を取りまとめて 第三者に示すという情報収集・情報発信

対外的に発表復旧の時期、全面復旧に伴う業務遂行の留意点、今後の企業活 動への影響度などについての情報共有

④全面復旧フェーズ

業務の再開が順調に推移しているか、代替設備・システムでの業務遂行の留意 点、全面復旧の目処、などについての情報共有

③業務回復フェーズ

二次災害が発生していないか、発動したBC P が支障なく遂行できているか、顧 客への影響が拡大していないか、回復見込みに遅れが生じていないかなどにつ いての情報共有

②業務再開フェーズ

災害や事故について、発生の事実、影響範囲、回復の見込みなどについての情 報共有

①BC P発動フェーズ

＜各フェーズにおけるリスクコミュニケーションの主な内容＞

¾ ^{リ スク コ ミ ュ ニケーショ ンと は、 災害や事故が発生し た（ 発生の可能性を検知し た） 場合などに}

おいて、 情報の収集、 分析、 連絡、 発表などを通じ 、 リ スク に対する認識の程度を揃え、 情報

の共有を行う ための活動のこ と である。

¾ ^{リ スク コ ミ ュ ニケーショ ンの巧拙がＢ Ｃ Ｐ} 遂行の成否を分ける場合も あるので、 訓練を通し て

周知する必要がある。

METI 経済産業省

4.1. 大規模なシステム障害への対応①

大規模なシステム障害への対応②

4.2. セキュリティインシデントへの対応①

セキュ リ ティ イ ンシデント への対応②

4.3. 情報漏えい、データ改ざんへの対応①

情報漏えい、 データ 改ざんへの対応②

METI 経済産業省

4.1. 大規模なシステム障害への対応①

広域災害への対応で重要なポイント

¾ ^{安否確認、状況確認、指示伝達などの内部コミュニケーション、更に取引先、行政などの外部とのコミュニ} ケーションのための通信手段の確保

¾ ^{システム、データなどのバック・アップのみならず、}物理的に作業を再開するワーク・エリアの確保

¾ 通常業務に加え生活用品や食糧などの物資を入手する物流、更に電源装置・燃料の確保

本社 支社・ 事業所

重要機器

ストレージ 端末 サーバ

データセンタ

本社 支 社・ 事 業所

重要機器

端末 ストレージ

サ ーバ データセンタ

オフィス機器 ファシリティ

ファシリティ

オフィス機器

IT 部 門

企業全 体

パートナー連携

社会システムの一員 として

→

緊急対応

地域との連携

被災者等安否確認 工場対応

企業A

企 業 X

企 業 Y ^{企 業 Z}

システム間の連係・連鎖が広がり、

高信頼の広域相互依存対応が必要になっている

→

→

本社 支社・ 事業所

重要機器

端末 本社

本社 支社・ 事業所

支社・ 事業所

重要機器

端末 重要機器

ストレージ 端末 サーバ

データセンタ

ストレージ サーバ

ストレージ サーバ

データセンタ

本社 本社 支 社・

事 業所 支 社・ 事 業所

重要機器

端末 重要機器

端末 ストレージ

サ ーバ データセンタ

オフィス機器 ファシリティ

ファシリティ

オフィス機器

IT 部 門

企業全 体

パートナー連携

社会システムの一員 として

→

緊急対応

地域との連携

被災者等安否確認 工場対応

企業A

企 業 X

企 業 Y ^{企 業 Z}

システム間の連係・連鎖が広がり、

高信頼の広域相互依存対応が必要になっている

→

→

広域災害への対応

広域災害への対応

„

^{対内外通信手段の確保}

„

^{通信手段の併用}

„

^{ワーク ・ エリ アの確保}

„

^{宿泊施設の確保}

„

^{生活用品・ 食糧の確保}

„

^{サプラ イ ・ チェ ーンの維持}

„

^{電源の確保（ UPS）}

„

^{電源用燃料の確保}

【経済活動におけるシステム間の広域相互依存】

METI 経済産業省

4.1. 大規模なシステム障害への対応②

オペレーショ ン上の課題

¾ ^{オペレーションに必要な、要員・交通（通勤）手段の確保}

¾ 事業に必要な資源の確保に関する、取引先や行政といった外部関係機関との連携・連絡

¾ 障害状況に係る途中経過・復旧見込みに関する自発的な情報開示（リスク・コミュニケーション）

¾ 業務復旧時における情報セキュリティの維持、及びオペレーション上の障害回避

技術による耐障害性の確保

¾ ^{同一ビル、付近地に加え、遠隔地への、情報・業務アプリケーションの分散配置}

¾ ^{取引企業や交通機関も}含めて代替システムや代替ネットワークを使用した訓練の実施

ストレージ サーバ

メイン サブ データセンタ(正)

データセンタ(副)

・データリモートコピー

SAN間接続

・重要データバ ック アップ

本店 データをファイル サーバで集 中

保管し一 括バ ックアップ 重要機器

端末 _支店・

営業所 通信回線 ストレージ

サーバ

メイン サブ データセンタ(正)

データセンタ(副)

・データリモートコピー

SAN間接続

・重要データバ ック アップ

本店 データをファイル サーバで集 中

保管し一 括バ ックアップ 重要機器

端末 _支店・

営業所 通信回線

【システムの冗長化による耐障害性向上】

IT運用（ ^{技術適用）}

^のガイド

^ラ

^イ

^ン

*

„ ^{役割と責任体制の明確化}

„ ^{システム、オペレーションの文書化と内容維持}

„ ^{ＩＴ関連資産の詳細リスト作成と内容維持}

„ ^{音声・データ通信に係るネットワーク情報維持}

„ ^{データ・フローとビジネス・プロセスの可視化}

„ ^{ＩＴリスク評価、リスク・マネジメント体制の導入}

*Federal Financial Institution Examination Committee, IT Examination Handbookより

METI 経済産業省

セキュ リ ティ イ ンシデント への対応は、 24時間365日続く 、 見えない敵と の闘い

4.2. セキュ リ ティ イ ンシデント への対応①

セキュ リ ティ インシデント と は

¾ ^{コンピュータセキュリティ}に関係する人為的事象であり、意図的及び偶発的なもの。またその疑いがある場 合を含む。例えば、不正アクセス、ウイルスの流布、リソースの不正使用、サービスの妨害行為、データの 改ざん、意図しない情報の開示や、更にそれらに至るための行為（事象）などがある。

ソ フ ト ウエアの脆弱性と は

¾ ^{ソフトウエア製品、通信プロトコル、インターネットサイトなどにおいてコンピュータ不正アクセスやコンピュー} タウィルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の欠陥のこと。

ソ フ ト ウエアの脆弱性

の悪用

発生件数の増加

発生件数の増加

„

^{不正アク セス}

„

^{コ ンピュ ータ ウイルス感染}

„

^Web改ざん

„

^{業務の停止・ 低下}

„

^{個人情報の漏洩}

„

^{情報の改ざん}

セキュリティインシデントが多発

セキュ リ ティ インシデント が多発

セキュリティインシデント

企業にと っ て

顧客・ 協力会社

や社会から

信頼を失う こ と に

つながり 、 経営に

重大な影響

METI 経済産業省

4.2. セキュ リ ティ イ ンシデント への対応②

（ １ ） イ ンシデント 対応体制の整備と 外部機関と の連携活動

①社内体制整備 ②外部機関との連携活動 (a) 脆弱性対策対応 (b)インシデント対応

（ ２ ） 状況把握・ インシデント 特定と 対応

①状況把握 ②インシデント特定と対応発生時 ③リスクコミュニケーション

（ ３ ） 平常時の運用及び教育

①運用 ②教育

インターネット

HP閲覧/ メール送受信

外出先／自宅など

メディア

オフィス 外部サービス

媒体への書き込み

H P

閲 覧

/_メ ー

ル 送

受 信

ＰＣの持ち込み

メディア 経由

一次感染 二次感染 一次感染 二次感染

組織に存在する脆弱性 組織に存在する脆弱性

●ウィルス対策ソフトの設定不備

●ＯＳ／ブラウザのセキュリティホール

●不許可（対策不備）のＰＣ接続

●ファイル（メディア）の持ち込み

●感染拡大防止策の不備

●組織内のセキュリティ意識の低さ

●感染後の除染手順の不備

ウィルス感染経路は多岐にわたるため、トータルな対策が必要

・脆弱性情報内容を纏め、各事業所、グループ会社へメールや webで提供

・セキュリティ関連ニュースから情報収集し発信

・長期連休前の注意喚起を発信

・C E R T / C C の情報を翻訳し、社内へ発信

・e- ラーニング等によるセキュリティ教育(定期的)実施

・定期的にサマリー情報を各部門、グループ会社へメール発信

具体的運用内容：自社に適用できるものを選択 (a)インシデント発生予防（メール、web、パターンファイル更新）

・ウイルスチェックサーバによるウイルス侵入防止

・従業員のWeb不正アクセス抑止

・セキュリティパッチの自動配布

・利用者用P C のセキュリティチェック

・情報漏えい防止施策（メールフィルタシステム他）

・セキュリティポリシーに基づく監査

(b)インシデント関連情報発信(従業員への啓発、注意喚起 )

ウイルス感染ルートと脆弱性

METI 経済産業省

4.3. 情報漏えい、 データ 改ざんへの対応①

¾ 情報漏えい事故等への対応段階において講じ る措置を検討する際には、 各府省庁から 出さ

れている

BCP対策本部 BCPBCP

対策本部 _対策本部

事務局

事務局

総務チーム

総務チーム

総務チーム 広報・ 広報・

営業チーム 営業チーム

情報システム対応チーム

情報システム対応チーム

情報システム対応チーム

通報や連絡

顧客対応（問合せ窓口設置） 情報開示（メディア対応、_{Web対応など）}

迅速な報告・連絡体制の整備 ^{対策本部のサポート、}

全体調整

情報システム側対応体制 全社体制

対策本部の指示に従い、 情報システム側対応体制を統括する 法務チーム

法務チーム

法務チーム

訴訟問題等（民事／刑事） への対応、顧問弁護士との窓口

システム運用監視チーム

システム運用監視チーム

システム運用監視チーム 原因調査チーム 原因調査チーム

情報漏洩の原因調査、証跡の保存 社外専門調査機関の利用（必要に応じて） 継続的な運用状況の監視

現地対策本部

現地対策本部

現地対策本部

事故発生場所が本社とは別の地域にあ る場合、発生場所に設置を検討する

方針決定

METI 経済産業省

4.3. 情報漏えい、 データ 改ざんへの対応②

リ スク コ ミ ュ ニケーショ ンのポイ ント

¾ ^{個人情報保護法では、} 個人情報の漏えい等の事案が発生し た場合には、 所管官庁への情

報提供、 二次被害の防止、 類似事案の発生回避等の観点から 、

が要請さ れている。

事故発覚

事実関係 の公表

３ヶ月前後 -３∼５日

初期対応（レスポンス）

０日 １ヶ月前後

‡^{事故対応の反省}

‡^{再発防止策の実行}

‡^{再発防止策の策定}

‡^一斉点検

‡^社内教育

‡^{リカバリー・プランの} 策定

‡^{対策本部設置}

‡^原因究明

社内対応

‡HP^{に調査結果・再発 防止策} の公表

‡HP^{に継続的に情報を} 開示

‡^{問合せ対応}

‡^{問い合わせ窓口設置}

‡HP^{に事実関係を公表}

‡^{お詫び広告}

取引先・ 顧客対応

‡^{調査結果・再発防止策の公表}

‡^{報道モニタ(論調分析)}

‡^{取材・会見対応準備}

‡^{プレス・リリース原稿・} Q&Aの作成

マスコミ 対応

‡^{決算発表、株主総} 会､アナリスト説明会 の準備

‡^{調査結果、再発防止策の報告}

‡^{状況の把握・報告}

‡^{捜査への協力}

‡^{必要書類・資料の準備}

当局対応

再発防止に向けた対 策（リカバリー）