ガートナージャパン(Gartner)は3月25日、企業が事業継続計画(BCP)の策定や見直しに際して押さえておくべき3つのポイントを発表した。

  • BCPにおいて取り扱うリスクの例

    BCPにおいて取り扱うリスクの例

2024年に入ってから、国際情勢の混迷や能登半島地震などの影響で、国内企業のBCPに対する関心が高まっているが、Gartnerが2023年4月に実施した調査によれば、国内企業の約半数がBCPを満たす適正なディザスタ・リカバリ(DR)対策を講じていない状況だという。

Gartnerは、企業はレジリエンスを高めるためのポイントとして、「事業を優先順位付けし、合意を形成する」「事業の完全停止を避け暫定的に継続させるための手順の策定/見直しを行う」「できること/できないことを整理し、ITに対する過剰な期待や誤解を解消する」──の3つを挙げた。

事業を優先順位付けし、合意を形成する

最初の「事業を優先順位付けし、合意を形成する」というのは、企業の予算や要員は有限であり、すべての問題に完全な形で備えることは難しく、問題が発生した際もすべて同時に対処できるわけではないことから、危機発生時には事業に対する影響の大きいものから優先的に対処するような姿勢が重要視されるということだ。

シニア ディレクター アナリストの矢野薫氏は次のように述べている。「BCPが不十分である、あるいは長期間更新されていない場合には、まずは『業務がわずかに中断しただけでも対外的に大きな影響を与える事業』を洗い出し、それらの現在の優先順位を緊急対策本部の構成メンバーと再確認することが重要です」

事業の完全停止を避け暫定的に継続させるための手順の策定/見直しを行う

2つめのポイント「事業の完全停止を避け暫定的に継続させるための手順の策定/見直しを行う」については、BCPはIT障害や自然災害、セキュリティ、パンデミック、政情不安などさまざまなリスクに備えるためのものであり、完全な事業停止を避けるためには、業務の一時的な継続を確保する手順(コンティンジェンシ・プラン:緊急時の行動指針を示したもの)の策定や見直しを行う必要があるということだ。

矢野氏は、「現在、さまざまな業務は複雑なエコシステムの中にあり、高度なテクノロジに大きく依存しているため、企業にとって、最新のビジネスやテクノロジ環境に合わせた暫定手順の策定や見直しは急務の課題となっています」と述べている。

こうした備えは、事業の完全停止のような破滅的な結果を避け、またIT障害やセキュリティ事故の発生時にも役立つものとして多くの企業で関心が高まっているということだ。

できること/できないことを整理し、ITに対する過剰な期待や誤解を解消する

3つめのポイントとして挙げた「できること/できないことを整理し、ITに対する過剰な期待や誤解を解消する」に関して、ディレクター アナリストの山本琢磨氏は「BCPを支えるITにおいてまず考慮すべきことは、システム/サービスの継続的提供、早期リカバリ、新しいサービス作りと新興テクノロジの活用、の3つです。少なくともこの3つが実現できなければ、IT部門としての責任を大きく問われることになります」と述べている。

システム/サービスを継続的に提供するために、現時点で想定されている可用性やリカバリの仕様について状況を把握し、特にリカバリについては、本番サイトから離れた別サイトでの災害復旧策やその必要性の確認を忘れないようにすることがポイントだと指摘した。

また、リカバリ・プロセスを正しく実行できるようディザスタ・リカバリ(DR)のクラウド・サービスの利用やリカバリ計画の整理、定期的な訓練を実施し、明らかになった問題点から見直しに着手することが有効だという。

さらに、早期復旧だけでなく新たなニーズが生まれる可能性があることから、ローコード・アプリケーション基盤や非常時のコラボレーション手段についての検討や、ロボットやドローンを含めたテクノロジーの活用も必要だと指摘した。

山本氏は、次のように述べている。「変化への俊敏な対応を本格的に目指すに当たっては、『できること/できないこと』を単純に棚卸しするのではなく、ITに対する過剰な期待や誤解を解消するための議論を進めていくことが求められます」