基本情報技術者 2019年 秋期 午前（科目A） 問74

BCP(事業継続計画)の策定、運用に関する記述 【午前2 解説】

要点まとめ

• 結論：BCPは自然災害だけでなく機器故障やマルウェアなど多様な脅威を含め、組織全体で検討・対策すべきである。
• 根拠：事業継続は被害の発生源や復旧影響を基に優先順位を策定し、単に技術的容易さで判断してはならない。
• 差がつくポイント：計画は上級管理者だけでなく現場や関連部門・外部関係者へ周知し、訓練と継続的見直しを行う点で差が付く。

正解の理由

よくある誤解

• 「IT復旧の優先度は技術的な容易さで決める」という誤解：重要なのは業務影響度と復旧に要する時間・コストであり、容易さは副次的要素です。
• 「BCPはトップ層だけが知っていれば良い」という誤解：計画は実行可能性のために現場まで周知し、役割と手順を理解させる必要があります。
• 「計画は自社内部だけで完結する」という誤解：サプライヤーや取引先、外部サービス（クラウド等）も継続性に影響するため範囲に含めるべきです。

解法ステップ

1. 問題文のキーワードを確認：「BCP」「策定、運用」「適切なもの」など。
2. 各選択肢がBCPの基本原則（リスクの網羅性、業務影響度重視、周知と訓練）に合致するか検証する。
3. 合致しないものを順に除外：技術的容易さ優先、限定的周知、自社範囲限定はBCP原則と矛盾する。
4. 残った選択肢が「多様な脅威を含める」ことを示すエであれば正解と判断する。

選択肢別の誤答解説

• ア: 「ITに依存する業務の復旧は、技術的に容易であることを基準に優先付けする。」
  →誤り。復旧の優先順位は技術的容易さではなく、業務の重要度や損失の大きさ（業務影響）を基準に決めます。技術的容易さだけで決めると重要業務が後回しになり重大な損害を招きます。
• イ: 「計画の内容は、経営戦略上の重要事項となるので、上級管理者だけに周知する。」
  →誤り。BCPは実行が重要であり、実務担当者、現場、IT部門、サプライヤー等にも周知・訓練を行う必要があります。限定的周知は実効性を損ないます。
• ウ: 「計画の内容は、自社組織が行う範囲に限定する。」
  →誤り。現代の業務はサプライチェーンや外部サービスに依存しているため、外部要因や取引先の可用性も考慮すべきです。自社範囲に限定するのは不充分です。
• エ: 「自然災害に加え、情報システムの機器故障やマルウェア感染も検討範囲に含める。」
  →正解。BCPは多様な脅威を想定し、包括的な対応計画を策定することが原則です。

補足コラム

• BCPとDRP（Disaster Recovery Plan）の関係：BCPは事業全体の継続を目的とし、DRPは主にITシステムの復旧手順に重点を置くため、DRPはBCPの一部として位置づけられることが多いです。
• 重要指標：復旧目標時間（RTO: Recovery Time Objective）や復旧時点目標（RPO: Recovery Point Objective）を設定し、業務影響に応じた目標値で対策を設計します。例：重要業務は$RTO=4$時間、$RPO=1$時間など。
• 継続的改善：BCPは「策定して終わり」ではなく、演習、レビュー、組織変更や外部環境変化に応じた更新が不可欠です。

FAQ