基本情報技術者 2010年 秋期 午前（科目A） 問42

ビジネスインパクト分析での実施事項【午前2 解説】

要点まとめ

• 結論: ビジネスインパクト分析（BIA）は業務停止が与える定量的・定性的影響を時間軸で評価し、業務復旧のための許容停止時間（RTO／MTD）を決定します。
• 根拠: BIAは各業務の重要度や損失発生の速度を明確化して優先度や必要リソース、復旧目標を導き出すプロセスだからです。
• 差がつくポイント: 金銭損失だけでなく法令遵守や社会的影響、依存関係を洗い出し優先順位付けできるかが実務理解の分かれ目です。

正解の理由

よくある誤解

• BIA = 全てのBCP作業：BIAは影響評価と復旧目標の設定が中心で、テストや教育、定期見直しは別フェーズです。
• 金銭的損失のみ評価すれば良い：法令、ブランド、顧客信頼など非金銭的影響も評価対象であり見落とすと復旧方針が偏ります。
• RTOとRPOの混同：RTOは許容停止時間（復旧目標時間）、RPOはデータ損失許容時間（バックアップの観点）で目的が異なります。

解法ステップ

1. 問題文で「ビジネスインパクト分析（BIA）」を確認し、BIAの主目的を思い出す。
2. BIAは「影響の時間的評価（どのくらいでどれだけ損失が出るか）」と「復旧目標の設定」を行うと結論付ける。
3. 各選択肢をBCPの各フェーズ（BIA、対策立案、教育・訓練、テスト、維持管理）に照らし合わせて該当するフェーズを選ぶ。
4. BIAに直接該当するのは「許容停止時間の決定」であるため、該当する選択肢を選ぶ。

選択肢別の誤答解説

• ア: BCPの有効性を検証するためのテストを実施する。
  → 誤り。テスト（演習や検証）はBCP実装後の「検証・演習フェーズ」であり、BIAの実務項目ではありません。
• イ: 許容される最大停止時間を決定する。
  → 正解。BIAの主要アウトプットは業務ごとの許容停止時間（MTD）や復旧目標（RTO）などで、優先順位付けや資源配分の基礎になります。
• ウ: 代替手順や復旧手順について関係者を集め教育する。
  → 誤り。代替手順の策定は対策立案フェーズ、関係者教育・訓練は実装・教育フェーズの作業でBIAの直接の作業ではありません。
• エ: 内外の環境の変化を踏まえBCPの内容を見直す。
  → 誤り。BCPの見直し・継続的改善は維持管理フェーズ（レビュー）に該当し、BIAの実施事項とは異なります。

補足コラム

• BIAの典型的なアウトプットには、業務の重要度ランク、MTD（Maximum Tolerable Downtime）、RTO（Recovery Time Objective）、RPO（Recovery Point Objective）、必要な代替資源や依存関係一覧が含まれます。
• 簡単な損失の試算例：停止による損失 = 単位時間当たり損失 × 停止時間。例えば1時間当たり100万円の損失で停止が3時間なら損失は $100万\times 3=300万$ 円。BIAでは時間経過に伴う損失増大の速さも評価します。
• 実務ではBIAはリスクアセスメントと連携し、復旧戦略（代替設備、外部委託、フェールオーバ等）の選定につながります。

FAQ