sg sg-strategy business_management risk_assessment it_security_operations
まず結論
- ビジネスインパクト分析とは、障害や災害で業務や情報システムが止まったとき、事業にどのくらい影響が出るかを評価する分析です。
- SG試験では、BCPを作る前に行う分析として問われることが多いです。
- 特に、許容可能な最大停止時間(MTD)や目標復旧時間(RTO)を決めるための考え方として整理しておくと判断しやすくなります。
ビジネスインパクト分析は、単に「システムが止まったら困る」と考えるだけではありません。
どの業務が止まると、どれくらい事業に影響するのかを整理し、優先して復旧すべき業務やシステムを決めるために行います。
SG試験では、選択肢に「BCPのテスト」「復旧手順の教育」「環境変化に応じた見直し」などが並び、ビジネスインパクト分析で実施することはどれかを切り分けさせる問題が出やすいです。
直感的な説明
ビジネスインパクト分析は、災害時の「業務の優先順位づけ」と考えると分かりやすいです。
たとえば、会社の情報システムが停止したとします。
- 受注システムが止まる
- 在庫管理システムが止まる
- 社内掲示板が止まる
- 勤怠システムが止まる
どれも困りますが、事業への影響は同じではありません。
受注システムが止まると、売上や顧客対応にすぐ影響が出るかもしれません。
一方で、社内掲示板は数時間止まっても、代替手段で対応できる場合があります。
このように、
- どの業務が重要か
- どれくらい止まると大きな損害になるか
- どの順番で復旧すべきか
を整理するのがビジネスインパクト分析です。
つまり、ビジネスインパクト分析は、復旧作業そのものではなく、復旧方針を決めるための前提分析です。
定義・仕組み
ビジネスインパクト分析は、英語では BIA(Business Impact Analysis) と呼ばれます。
主な目的は、業務やシステムが停止した場合の影響を評価し、BCPや復旧計画を作るための判断材料を整理することです。
IPAの資料でも、IT-BCPの有効性を高めるためには、計画文書だけでなく、その前提となる業務の分析や教育訓練、継続的な見直しが重要であることが示されています。参考: IPA「情報システム基盤の復旧に関する対策の調査 報告書」
ビジネスインパクト分析では、主に次のような内容を整理します。
| 観点 | 内容 |
|---|---|
| 重要業務 | 止まると事業への影響が大きい業務は何か |
| 影響度 | 売上、顧客、法令、信用などへの影響はどれくらいか |
| 許容停止時間 | どれくらいの時間までなら停止を許容できるか |
| 復旧目標 | いつまでに復旧させる必要があるか |
| 優先順位 | どの業務・システムから復旧するか |
ここで特に押さえたい用語が、MTD と RTO です。
MTD
MTD(Maximum Tolerable Downtime) は、許容可能な最大停止時間です。
簡単にいうと、これ以上止まると事業への影響が許容できない時間です。
RTO
RTO(Recovery Time Objective) は、目標復旧時間です。
簡単にいうと、障害発生後、いつまでに復旧させることを目標にするかです。
MTDは「ここまでが限界」、RTOは「この時間までに復旧させたい目標」と整理すると分かりやすいです。
SG試験では、
- MTDを決める
- RTOを設定する
- 重要業務の影響度を評価する
といった内容は、ビジネスインパクト分析に関係すると判断できます。
どんな場面で使う?
ビジネスインパクト分析は、主にBCPを作る前段階で使います。
BCPは、災害や障害が起きたときに事業を継続・復旧するための計画です。
ただし、何を優先して復旧するかが決まっていなければ、実効性のあるBCPは作れません。
そこで、ビジネスインパクト分析によって、業務停止時の影響を確認します。
使う場面の例は次のとおりです。
- BCPを策定するとき
- 重要業務を洗い出すとき
- 災害時の復旧優先順位を決めるとき
- システム停止時の影響を評価するとき
- RTOやMTDを設定するとき
選択肢では、「情報システムに許容される最大停止時間を決定する」のように書かれていたら、ビジネスインパクト分析の内容として判断しやすいです。
一方で、次のような内容は、ビジネスインパクト分析そのものではありません。
- BCPの有効性を検証するテストを実施する
- 復旧手順を関係者に教育する
- 環境変化を踏まえてBCPを見直す
これらはBCMやBCP運用の中で重要ですが、業務停止時の影響を分析する行為とは少し役割が違います。
よくある誤解・混同
誤解1:BCPを作ることそのものだと思う
ビジネスインパクト分析は、BCPそのものではありません。
BCPは、事業を継続・復旧するための計画です。
ビジネスインパクト分析は、そのBCPを作る前に、影響度や復旧優先順位を整理するための分析です。
試験では、「BCP策定の前提として行う分析」と考えると切り分けやすいです。
誤解2:BCPのテストや訓練だと思う
BCPのテストや訓練は、作った計画が本当に使えるかを確認する活動です。
一方、ビジネスインパクト分析は、計画を作る前に、業務停止の影響を評価する活動です。
選択肢では、
- テストする
- 教育する
- 訓練する
- 見直す
と書かれていたら、ビジネスインパクト分析ではなく、BCM活動やBCP運用に近いと考えます。
誤解3:リスクアセスメントと同じだと思う
ビジネスインパクト分析とリスクアセスメントは近いですが、見ている視点が違います。
| 用語 | 主な視点 |
|---|---|
| リスクアセスメント | どんなリスクがあり、発生可能性や影響はどれくらいか |
| ビジネスインパクト分析 | 業務が止まったとき、事業にどれくらい影響するか |
リスクアセスメントは、脅威・脆弱性・発生可能性なども含めてリスクを評価します。
ビジネスインパクト分析は、業務停止が事業に与える影響に注目します。
SG試験では、発生しそうなリスクを評価する話なのか、停止した場合の事業影響を評価する話なのかで切り分けると分かりやすいです。
誤解4:復旧手順を細かく決めることだと思う
復旧手順を決めることは大切ですが、ビジネスインパクト分析の中心ではありません。
ビジネスインパクト分析の中心は、
- どの業務の影響が大きいか
- どれくらい停止を許容できるか
- どこまでに復旧する必要があるか
を明らかにすることです。
その結果をもとに、復旧手順や代替手段を設計していきます。
まとめ(試験直前用)
- ビジネスインパクト分析は、業務やシステム停止時の事業への影響を評価する分析です。
- BCPを作る前に、重要業務・影響度・復旧優先順位を整理します。
- MTDは「許容できる最大停止時間」、RTOは「目標復旧時間」です。
- SG試験では、BCPのテスト・教育・見直しと混同させる選択肢に注意します。
- 「停止した場合の影響を評価する」「最大停止時間を決める」とあれば、ビジネスインパクト分析と判断しやすいです。
🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】