ヘルスケア事業会社様

サイバー攻撃に備えたIT-BCP(ITシステムの事業継続計画)の策定支援
事例
  • ヘルスケア
  • セキュリティ

想定外の事態に迅速かつ適切な復旧を確保するための事業継続計画の実現

Customer Profile

業種
医薬品
売上規模
非開示
従業員数
非開示
名称未設定のデザイン - 1

経営/事業上の課題

  • 現状のIT-BCPは大規模自然災害が発生した場合を想定して策定されているが、日々悪質化・巧妙化するサイバー攻撃により被災した場合の考慮は十分であるとは言えない状態であった
  • IT-BCP発動時の体制/役割、システム復旧水準/復旧優先度、システム間の関連性などが十分に整理・可視化・共有されておらず、実際に被災した際に整合性をもって迅速に復旧させるための整備・具体化が必要であった
  • 海外オフィスを含むステークホルダー間で認識を合わせ、最適な計画とすることが必要であった

課題解決に向けたアビームの支援概要

  • サイバーセキュリティ領域、システム基盤/アーキテクチャ・クラウド領域を横断した深い知見・豊富な導入・運用/保守経験
  • 災害復旧計画策定・整備に関する知見・豊富な策定実績
  • 数々の実績に裏付けられた方法論に基づくプロジェクト管理・運営力、クライアントに寄り添った状況に応じた柔軟な推進力

支援の成果

  • サイバー攻撃を考慮した場合にIT-BCP計画として策定すべき観点の検討・整理
  • ITサービス継続性・適切なレジリエンス性を確保するための復旧水準に関するガイドラインの策定
  • 迅速な復旧を実現するためのベースとなる、最適な復旧プロセスや体制/役割および意思決定ルートの整備

クライアント課題の難所

サイバーレジリエンス性能を確保することの難しさ

昨今、デジタルを利活用するビジネスが高度化・多様化したサイバー攻撃に晒されているという側面は非常に大きな脅威となっている。クライアントにおいても、十分な予防策を準備するだけでなく、万一攻撃されたとしても迅速に復旧することで重要業務を継続し、損失を最小化するための準備が必要となっていた。地震などの大規模自然災害を想定して策定されたオペレーションをベースに、追加変更すべきトピックを抽出・それぞれの対応方針を明確化することが必要であったが、網羅的・効率的に対応するためのIT-BCP構築に関するノウハウが不足していた。
また、継続的にレジリエンス性能を確保するためには、RPO(目標復旧時点)/RTO(目標復旧時間)などの復旧に関する基準を統一し、横断的なガバナンスプロセスを構築して統制していくことが必要であるが、個別最適となっている各システム環境にこれを求めることへのハードルがあった。復旧のプロセス・役割を整備する上でも、各部門・海外オフィスといったステークホルダー間での考え方などの違いを理解しつつ全体整合を確保していく必要があった。

サイバーレジリエンス性能を確保するための4つの視点 サイバーレジリエンス性能を確保するための4つの視点

プロジェクトの重要成功要因

全体プロセス・システム双方からのアプローチと、実効的なプランを策定するIT-BCPに関連する横断的な知見・豊富な対応実績

サイバーリスクを考慮してIT-BCPを計画していく上では、5つのステップに沿って検討し、それぞれのステップにおいての検討事項やタスクを抽出するとともに、サンプリングした個別システムでの調査に基づき、ボトムアップから課題を特定することが重要になる。これによりクライアントの現状を踏まえてあるべき姿とのギャップを明確化し、サイバーレジリエンスを確保するための実現性のある検討を実施したことが、実効的なプランを策定する上での成功要因となった。これらを推進する上では、アビームコンサルティングが有するサイバーセキュリティ領域、システム基盤/アーキテクチャ・クラウド領域を横断した深い知見と、これらの領域に関する豊富な導入・運用/保守および災害復旧計画整備に関する実績に基づく実現力を最大限に活用した。
また、クライアントの組織・システム環境および関係する様々なステークホルダーの理解に基づき、各種課題の解消と最適な計画の実現に資する柔軟な推進力、数々の実績に裏付けられた方法論に基づくプロジェクト管理・運営を行うことで、短期間で目的を達成することが可能となった。

実効的なプラン作成に向けたアプローチ 実効的なプランの策定に向けたアプローチ

アビームの貢献

クライアント環境におけるサイバーレジリエンス確保が困難な真因を見極め、現状を踏まえてあるべき姿の実現にむけた具体的かつ一歩踏み込んだ実効性のあるプラン策定に貢献

今回のプロジェクトでは、体制/役割やプロセスといった人・組織面の課題に限らず、適切な復旧に向けてのバックアップ/リストア(復旧)の在り方といったシステム面での具体的な課題も抽出するなど、サイバーレジリエンスを継続的に確保するための網羅的な検討・整備を行い、一歩踏み込んだ実効性のあるプランを策定することに貢献した。あるべき姿と現状とのギャップの特定とそれらへの対応方針・優先度を定義する上では、アビームコンサルティングが有するノウハウを最大限に活用し、短期間でプロジェクトの目的を達成することに貢献した。

本プロジェクトの検討スコープ 本プロジェクトの検討スコープ

2024年6月25日

専門コンサルタント

  • 内田 康介

    Director

Contact

相談やお問い合わせはこちらへ