コンティンジェンシープランは、事故や災害などの緊急事態に備えて、あらかじめ対応手順を決めておく計画です。SG試験で問われやすいBCPや復旧計画との違いを整理します。

sg sg-security-management incident_management risk_assessment it_security_operations

まず結論

コンティンジェンシープランとは、事故・障害・災害などが起きたときに、誰が何をするかを事前に決めておく緊急時対応計画です。

SG試験では、単に「計画」という言葉を覚えるよりも、発生前に準備しておく計画なのか、発生後にその場で考える対応なのかを判断できることが大切です。

選択肢では、次のような表現に注意します。

  • 緊急事態が発生した後に、関係者で一から対応を検討する
  • 障害が起きてから復旧手順を作成する
  • 平常時の業務改善計画として作る

これらは、コンティンジェンシープランの説明としては不十分です。

コンティンジェンシープランは、万一に備えて、事前に決めておく行動計画と押さえると判断しやすくなります。

直感的な説明

日常生活で考えると、避難訓練に近い考え方です。

火災が起きてから、

  • どの出口から逃げるか
  • 誰が人数確認をするか
  • どこに集合するか

を考えていては、対応が遅れてしまいます。

そこで、事前に避難経路や役割を決めておきます。

情報システムでも同じです。

サーバ障害、ランサムウェア感染、停電、災害、通信障害などが起きたときに、現場が迷わないように、

  • 連絡先
  • 初動対応
  • 判断権限
  • 代替手段
  • 復旧までの流れ

を決めておきます。

これがコンティンジェンシープランです。

ポイントは、緊急時に冷静な判断ができるように、平常時に準備しておくことです。

定義・仕組み

コンティンジェンシープランは、想定される緊急事態に対して、対応手順や役割をまとめた計画です。

情報セキュリティの文脈では、事故や災害によって情報システムや業務が止まったときに、被害を広げず、必要な業務を継続・復旧するために使います。

IPAは、情報セキュリティマネジメント試験のシラバスを、学習の目標と具体的な内容を整理した資料として公開しています。情報セキュリティ継続の範囲では、緊急時対応計画、復旧計画、災害復旧、バックアップなどの考え方が関連します。詳しくは、IPAの試験要綱・シラバスを確認できます。

コンティンジェンシープランで決めておく内容には、次のようなものがあります。

  • 緊急事態の種類
  • 初動対応の手順
  • 担当者と責任者
  • 連絡先と報告経路
  • 代替業務の方法
  • 復旧の優先順位
  • 外部委託先や関係機関への連絡方法

SG試験では、細かい様式名よりも、緊急時に実行するための具体的な手順があるかを見ます。

たとえば、「サーバが停止した場合は、利用部門へ連絡し、代替システムに切り替え、復旧担当者が原因調査を行う」といった流れです。

単なる方針やスローガンではなく、行動に移せる計画である点が重要です。

どんな場面で使う?

コンティンジェンシープランは、次のような場面で使います。

  • 基幹システムが停止したとき
  • サイバー攻撃を受けたとき
  • ランサムウェア感染が発生したとき
  • 災害でオフィスやデータセンターが使えなくなったとき
  • 委託先のサービスが停止したとき
  • 重要データが利用できなくなったとき

たとえば、ランサムウェア感染が発生した場合、コンティンジェンシープランがあると、

  • 感染端末をネットワークから切り離す
  • 被害範囲を確認する
  • 管理者とCSIRTに連絡する
  • バックアップから復旧できるか確認する
  • 利用者へ注意喚起する

といった初動を迷わず進めやすくなります。

一方で、コンティンジェンシープランは、すべての問題を完全に防ぐ計画ではありません。

事故を起こさないための対策ではなく、起きたときに被害を小さくするための計画です。

SG試験では、次の切り分けが大切です。

用語 見るポイント
予防策 事故が起きにくくする
コンティンジェンシープラン 起きたときの初動を決める
復旧計画 元の状態へ戻す手順を決める
BCP 事業を継続する全体計画

コンティンジェンシープランは、BCPの中に含まれる緊急時対応の要素として扱われることがあります。

よくある誤解・混同

BCPとの混同

BCPは、事業継続計画です。

災害や障害が起きても、重要な事業を止めない、または早く再開するための全体的な計画です。

一方、コンティンジェンシープランは、緊急事態が起きたときの具体的な対応手順に注目します。

  • BCP:事業をどう継続するか
  • コンティンジェンシープラン:緊急時に誰が何をするか

SG試験では、事業全体の継続ならBCP、緊急時の具体的対応ならコンティンジェンシープランと切り分けるとよいです。

復旧計画との混同

復旧計画は、システムや業務を正常な状態へ戻すための計画です。

コンティンジェンシープランは、復旧だけでなく、初動対応や連絡、代替運用も含みます。

  • コンティンジェンシープラン:緊急時の行動全体
  • 復旧計画:復旧作業に焦点を当てた計画

選択肢で「バックアップから復元する手順だけ」を説明している場合は、復旧計画寄りです。

その場で考える対応との混同

コンティンジェンシープランは、緊急時に一から考えるものではありません。

緊急時は判断が遅れたり、連絡漏れが起きたりしやすいため、事前に決めておくことに意味があります。

SG試験では、

  • 発生後に対応方針を検討する
  • 担当者が状況を見て自由に判断する
  • 必要になってから手順書を作る

といった説明は注意です。

事前に準備して、緊急時に実行するという流れを外していないか確認しましょう。

まとめ(試験直前用)

コンティンジェンシープランは、緊急時に実行するための事前に決めた行動計画です。

SG試験では、次の基準で判断します。

  • 事故・障害・災害が起きたときの対応か
  • 事前に役割・連絡・手順を決めているか
  • 被害拡大を防ぎ、業務継続や復旧につなげる内容か
  • BCPよりも、緊急時の具体的な行動に焦点があるか
  • 復旧計画だけでなく、初動対応や代替運用も含むか

選択肢では、「発生してから考える」「復旧だけ」「平常時の改善計画」と書かれていたら注意しましょう。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る